Skip to main content
Data Infrastructure Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

工作負載安全性:模擬攻擊

貢獻者 netapp-alavoie
PDF

您可以使用本頁上的指示、模擬攻擊、以便使用隨附的勒索軟體模擬指令碼來測試或示範工作負載安全性。

開始之前要注意的事項

  • 勒索軟體模擬指令碼僅適用於Linux。如果使用者將 ONTAP ARP 與 Workload Security 集成,模擬腳本也應產生高置信度警報。

  • 只有當 ONTAP 版本為 9.15 或更高版本時,工作負載安全才會偵測使用 NFS 4.1 產生的事件和警報。

  • 此指令碼隨工作負載安全代理程式安裝檔案一起提供。它適用於任何已安裝工作負載安全性代理程式的機器。

  • 您可以在工作負載安全代理程式機器上執行指令碼、不需要準備其他Linux機器。不過、如果您偏好在其他系統上執行指令碼、只要複製指令碼並在該處執行即可。

  • 使用者可以根據自己的喜好和系統需求選擇 Python 或 shell 腳本。

  • Python 腳本需要先安裝。如果您不想使用 Python,請使用 Shell 腳本。

指南:

此腳本應在包含大量待加密檔案(包括子資料夾中的檔案)的 SVM 上執行。理想情況下,加密檔案數量應為 100 個或更多。請確保文件不為空。

若要產生警報,請在建立測試資料之前暫時暫停收集器。產生範例檔案後,恢復收集器並啟動加密過程。

步驟:

準備系統:

首先,將目標卷掛載到機器上。您可以掛載 NFS 或 CIFS 匯出。

若要在Linux中掛載NFS匯出:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

請勿掛載NFS 4.1版、Fpolicy不支援。

要在 Linux 中掛載 CIFS:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

啟用 ONTAP Autonomous 勒索軟體防護(可選):

如果您的 ONTAP 叢集版本為 9.11.1 或更高版本,您可以透過在 ONTAP 命令控制台上執行下列命令來啟用 ONTAP 勒索軟體防護服務。

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
接下來、設定資料收集器:

  1. 如果尚未設定工作負載安全性代理程式、請加以設定。

  2. 如果尚未完成,請設定 SVM 資料收集器。

  3. 確保在配置資料收集器時選擇了安裝協定。

以程式設計方式產生範例文件:

在建立文件之前,您必須先停止或"暫停資料收集器"加工。

在執行模擬之前、您必須先新增要加密的檔案。您可以手動將待加密的檔案複製到目標資料夾,也可以使用內建腳本以程式設計方式建立檔案。無論使用哪種方法,請確保至少有 100 個檔案需要加密。

如果您選擇以程式設計方式建立文件,則可以使用 Shell 或 Python:

殼:

  1. 登入值機員方塊。

  2. 將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。CD至該資料夾。

  3. 將腳本從代理安裝目錄 (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) 複製到目標掛載位置。

  4. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:

     './create_dataset.sh'
. 這將在名為「test_dataset」的目錄下的掛載資料夾內建立 100 個具有各種副檔名的非空檔案。

Python:

Python 腳本先決條件:

  • 安裝 Python(如果尚未安裝。)

    • 從下列位置下載 Python 3.5.2 或更高版本 https://www.python.org/

    • 若要檢查 Python 安裝,請執行 python --version

    • Python 腳本已在 3.5.2 版本上進行測試。

  • 如果尚未安裝 pip,請安裝:

    • 從以下位置下載 get-pip.py 腳本 https://bootstrap.pypa.io/

    • 使用以下方式安裝 pip python get-pip.py

    • 使用以下命令驗證 pip 安裝 pip --version

  • PyCryptodome 庫:

    • 該腳本使用 PyCryptodome 庫。

    • 使用以下方式安裝 PyCryptodome pip install pycryptodome

    • 透過運行確認 PyCryptodome 安裝 pip show pycryptodome

Python建立檔案腳本:

  1. 登入值機員方塊。

  2. 將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。CD至該資料夾。

  3. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py)複製到目標安裝位置。

  4. 使用已掛載目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:

     'python create_dataset.py'
. 這將在名為“test_dataset”的目錄下的掛載資料夾中建立 100 個具有各種副檔名的非空文件

恢復收集器

如果您在執行這些步驟之前暫停了收集器,請確保在建立範例檔案後恢復收集器。

以程式設計方式產生範例文件:

在建立文件之前,您必須先停止或"暫停資料收集器"加工。

要產生勒索軟體警報,您可以執行包含的腳本,該腳本將在工作負載安全中模擬勒索軟體警報。

殼:

  1. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh)複製到目標安裝位置。

  2. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:

     './simulate_attack.sh'
. 這將加密“t​​est_dataset”目錄下建立的範例檔案。

Python:

  1. 將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py)複製到目標安裝位置。

  2. 請注意,python 先決條件是按照 Python 腳本先決條件部分安裝的

  3. 使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:

     'python simulate_attack.py'
. 這將加密“t​​est_dataset”目錄下建立的範例檔案。

在工作負載安全性中產生警報

模擬器腳本執行完成後,幾分鐘內就會在 Web UI 上看到警報。

注意:如果滿足以下所有條件,則會產生高置信度警報。

  1. 監控的 SVM 的 ONTAP 版本高於 9.11.1

  2. ONTAP 自主勒索軟體防護已配置

  3. 在叢集模式下新增了工作負載安全資料收集器。

Workload Security 會根據使用者行為偵測勒索軟體模式,而 ONTAP ARP 則會根據檔案中的加密活動偵測勒索軟體活動。

如果滿足條件,Workload Security 會將警報標記為高可信度警報。

警報清單頁面上的高可信度警報範例:

高置信度警報範例,清單頁

高可信度警報詳細資訊範例:

高置信度警報範例,詳細資訊頁面

多次觸發警報

Workload Security 會學習使用者行為,並且不會對同一使用者在 24 小時內重複的勒索軟體攻擊發出警報。

若要使用不同的使用者產生新的警報,請再次執行相同的步驟(建立測試數據,然後加密測試數據)。