与ONTAP自主勒索软件防护集成
建议更改
PDF
ONTAP自主勒索软件防护 (ARP) 功能使用 NAS(NFS 和 SMB)环境中的工作负载分析来主动检测并警告可能表明勒索软件攻击的异常文件内活动。
关于 ARP 的更多详细信息和许可要求可以找到"此处"。
工作负载安全与ONTAP集成以接收 ARP 事件并提供额外的分析和自动响应层。
工作负载安全从ONTAP接收 ARP 事件并执行以下操作:
-
将卷加密事件与用户活动关联起来,以识别造成损害的人。
-
实施自动响应策略(如果定义)
-
提供取证能力:
-
允许客户进行数据泄露调查。
-
确定哪些文件受到了影响,帮助更快地恢复并开展数据泄露调查。
-
前提条件
-
最低ONTAP版本:9.11.1
-
ARP 启用卷。关于启用 ARP 的详细信息可以找到"此处"。必须通过OnCommand System Manager启用 ARP。工作负载安全无法启用 ARP。
-
应通过集群 IP 添加工作负载安全收集器。
-
此功能需要集群级别凭证才能运行。换句话说,添加 SVM 时必须使用集群级别凭据。
需要用户权限
如果您使用集群管理凭据,则不需要新的权限。
如果您使用具有指定权限的自定义用户(例如 csuser),则请按照以下步骤授予 Workload Security 从ONTAP收集 ARP 相关信息的权限。
对于具有集群凭据的 csuser,从ONTAP命令行执行以下操作:
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
阅读有关配置其他内容的更多信息"ONTAP 权限"。
样本警报
由于 ARP 事件生成的警报示例如下所示:
高可信度横幅表明攻击已显示出勒索软件行为以及文件加密活动。加密文件图表指示 ARP 解决方案检测到卷加密活动的时间戳。
限制
如果 SVM 未受到 Workload Security 监控,但ONTAP生成了 ARP 事件,则 Workload Security 仍会接收并显示这些事件。但是,与警报相关的取证信息以及用户映射将不会被捕获或显示。
故障排除
下表描述了已知问题及其解决方法。
| 问题: | 解决: |
|---|---|
检测到攻击后 24 小时会收到电子邮件警报。在 UI 中,警报会在Data Infrastructure Insights工作负载安全收到电子邮件之前 24 小时显示。 |
当ONTAP将“检测到勒索软件”事件发送到Data Infrastructure Insights工作负载安全(即工作负载安全)时,就会发送电子邮件。该事件包含攻击列表及其时间戳。工作负载安全 UI 显示第一个受到攻击的文件的警报时间戳。当一定数量的文件被编码时, ONTAP会将“检测到勒索软件”事件发送到Data Infrastructure Insights。因此,警报在 UI 中显示的时间与电子邮件发送的时间之间可能会存在差异。 |