管理自主防系统攻击检测参数
从Ransomware 11.1开始、您可以修改启用了自动ONTAP 9保护的特定卷上的勒索软件检测参数、并将已知激增报告为正常文件活动。根据您的特定卷工作负载调整检测参数有助于提高报告的准确性。
攻击检测的工作原理
当自动防兰软件保护(ARP)处于学习模式时、它会为卷行为制定基线值。它们分别是熵、文件扩展名以及从ONTAP 9.11.1开始的IOPS。这些基线用于评估勒索软件威胁。有关这些条件的详细信息,请参见ARP检测到的内容。
在ONTAP 9.10.1中、如果ARP同时检测到以下两种情况、则会发出警告:
-
超过20个文件、其文件扩展名先前未在卷中发现
-
高熵数据
从ONTAP 9.11.1开始、如果满足_only一个条件、ARP将发出威胁警告。例如、如果在24小时内观察到20个以上的文件具有以前在卷中未观察到的文件扩展名、ARP会将此情况归类为所观察到的熵的威胁_th考虑_。24小时值和20文件值为默认值、可以进行修改。
要减少误报警报的高数量,请转到*存储>卷>安全性>配置工作负载特征*并禁用*监视新文件类型*。默认情况下、在ONTAP 9 14.1 P7 9.15.1 P1、9.16.1 RC及更高版本中、此设置处于禁用状态。 |
从ARP.14.1开始、您可以在ONTAP 9发现新文件扩展名以及创建快照时配置警报。有关详细信息,请参见 [modify-alerts]。
某些卷和工作负载需要使用不同的检测参数。例如、启用了ARP的卷可能会托管多种类型的文件扩展名、在这种情况下、您可能需要将前所未见文件扩展名的阈值计数修改为大于默认值20的数字、或者禁用基于前所未见文件扩展名的警告。从ONTAP 9.11.1开始、您可以修改攻击检测参数、使其更适合您的特定工作负载。
修改攻击检测参数
根据启用了ARP的卷的预期行为、您可能需要修改攻击检测参数。
-
查看现有攻击检测参数:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
显示的所有字段均可使用布尔值或整数值进行可订。要修改字段、请使用
security anti-ransomware volume attack-detection-parameters modify
命令:有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"。
报告已知电涌
即使在活动模式下、ARP也会继续修改检测参数的基线值。如果您知道音量活动中的电涌、无论是一次性电涌还是新常态的特征性电涌、您应将其报告为安全。手动将这些激增报告为安全状态有助于提高ARP威胁评估的准确性。
-
如果在已知情况下发生一次性激增、而您希望ARP在未来情况下报告类似的激增、请从工作负载行为中清除该激增:
security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>
-
如果报告的浪涌应视为正常应用行为、则报告此浪涌以修改基线浪涌值。
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>
配置ARP警报
从ONTAP 9.14.1开始、您可以使用ARP为两个ARP事件指定警报:
-
观察卷上的新文件扩展名
-
创建ARP快照
可以在单个卷上或为整个SVM设置这两个事件的警报。如果为SVM启用警报、则只有在启用警报之后创建的卷才会继承警报设置。默认情况下、任何卷都不会启用警报。
事件警报可通过多管理员验证进行控制。有关详细信息,请参见 使用ARP保护的卷进行多管理员验证。
-
导航到卷。选择要修改设置的单个卷。
-
选择安全性选项卡,然后选择事件安全性设置。
-
要接收有关检测到新文件扩展名和已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知。
-
选择保存。
-
导航到 Storage VM,然后选择要为其启用设置的SVM。
-
在“安全”标题下,找到“反勒索软件卡”。选择,然后选择 编辑Ranson要 索事件严重性。
-
要接收有关检测到新文件扩展名和已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知。
-
选择保存。
-
要为新文件扩展名设置警报、请执行以下操作:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
要为创建ARP快照设置警报、请执行以下操作:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
使用确认设置
anti-ransomware volume event-log show
命令:
-
要为新文件扩展名设置警报、请执行以下操作:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
要为创建ARP快照设置警报、请执行以下操作:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
使用确认设置
security anti-ransomware vserver event-log show
命令: