Skip to main content
Data Infrastructure Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

工作負載安全:模擬攻擊

貢獻者 netapp-alavoie
PDF

您可以按照此頁面上的說明,使用隨附的勒索軟體模擬腳本來模擬攻擊,以測試或演示工作負載安全性。

開始前需要注意的事項

  • 勒索軟體模擬腳本僅在 Linux 上運行。如果使用者將ONTAP ARP 與 Workload Security 集成,模擬腳本也應產生高置信度警報。

  • 只有當ONTAP版本為 9.15 或更高版本時,工作負載安全才會偵測使用 NFS 4.1 產生的事件和警報。

  • 此腳本隨工作負載安全代理安裝檔一起提供。它可以在安裝了工作負載安全代理程式的任何機器上使用。

  • 您可以在工作負載安全代理機器本身上執行該腳本;無需準備另一台 Linux 機器。但是,如果您希望在另一個系統上運行該腳本,只需複製該腳本並在那裡運行即可。

  • 使用者可以根據自己的喜好和系統需求選擇 Python 或 shell 腳本。

  • Python 腳本具有先決條件安裝。如果不想使用python,就使用shell腳本。

指南:

該腳本應在包含大量需要加密的檔案(理想情況下為 100 個或更多,包括子資料夾中的檔案)的資料夾的 SVM 上執行。確保文件不為空。

若要產生警報,請在建立測試資料之前暫時暫停收集器。一旦產生範例文件,恢復收集器並啟動加密過程。

步驟:

準備系統:

首先,將目標磁碟區安裝到機器上。您可以掛載 NFS 或 CIFS 匯出。

要在 Linux 中掛載 NFS 導出:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

請勿掛載 NFS 版本 4.1;Fpolicy 不支援它。

要在 Linux 中掛載 CIFS:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

啟用ONTAP Autonomous 勒索軟體防護(可選):

如果您的ONTAP叢集版本是 9.11.1 或更高版本,您可以透過在ONTAP命令控制台上執行以下命令來啟用ONTAP勒索軟體防護服務。

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
接下來,設定資料收集器:

  1. 如果尚未完成,請設定工作負載安全代理程式。

  2. 如果尚未完成,請設定 SVM 資料收集器。

  3. 確保在配置資料收集器時選擇了安裝協定。

以程式設計方式產生範例文件:

在建立文件之前,您必須先停止或"暫停資料收集器"加工。

在運行模擬之前,您必須先新增要加密的檔案。您可以手動將要加密的檔案複製到目標資料夾中,也可以使用其中的腳本以程式設計方式建立檔案。無論使用哪種方法,請確保至少有 100 個檔案需要加密。

如果您選擇以程式設計方式建立文件,則可以使用 Shell 或 Python:

殼:

  1. 登入代理箱。

  2. 將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。轉到該資料夾。

  3. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh)複製到目標安裝位置。

  4. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:

     './create_dataset.sh'
. 這將在名為「test_dataset」的目錄下的掛載資料夾內建立 100 個具有各種副檔名的非空檔案。

Python:

Python 腳本先決條件:

  • 安裝 Python(如果尚未安裝)。

    • 從下列位置下載 Python 3.5.2 或更高版本 https://www.python.org/

    • 若要檢查 Python 安裝,請執行 python --version

    • 該 Python 腳本已在最早 3.5.2 版本上進行測試。

  • 如果尚未安裝 pip,請安裝:

    • 從以下位置下載 get-pip.py 腳本 https://bootstrap.pypa.io/

    • 使用以下方式安裝 pip python get-pip.py

    • 使用以下命令驗證 pip 安裝 pip --version

  • PyCryptodome 庫:

    • 該腳本使用 PyCryptodome 庫。

    • 使用以下方式安裝 PyCryptodome pip install pycryptodome

    • 透過運行確認 PyCryptodome 安裝 pip show pycryptodome

Python建立檔案腳本:

  1. 登入代理箱。

  2. 將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。轉到該資料夾。

  3. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py)複製到目標安裝位置。

  4. 使用已安裝目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:

     'python create_dataset.py'
. 這將在名為“test_dataset”的目錄下的掛載資料夾中建立 100 個具有各種副檔名的非空文件

恢復收集器

如果您在執行這些步驟之前暫停了收集器,請確保在建立範例檔案後恢復收集器。

以程式設計方式產生範例文件:

在建立文件之前,您必須先停止或"暫停資料收集器"加工。

要產生勒索軟體警報,您可以執行包含的腳本,該腳本將在工作負載安全中模擬勒索軟體警報。

殼:

  1. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh)複製到目標安裝位置。

  2. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:

     './simulate_attack.sh'
. 這將加密在“test_dataset”目錄下建立的範例檔案。

Python:

  1. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py)複製到目標安裝位置。

  2. 請注意,python 先決條件是按照 Python 腳本先決條件部分安裝的

  3. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:

     'python simulate_attack.py'
. 這將加密在“test_dataset”目錄下建立的範例檔案。

在工作負載安全性中產生警報

模擬器腳本執行完成後,幾分鐘內就會在 Web UI 上看到警報。

注意:如果滿足以下所有條件,則會產生高置信度警報。

  1. 監控的 SVM 的ONTAP版本高於 9.11.1

  2. ONTAP自主勒索軟體防護已配置

  3. 在叢集模式下新增了工作負載安全資料收集器。

Workload Security 根據使用者行為偵測勒索軟體模式,而ONTAP ARP 會根據檔案中的加密活動偵測勒索軟體活動。

如果滿足條件,Workload Security 會將警報標記為高可信度警報。

警報清單頁面上的高可信度警報範例:

高置信度警報範例,清單頁

高可信度警報詳細資訊範例:

高置信度警報範例,詳細資訊頁面

多次觸發警報

Workload Security 會了解使用者行為,並且不會對同一使用者在 24 小時內重複遭受勒索軟體攻擊發出警報。

若要使用不同的使用者產生新的警報,請再次執行相同的步驟(建立測試數據,然後加密測試數據)。