Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理自主防系统攻击检测参数

贡献者
PDF

从ONTAP 9.11.1开始、您可以修改已启用自动勒索软件保护的特定卷上的勒索软件检测参数、并将已知激增报告为正常文件活动。根据您的特定卷工作负载调整检测参数有助于提高报告的准确性。

攻击检测的工作原理

当自动防兰软件保护(ARP)处于学习模式时、它会为卷行为制定基线值。它们分别是熵、文件扩展名以及从ONTAP 9.11.1开始的IOPS。这些基线用于评估勒索软件威胁。有关这些条件的详细信息、请参见 ARP检测到的内容

在ONTAP 9.10.1中、如果ARP同时检测到以下两种情况、则会发出警告:

  • 超过20个文件、其文件扩展名先前未在卷中发现

  • 高熵数据

从ONTAP 9.11.1开始、如果满足_only一个条件、ARP将发出威胁警告。例如、如果在24小时内观察到20个以上的文件具有以前在卷中未观察到的文件扩展名、则ARP会将此类文件归类为所观察到的熵的威胁_thw考虑_。(24小时和20个文件值为默认值、可以进行修改。)

从ONTAP 9.14.1开始、您可以在ARP发现新文件扩展名以及创建快照时配置警报。有关详细信息,请参见 [modify-alerts]

某些卷和工作负载需要使用不同的检测参数。例如、启用了ARP的卷可能会托管多种类型的文件扩展名、在这种情况下、您可能需要将前所未见文件扩展名的阈值计数修改为大于默认值20的数字、或者禁用基于前所未见文件扩展名的警告。从ONTAP 9.11.1开始、您可以修改攻击检测参数、使其更适合您的特定工作负载。

修改攻击检测参数

根据启用了ARP的卷的预期行为、您可能需要修改攻击检测参数。

步骤

  1. 查看现有攻击检测参数:

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. 显示的所有字段均可使用布尔值或整数值进行可订。要修改字段、请使用 security anti-ransomware volume attack-detection-parameters modify 命令:

    有关完整的参数列表、请参见 "ONTAP 命令参考"

报告已知电涌

即使在活动模式下、ARP也会继续修改检测参数的基线值。如果您知道音量活动中的电涌(一次性电涌或新正常值的电涌),您应该将其报告为安全。手动将这些激增报告为安全状态有助于提高ARP威胁评估的准确性。

报告一次性电涌

  1. 如果在已知情况下发生一次性激增、而您希望ARP在未来情况下报告类似的激增、请从工作负载行为中清除该激增:

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

修改基线喘振

  1. 如果报告的浪涌应视为正常应用行为、则报告此浪涌以修改基线浪涌值。

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

配置ARP警报

从ONTAP 9.14.1开始、您可以使用ARP为两个ARP事件指定警报:

  • 观察卷上的新文件扩展名

  • 创建ARP快照

可以在单个卷上或为整个SVM设置这两个事件的警报。如果为SVM启用警报、则只有在启用警报之后创建的卷才会继承警报设置。默认情况下、任何卷都不会启用警报。

事件警报可通过多管理员验证进行控制。有关详细信息,请参见 使用ARP保护的卷进行多管理员验证

System Manager
为卷设置警报

  1. 导航到。选择要修改设置的单个卷。

  2. 选择安全性选项卡,然后选择事件安全性设置

  3. 要接收有关检测到新文件扩展名已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知

  4. 选择保存

为SVM设置警报

  1. 导航到 Storage VM,然后选择要为其启用设置的SVM。

  2. 在“安全”标题下,找到“反勒索软件卡”。选择 …​ 三点 然后编辑Ranson要 程序事件严重性

  3. 要接收有关检测到新文件扩展名已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知

  4. 选择保存

命令行界面
为卷设置警报

  • 要为新文件扩展名设置警报、请执行以下操作:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • 要为创建ARP Snapshot设置警报、请执行以下操作:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • 使用确认设置 anti-ransomware volume event-log show 命令:

为SVM设置警报

  • 要为新文件扩展名设置警报、请执行以下操作:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • 要为创建ARP Snapshot设置警报、请执行以下操作:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • 使用确认设置 security anti-ransomware vserver event-log show 命令:

更多信息