Skip to main content
Amazon FSx for NetApp ONTAP
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp自主勒索软件防护和 AI 保护您的数据

贡献者 netapp-rlithman
PDF

使用NetApp自主勒索软件防护 AI (ARP/AI) 功能保护您的数据,该功能使用 NAS (NFS/SMB) 环境中的工作负载分析来检测并警告可能为勒索软件攻击的异常活动。当怀疑受到攻击时,ARP/AI 还会创建新的、不可变的快照,您可以从中恢复数据。

关于此任务

使用 ARP/AI 来防止拒绝服务攻击,攻击者会扣留数据直到支付赎金。 ARP/AI 提供基于以下内容的实时勒索软件检测:

  • 将传入数据标识为加密或纯文本。

  • 可检测以下内容的分析:

    • 平均值:对文件中数据的随机性的评估

    • 文件扩展名类型:不符合正常扩展名类型的扩展名

    • 文件IOP:使用数据加密时异常卷活动激增

ARP/AI 可以在仅少量文件被加密后检测到大多数勒索软件攻击的传播,自动采取行动保护数据,并提醒您疑似攻击正在发生。

ARP/AI 功能会根据Amazon FSx for NetApp ONTAP运行的ONTAP版本自动更新,因此您无需进行手动更新。

学习和主动模式

ARP/AI 首先在_学习模式_下运行,然后自动切换到_主动模式_。

  • 学习模式:当您启用 ARP/AI 时,它以_学习模式_运行。在学习模式下,FSx for ONTAP文件系统根据分析区域(熵、文件扩展类型和文件 IOPS)开发警报配置文件。在文件系统以学习模式运行 ARP/AI 足够时间以评估工作负载特征后,工作负载工厂会自动切换到 ARP/AI 到_主动模式_并开始保护您的数据。

  • 主动模式:ARP/AI 切换到_主动模式_后,如果检测到威胁,FSx for ONTAP会创建 ARP/AI 快照来保护数据。

    在活动模式下、如果文件扩展名被标记为异常、则应评估警报。您可以对警报采取措施来保护您的数据、也可以将警报标记为误报。将警报标记为误报可更新警报配置文件。例如、如果警报由新文件扩展名触发、而您将警报标记为误报、则下次观察到该文件扩展名时、您不会收到警报。

不支持的配置

以下配置不支持使用 ARP/AI。

  • SAN/块卷

  • iSCSI 卷

  • NVMe卷

为文件系统或卷启用 ARP/AI

为文件系统启用 ARP/AI 会自动为所有现有 NAS 和新创建的 NAS(NFS/SMB)卷添加保护。您还可以为单个卷启用 ARP/AI。

启用 ARP/AI 后,如果发生攻击并且您确定攻击是真实的,工作负载工厂会自动设置快照策略,每四小时最多拍摄六次快照。每个快照锁定2-5天。

开始之前

要为文件系统或卷启用 ARP/AI,您必须关联一个链接。"了解如何关联现有链接或创建并关联新链接" 。链接关联后,返回此操作。

为文件系统启用 ARP/AI
步骤

  1. 使用其中一个登录"控制台体验"

  2. 在存储中,选择*转至存储清单*。

  3. FSx for ONTAP 选项卡中,选择文件系统的三点菜单以启用 ARP/AI,然后选择 管理

  4. 在信息下,选择“自主勒索软件防护”旁边的铅笔图标。当鼠标悬停在“Autonomous Ransomware Protection”行上时,箭头旁边会出现一个铅笔图标。

  5. 在NetApp自主勒索软件防护 AI (ARP/AI) 页面中,执行以下操作:

    1. 启用或禁用该功能。

    2. 自动创建快照:选择要保留的最大快照数量以及拍摄快照的时间间隔。默认值为每 4 小时 6 张快照。

    3. 不可变快照:选择默认保留期(以小时为单位)和保留不可变快照的最多天数。启用此选项可确保在指定的保留期结束之前无法删除或修改快照。

    4. 检测:可选地,选择以下任意参数来自动扫描和检测异常。

  6. 接受陈述以继续。

  7. 选择*应用*以保存更改。

为卷启用 ARP/AI
步骤

  1. 使用其中一个登录"控制台体验"

  2. 在存储中,选择*转至存储清单*。

  3. FSx for ONTAP 选项卡中,选择文件系统的三点菜单以启用 ARP/AI,然后选择 管理

  4. 从“卷”选项卡中,选择卷的三点菜单以启用 ARP/AI,然后选择*数据保护操作*,然后选择*管理 ARP/AI*。

  5. 在管理 ARP/AI 对话框中,执行以下操作:

    1. 启用或禁用该功能。

    2. 检测:可选地,选择以下任意参数来自动扫描和检测异常。

  6. 接受陈述以继续。

  7. 选择*应用*以保存更改。

验证勒索软件攻击

确定攻击是虚假警报还是真正的勒索软件事件。

步骤

  1. 使用其中一个登录"控制台体验"

  2. 在存储中,选择*转至存储清单*。

  3. 从文件系统概述中,选择*Volumes*选项卡。

  4. 从"Autonomous Ranso器 保护"磁贴中选择*分析攻击*。

  5. 下载攻击事件报告以查看是否有任何文件或文件夹被泄露、然后确定是否发生了攻击。

  6. 如果未发生攻击,请为表中的卷选择*False alar*,然后选择*Close*

  7. 如果发生了攻击,请为表中的卷选择*实际攻击*。此时将打开还原受影响的卷数据对话框。您可以立即进入恢复数据或选择*关闭*,然后返回以完成恢复过程。

在勒索软件攻击后恢复数据

当怀疑受到攻击时,系统会在该时间点拍摄卷快照并锁定该副本。如果稍后确认攻击,则可以使用 ARP/AI 快照恢复受影响的文件或整个卷。

在保留期限结束之前、无法删除锁定的快照。但是,如果您稍后决定将此攻击标记为误报,则锁定的副本将被删除。

了解受影响的文件和攻击时间后、可以有选择地从各种快照中恢复受影响的文件、而不是简单地将整个卷还原到其中一个快照。

步骤

  1. 使用其中一个登录"控制台体验"

  2. 在存储中,选择*转至存储清单*。

  3. 从文件系统概述中,选择*Volumes*选项卡。

  4. 从"Autonomous Ranso器 保护"磁贴中选择*分析攻击*。

  5. 如果发生了攻击,请为表中的卷选择*实际攻击*。

  6. 在"Restore受损卷数据"对话框中、按照说明在文件级别或卷级别进行还原。在大多数情况下、您将还原文件、而不是整个卷。

  7. 完成恢复后,选择*Close*。

结果

已还原受影响的数据。