简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

管理ONTAP自主防系统攻击检测参数

08/04/2025 贡献者

PDF

从ONTAP 9.11.1开始、您可以修改启用了自动勒索软件保护的特定卷上的勒索软件检测参数、并将已知激增报告为正常文件活动。根据您的特定卷工作负载调整检测参数有助于提高报告的准确性。

攻击检测的工作原理

当自主勒索软件防护 (ARP) 处于学习或评估模式时，它会为卷行为制定基准值。这些基准值包括熵、文件扩展名以及（从ONTAP 9.11.1 开始的）IOPS。这些基准用于评估勒索软件威胁。有关这些标准的更多信息，请参阅"ARP检测到的内容" 。

某些卷和工作负载需要使用不同的检测参数。例如、启用了ARP的卷可能会托管多种类型的文件扩展名、在这种情况下、您可能需要将前所未见文件扩展名的阈值计数修改为大于默认值20的数字、或者禁用基于前所未见文件扩展名的警告。从ONTAP 9.11.1开始、您可以修改攻击检测参数、使其更适合您的特定工作负载。

从ONTAP 9.14.1开始、您可以在ARP发现新文件扩展名以及创建快照时配置警报。有关详细信息，请参见 [modify-alerts]。

NAS 环境中的攻击检测

在ONTAP 9.10.1中、如果ARP同时检测到以下两种情况、则会发出警告：

超过20个文件、其文件扩展名先前未在卷中发现
高熵数据

从ONTAP 9.11.1开始、如果满足_only一个条件、ARP将发出威胁警告。例如、如果在24小时内观察到20个以上的文件具有以前在卷中未观察到的文件扩展名、ARP会将此情况归类为所观察到的熵的威胁_th考虑_。24小时值和20文件值为默认值、可以进行修改。

要减少大量误报，请转到“存储”>“卷”>“安全”>“配置工作负载特征”，并禁用“监控新文件类型”。此设置在ONTAP 9.14.1 P7、9.15.1 P1、9.16.1 及更高版本中默认禁用。

SAN 环境中的攻击检测

从ONTAP 9.17.1 开始，如果 ARP 检测到超过自动学习阈值的高加密速率，则会发出警告。此阈值是在"评估期"但可以修改。

修改攻击检测参数

根据启用 ARP 的卷的预期行为，您可能需要修改攻击检测参数。

步骤

查看现有攻击检测参数：

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

所有显示的字段均可使用布尔值或整数值进行修改。要修改字段，请使用 `security anti-ransomware volume attack-detection-parameters modify`命令。

有关的详细信息 security anti-ransomware volume attack-detection-parameters modify，请参见"ONTAP 命令参考"。

报告已知电涌

即使处于活动状态、ARP也会继续修改检测参数的基线值。如果您知道音量活动中的电涌、无论是一次性电涌还是新常态的特征性电涌、您应将其报告为安全。手动将这些激增报告为安全状态有助于提高ARP威胁评估的准确性。

报告一次性激增

如果在已知情况下发生一次性激增、而您希望ARP在未来情况下报告类似的激增、请从工作负载行为中清除该激增：

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

有关的详细信息 security anti-ransomware volume workload-behavior clear-surge，请参见"ONTAP 命令参考"。

修改基线喘振

如果报告的浪涌应视为正常应用行为、则报告此浪涌以修改基线浪涌值。

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

详细了解 `security anti-ransomware volume workload-behavior update-baseline-from-surge`在"ONTAP 命令参考" 。

配置ARP警报

从ONTAP 9.14.1开始、您可以使用ARP为两个ARP事件指定警报：

观察卷上的新文件扩展名
创建ARP快照

可以在单个卷上或为整个SVM设置这两个事件的警报。如果为SVM启用警报、则只有在启用警报之后创建的卷才会继承警报设置。默认情况下、任何卷都不会启用警报。

事件警报可通过多管理员验证进行控制。有关更多信息，请参阅"使用ARP保护的卷进行多管理员验证" 。

步骤

您可以使用系统管理器或ONTAP CLI 设置 ARP 事件警报。

System Manager

为卷设置警报

导航到“卷”。选择要修改设置的单个卷。
选择“安全”选项卡，然后选择“事件严重性设置”。
要接收“检测到新文件扩展名”和“已创建勒索软件快照”的警报，请选择“严重性”标题下的下拉菜单。将设置从“不生成事件”修改为“通知”。
选择 * 保存 * 。

为SVM设置警报

导航到 存储虚拟机，然后选择要启用设置的 SVM。
在“安全”标题下，找到“反勒索软件”选项卡。选择然后*编辑勒索软件事件严重性*。
要接收“检测到新文件扩展名”和“已创建勒索软件快照”的警报，请选择“严重性”标题下的下拉菜单。将设置从“不生成事件”修改为“通知”。
选择 * 保存 * 。

命令行界面