Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理自主防系统攻击检测参数

贡献者
PDF

从Ransomware 11.1开始、您可以修改启用了自动ONTAP 9保护的特定卷上的勒索软件检测参数、并将已知激增报告为正常文件活动。根据您的特定卷工作负载调整检测参数有助于提高报告的准确性。

攻击检测的工作原理

当自动防兰软件保护(ARP)处于学习模式时、它会为卷行为制定基线值。它们分别是熵、文件扩展名以及从ONTAP 9.11.1开始的IOPS。这些基线用于评估勒索软件威胁。有关这些条件的详细信息,请参见ARP检测到的内容

在ONTAP 9.10.1中、如果ARP同时检测到以下两种情况、则会发出警告:

  • 超过20个文件、其文件扩展名先前未在卷中发现

  • 高熵数据

从ONTAP 9.11.1开始、如果满足_only一个条件、ARP将发出威胁警告。例如、如果在24小时内观察到20个以上的文件具有以前在卷中未观察到的文件扩展名、ARP会将此情况归类为所观察到的熵的威胁_th考虑_。24小时值和20文件值为默认值、可以进行修改。

备注 要减少误报警报的高数量,请转到*存储>卷>安全性>配置工作负载特征*并禁用*监视新文件类型*。默认情况下、在ONTAP 9 14.1 P7 9.15.1 P1、9.16.1 RC及更高版本中、此设置处于禁用状态。

从ARP.14.1开始、您可以在ONTAP 9发现新文件扩展名以及创建快照时配置警报。有关详细信息,请参见 [modify-alerts]

某些卷和工作负载需要使用不同的检测参数。例如、启用了ARP的卷可能会托管多种类型的文件扩展名、在这种情况下、您可能需要将前所未见文件扩展名的阈值计数修改为大于默认值20的数字、或者禁用基于前所未见文件扩展名的警告。从ONTAP 9.11.1开始、您可以修改攻击检测参数、使其更适合您的特定工作负载。

修改攻击检测参数

根据启用了ARP的卷的预期行为、您可能需要修改攻击检测参数。

步骤

  1. 查看现有攻击检测参数:

    security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. 显示的所有字段均可使用布尔值或整数值进行可订。要修改字段、请使用 security anti-ransomware volume attack-detection-parameters modify 命令:

    有关完整的参数列表、请参见 "ONTAP 命令参考"

报告已知电涌

即使在活动模式下、ARP也会继续修改检测参数的基线值。如果您知道音量活动中的电涌、无论是一次性电涌还是新常态的特征性电涌、您应将其报告为安全。手动将这些激增报告为安全状态有助于提高ARP威胁评估的准确性。

报告一次性激增

  1. 如果在已知情况下发生一次性激增、而您希望ARP在未来情况下报告类似的激增、请从工作负载行为中清除该激增:

    security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

修改基线喘振

  1. 如果报告的浪涌应视为正常应用行为、则报告此浪涌以修改基线浪涌值。

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

配置ARP警报

从ONTAP 9.14.1开始、您可以使用ARP为两个ARP事件指定警报:

  • 观察卷上的新文件扩展名

  • 创建ARP快照

可以在单个卷上或为整个SVM设置这两个事件的警报。如果为SVM启用警报、则只有在启用警报之后创建的卷才会继承警报设置。默认情况下、任何卷都不会启用警报。

事件警报可通过多管理员验证进行控制。有关详细信息,请参见 使用ARP保护的卷进行多管理员验证

System Manager
为卷设置警报

  1. 导航到。选择要修改设置的单个卷。

  2. 选择安全性选项卡,然后选择事件安全性设置

  3. 要接收有关检测到新文件扩展名已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知

  4. 选择保存

为SVM设置警报

  1. 导航到 Storage VM,然后选择要为其启用设置的SVM。

  2. 在“安全”标题下,找到“反勒索软件卡”。选择,然后选择 菜单选项图标 编辑Ranson要 索事件严重性

  3. 要接收有关检测到新文件扩展名已创建的异常快照的警报,请选择严重性标题下的下拉菜单。将设置从不生成事件修改为通知

  4. 选择保存

命令行界面
为卷设置警报

  • 要为新文件扩展名设置警报、请执行以下操作:

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • 要为创建ARP快照设置警报、请执行以下操作:

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • 使用确认设置 anti-ransomware volume event-log show 命令:

为SVM设置警报

  • 要为新文件扩展名设置警报、请执行以下操作:

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • 要为创建ARP快照设置警报、请执行以下操作:

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • 使用确认设置 security anti-ransomware vserver event-log show 命令:

相关信息