Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp Ransomware Resilience保护策略保护工作负载

贡献者 amgrissino netapp-ahibbard
PDF

勒索软件防护策略是 NetApp Ransomware Resilience 的一个关键特征:它们支持检测、保护和复制。保护策略是网络安全态势的重要组成部分。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色"

了解勒索软件防护策略

勒索软件防护策略包括_检测_、_保护_和_复制_策略。

  • 检测策略 识别勒索软件威胁

  • 保护策略包括快照和备份策略。保护策略中需要检测和快照策略。备份策略是可选的。

    如果您使用其他NetApp产品来保护您的工作负载,勒索软件恢复能力会发现这些产品并提供以下选项:

    • 使用勒索软件检测策略并继续使用其他NetApp工具创建的快照和备份策略,或者

    • 使用勒索软件弹性来管理检测、快照和备份。

  • 复制策略 使您能够将勒索软件恢复功能的快照复制到辅助站点。复制计划可以设置为每小时、每天、每周或每月一次的频率。

    目前,您只能将快照复制到本地ONTAP存储。

备注 如果要为 Amazon FSxN for ONTAP 和 Azure NetApp Files 配置保护策略,请参阅 "每项服务的限制"
提示 为了增强对数据资产的管理和保护,您可以创建"组工作负载"来在一个策略下共同保护卷。

与其他NetApp托管服务结合的保护策略

除了 Ransomware Resilience 之外,您还可以使用 NetApp Backup and Recovery 来管理文件共享、VM 文件共享的保护。

来自 Backup & Recovery 服务的保护信息显示在 Ransomware Resilience 中。您可以使用 Ransomware Resilience 向这些服务添加检测策略。使用 Ransomware Resilience 添加保护策略将取代现有的保护策略。

如果勒索软件检测策略由ONTAP中的自主勒索软件防护(ARP 或 ARP/AI,取决于ONTAP版本)和 FPolicy 管理,则这些工作负载将受到保护并将继续由 ARP 和 FPolicy 管理。

备注 Amazon FSx for NetApp ONTAP 或 Azure NetApp Files 中的工作负载无法使用备份目标。使用 FSx for ONTAP 备份服务执行备份操作。您可以在 AWS 中为 FSx for ONTAP 中的工作负载设置备份策略,而不是在 Ransomware Resilience 中。备份策略显示在 Ransomware Resilience 中,并且与 AWS 保持不变。

针对不受NetApp应用程序保护的工作负载的保护策略

如果您的工作负载不是由 Backup and Recovery 或 Ransomware Resilience 管理,则可能有作为 ONTAP 或其他产品的一部分拍摄的快照。如果 ONTAP FPolicy 保护到位,则可以使用 ONTAP 更改 FPolicy 保护。

预定义的检测策略

您可以选择以下勒索软件恢复预定义策略之一,这些策略与工作负载重要性相一致。

备注 加密用户扩展策略是唯一支持可疑用户行为检测的预定义策略。

+ 关键复制策略 是唯一支持将快照复制到ONTAP 的预定义策略。

政策层面 Snapshot 频率 保留时间(天) 快照副本数量 快照副本的最大数量

关键工作量政策

每刻钟

每15分钟

3

288

309

每日

每 1 天

14

14

309

每周

每 1 周

35

5

309

每月

每 30 天

60

2

309

重要的工作量政策

每刻钟

每30分钟一班

3

144

165

每日

每 1 天

14

14

165

每周

每 1 周

35

5

165

每月

每 30 天

60

2

165

标准工作量政策

每刻钟

每30分钟

3

72

93

每日

每 1 天

14

14

93

每周

每 1 周

35

5

93

每月

每 30 天

60

2

93

加密用户扩展

每刻钟

每30分钟

3

72

93

每日

每 1 天

14

14

93

每周

每 1 周

35

5

93

每月

每 30 天

60

2

93

关键复制策略

每刻钟

每15分钟

3

288

309

每日

每 1 天

14

14

309

每周

每 1 周

35

5

309

每月

每 30 天

60

2

309

添加勒索软件防护策略

添加勒索软件保护策略有三种方法:

