安全性
整合ONTAP 了功能完善的勒索軟體保護功能
建議變更
PDF
此功能使用NAS(NFS和SMB)環境中的工作負載分析功能ONTAP 、主動偵測及警告可能表示勒索軟體攻擊的異常檔案內活動。
如需有關ARP的其他詳細資料和授權要求、請參閱 "請按這裡"。
工作負載安全功能與ONTAP VMware整合、可接收ARP事件、並提供額外的分析和自動回應層。
工作負載安全性會接收ONTAP 來自於Arp的事件、並採取下列行動:
-
將磁碟區加密事件與使用者活動建立關聯、以識別造成損害的原因。
-
實作自動回應原則(若已定義)
-
提供鑑識功能:
-
允許客戶進行資料外洩調查。
-
找出哪些檔案受到影響、有助於更快恢復並進行資料外洩調查。
-
先決條件
-
最低ONTAP 版本:9.11.1
-
啟用了ARP的磁碟區。如需啟用ARP的詳細資訊、請參閱 "請按這裡"。必須透過OnCommand 「支援系統管理程式」來啟用ARP。工作負載安全性無法啟用ARP。
-
應透過叢集IP新增工作負載安全收集器。
-
此功能需要叢集層級認證、才能正常運作。換句話說、新增SVM時必須使用叢集層級認證。
需要使用者權限
如果您使用叢集管理認證、則不需要新的權限。
如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以便從ONTAP Sfor收集與Arp相關的資訊。
對於具有叢集認證的_CsUser_、請從ONTAP 下列指令行執行下列動作:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
深入瞭解如何設定其他 "權限ONTAP"。
警示範例
下列為因ARP事件而產生的警示範例:
高可信度橫幅表示攻擊顯示勒索軟體行為及檔案加密活動。加密檔案圖表會指出Arp解決方案偵測到磁碟區加密活動的時間戳記。
限制
如果SVM未受工作負載安全性監控、但ONTAP 有由效益管理系統產生的ARP事件、則工作負載安全系統仍會接收並顯示這些事件。但是、與警示相關的鑑識資訊以及使用者對應將不會被擷取或顯示。
疑難排解
下表說明已知問題及其解決方法。
| 問題: | 解決方法: |
|---|---|
偵測到攻擊後24小時內收到電子郵件警示。在UI中、警示會在Cloud Insights 收到電子郵件之前24小時顯示、而該電子郵件則是由「支援工作負載安全性」所接收。 |
當將「偵測到的勒索軟體事件」傳送至「VMware工作負載安全性」(亦即「工作負載安全性」)時、就會傳送電子郵件Cloud Insights ONTAP 。此活動包含攻擊清單及其時間戳記。工作負載安全性UI會顯示第一個受攻擊檔案的警示時間戳記。將特定數量的檔案編碼後、將偵測到的_r勒索 軟體事件傳送至VMware Cloud Insights ONTAP 。因此、在UI中顯示警示的時間與電子郵件傳送的時間可能有所不同。 |