  • 如果您没有快照或备份策略,请创建勒索软件保护策略。

    勒索软件防护策略包括:

    • Snapshot 策略

    • 勒索软件检测政策

    • 备份策略

  • 将 Backup and Recovery 保护中的现有快照或备份策略替换为由 Ransomware Resilience 管理的保护策略。

    勒索软件防护策略包括:

    • Snapshot 策略

    • 勒索软件检测政策

    • 备份策略

  • 使用其他NetApp产品或服务中管理的现有快照和备份策略为工作负载创建检测策略。

    检测策略不会改变其他产品中管理的策略。

    如果已在其他服务中激活了自主勒索软件保护和 FPolicy 保护,则检测策略将启用它们。详细了解"自主勒索软件防护""备份和恢复" , 和"ONTAP FPolicy"

创建勒索软件保护策略(如果您没有快照或备份策略)

如果工作负载上不存在快照或备份策略,您可以创建勒索软件保护策略,其中可以包括您在勒索软件恢复中创建的以下策略:

  • Snapshot 策略

  • 备份策略

  • 勒索软件检测政策

  • 二次复制到ONTAP

创建勒索软件保护策略的步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

  3. 在勒索软件防护策略页面中,选择*添加*。

    添加显示快照部分的策略页面

  4. 输入新的策略名称,或输入现有名称进行复制。如果您输入的是现有名称,请选择要复制的名称并选择*复制*。

    备注 如果您选择复制并修改现有策略,Ransomware Resilience 会在原始名称后附加“_copy”。您应该更改名称和至少一个设置以使其唯一。

  5. 对于每个项目,选择*向下箭头*。

    • 检测政策

      • 策略:选择预先设计的检测策略之一。

      • 主要检测:启用勒索软件恢复功能,以检测潜在的勒索软件攻击。

      • 可疑用户行为检测:启用用户行为检测,将用户活动事件传输到勒索软件恢复能力并检测可疑事件,例如数据泄露。

      • 阻止文件扩展名:启用勒索软件恢复功能,以阻止已知的可疑文件扩展名。启用主检测功能后,勒索软件恢复功能会自动创建快照副本。

        如果您想更改被阻止的文件扩展名,请在系统管理器中编辑它们。

    • 快照策略

      • 快照策略基础名称:选择一个策略或选择*创建*并输入快照策略的名称。

      • 快照锁定:启用此功能可锁定主存储上的快照副本,以便即使勒索软件攻击进入备份存储目标,它们在一定时间内也无法被修改或删除。这也称为_不可变存储_。这使得恢复时间更快。

        当快照被锁定时,卷的过期时间设置为快照副本的过期时间。

    Snapshot 副本锁定适用于ONTAP 9.12.1 及更高版本。要了解有关SnapLock 的更多信息,请参阅 "ONTAP中的SnapLock"

    • 快照计划:选择计划选项、要保留的快照副本数量,然后选择启用计划。

      • 复制策略

    • 复制策略基本名称:输入新名称或选择现有名称。基本名称是附加到所有快照的前缀。

    • 复制计划:切换要启用的频率(每小时、每天、每周或每月),并为每个启用的计划设置保留值(要保留的复制快照的数量)。

      • 备份策略

    • 备份策略基本名称:输入新名称或选择现有名称。

    • 备份计划:选择二级存储的计划选项并启用该计划。

      提示 要启用辅助存储上的备份锁定,请使用 Settings 选项配置备份目标。有关详细信息,请参见 "配置设置"

  6. 选择“添加”。

将检测策略添加到具有由 Backup and Recovery 管理的现有快照和备份策略的工作负载

Ransomware Resilience 使您能够为工作负载分配检测策略或保护策略,并使用其他 NetApp 产品或服务管理的现有快照和备份保护。Backup and Recovery 使用管理快照、复制到辅助存储或备份到对象存储的策略。

向具有现有备份或快照策略的工作负载添加检测策略

如果您有具有 Backup and Recovery 功能的现有快照或备份策略,则可以添加策略来检测勒索软件攻击。要使用 Ransomware Resilience 管理保护和检测,请参阅 利用勒索软件抵御能力进行保护

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

  3. Ransomware Resilience 检测是否存在现有的活动 Backup and Recovery 策略。

  4. 要保留现有的 Backup and Recovery 并仅应用_检测_策略,请不要选中替换现有策略框。

  5. 选择所需的检测设置:

    • 加密检测

    • 可疑用户行为检测

    • 阻止可疑文件扩展名

  6. 选择下一步

  7. 如果您选择 Suspicious user behavior detection 作为检测设置,请选择 User activity agent 或 "或创建一个"

    用户活动代理托管新的数据收集器。Ransomware Resilience 自动创建数据收集器,将用户活动事件传输到 Ransomware Resilience 以检测异常用户行为。

  8. 选择下一步

  9. 审查您的选择。选择创建来激活检测。

  10. 在“保护”页面上,查看检测状态以确认检测处于活动状态。

用勒索软件保护策略替换现有的备份或快照策略

您可以用勒索软件保护策略替换现有的备份或快照策略。这种方法会删除外部管理的保护,并在勒索软件恢复中配置检测和保护。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

    管理策略页面

  2. 在“保护”页面中,选择一个工作负载,然后选择“保护”。

  3. Ransomware Resilience 检测是否存在现有的活动 Backup and Recovery 策略。要替换现有策略,请选择替换现有策略框。选中此框后,Ransomware Resilience 将用检测策略替换检测策略列表。

  4. 选择保护策略。如果不存在保护策略,请选择添加来创建新策略。有关创建策略的信息,请参阅创建保护策略。选择下一步

  5. 如果您的策略包含复制,请选择目标系统目标存储虚拟机。选择下一步

  6. 选择备份目标或创建一个新的备份目标。选择下一步

    1. 如果您的保护策略包括用户行为检测,请在您的环境中选择一个用户活动代理来托管新的数据收集器。Ransomware Resilience 自动创建数据收集器,将用户活动事件传输到 Ransomware Resilience 以检测异常用户行为。

  7. 查看新的保护策略,然后选择保护来应用它。

  8. 在“保护”页面上,查看检测状态以确认检测处于活动状态。

分配不同的策略

您可以用其他策略替换现有策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面的工作负载行上,选择“编辑保护”。

  3. 如果工作负载具有要维护的现有 Backup and Recovery 策略,请取消选中替换现有策略。要替换现有策略,请选中替换现有策略

  4. 在“策略”页面中,选择要分配的策略的向下箭头以查看详细信息。

  5. 选择您想要分配的策略。

  6. 选择*保护*以完成更改。

管理勒索软件防护策略

您可以删除勒索软件策略。

查看受勒索软件保护策略保护的工作负载

在删除勒索软件保护策略之前,您可能需要查看哪些工作负载受该策略保护。

您可以从策略列表中或在编辑特定策略时查看工作负载。

查看策略的步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“管理保护策略”。

    勒索软件防护策略页面显示策略列表。

    勒索软件保护策略屏幕显示策略列表

  3. 在“勒索软件保护策略”页面的“受保护的工作负载”列中,选择行末的向下箭头。

删除勒索软件防护策略

您可以删除当前未与任何工作负载关联的保护策略。

步骤

  1. 从勒索软件恢复菜单中,选择*保护*。

  2. 在“保护”页面中,选择“管理保护策略”。

  3. 在“管理策略”页面中,选择“操作”操作按钮您想要删除的策略的选项。

  4. 从操作菜单中,选择*删除策略*。