工作負載安全性:模擬攻擊
您可以使用本頁上的指示、模擬攻擊、以便使用隨附的勒索軟體模擬指令碼來測試或示範工作負載安全性。
開始之前要注意的事項
-
勒索軟體模擬指令碼僅適用於Linux。如果使用者將 ONTAP ARP 與 Workload Security 集成,模擬腳本也應產生高置信度警報。
-
只有當 ONTAP 版本為 9.15 或更高版本時,工作負載安全才會偵測使用 NFS 4.1 產生的事件和警報。
-
此指令碼隨工作負載安全代理程式安裝檔案一起提供。它適用於任何已安裝工作負載安全性代理程式的機器。
-
您可以在工作負載安全代理程式機器上執行指令碼、不需要準備其他Linux機器。不過、如果您偏好在其他系統上執行指令碼、只要複製指令碼並在該處執行即可。
-
使用者可以根據自己的喜好和系統需求選擇 Python 或 shell 腳本。
-
Python 腳本需要先安裝。如果您不想使用 Python,請使用 Shell 腳本。
指南:
此腳本應在包含大量待加密檔案(包括子資料夾中的檔案)的 SVM 上執行。理想情況下,加密檔案數量應為 100 個或更多。請確保文件不為空。
若要產生警報,請在建立測試資料之前暫時暫停收集器。產生範例檔案後,恢復收集器並啟動加密過程。
步驟:
準備系統:
首先,將目標卷掛載到機器上。您可以掛載 NFS 或 CIFS 匯出。
若要在Linux中掛載NFS匯出:
mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder
請勿掛載NFS 4.1版、Fpolicy不支援。
要在 Linux 中掛載 CIFS:
mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
啟用 ONTAP Autonomous 勒索軟體防護(可選):
如果您的 ONTAP 叢集版本為 9.11.1 或更高版本,您可以透過在 ONTAP 命令控制台上執行下列命令來啟用 ONTAP 勒索軟體防護服務。
security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name] 接下來、設定資料收集器:
-
如果尚未設定工作負載安全性代理程式、請加以設定。
-
如果尚未完成,請設定 SVM 資料收集器。
-
確保在配置資料收集器時選擇了安裝協定。
以程式設計方式產生範例文件:
在建立文件之前,您必須先停止或"暫停資料收集器"加工。
在執行模擬之前、您必須先新增要加密的檔案。您可以手動將待加密的檔案複製到目標資料夾,也可以使用內建腳本以程式設計方式建立檔案。無論使用哪種方法,請確保至少有 100 個檔案需要加密。
如果您選擇以程式設計方式建立文件,則可以使用 Shell 或 Python:
殼:
-
登入值機員方塊。
-
將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。CD至該資料夾。
-
將腳本從代理安裝目錄 (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) 複製到目標掛載位置。
-
使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:
'./create_dataset.sh' . 這將在名為「test_dataset」的目錄下的掛載資料夾內建立 100 個具有各種副檔名的非空檔案。
Python:
Python 腳本先決條件:
-
安裝 Python(如果尚未安裝。)
-
從下列位置下載 Python 3.5.2 或更高版本 https://www.python.org/ 。
-
若要檢查 Python 安裝,請執行
python --version
。 -
Python 腳本已在 3.5.2 版本上進行測試。
-
-
如果尚未安裝 pip,請安裝:
-
從以下位置下載 get-pip.py 腳本 https://bootstrap.pypa.io/ 。
-
使用以下方式安裝 pip
python get-pip.py
。 -
使用以下命令驗證 pip 安裝
pip --version
。
-
-
PyCryptodome 庫:
-
該腳本使用 PyCryptodome 庫。
-
使用以下方式安裝 PyCryptodome
pip install pycryptodome
。 -
透過運行確認 PyCryptodome 安裝
pip show pycryptodome
。
-
Python建立檔案腳本:
-
登入值機員方塊。
-
將 NFS 或 CIFS 共用從檔案管理器的 SVM 掛載到代理電腦。CD至該資料夾。
-
將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py)複製到目標安裝位置。
-
使用已掛載目錄(例如 /root/demo)中的腳本執行以下命令來建立測試資料集資料夾和檔案:
'python create_dataset.py' . 這將在名為“test_dataset”的目錄下的掛載資料夾中建立 100 個具有各種副檔名的非空文件
恢復收集器
如果您在執行這些步驟之前暫停了收集器,請確保在建立範例檔案後恢復收集器。
以程式設計方式產生範例文件:
在建立文件之前,您必須先停止或"暫停資料收集器"加工。
要產生勒索軟體警報,您可以執行包含的腳本,該腳本將在工作負載安全中模擬勒索軟體警報。
殼:
-
將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh)複製到目標安裝位置。
-
使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:
'./simulate_attack.sh' . 這將加密“test_dataset”目錄下建立的範例檔案。
Python:
-
將腳本從代理安裝目錄(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py)複製到目標安裝位置。
-
請注意,python 先決條件是按照 Python 腳本先決條件部分安裝的
-
使用掛載目錄(例如 /root/demo)中的腳本執行以下命令來加密測試資料集:
'python simulate_attack.py' . 這將加密“test_dataset”目錄下建立的範例檔案。
在工作負載安全性中產生警報
模擬器腳本執行完成後,幾分鐘內就會在 Web UI 上看到警報。
注意:如果滿足以下所有條件,則會產生高置信度警報。
-
監控的 SVM 的 ONTAP 版本高於 9.11.1
-
ONTAP 自主勒索軟體防護已配置
-
在叢集模式下新增了工作負載安全資料收集器。
Workload Security 會根據使用者行為偵測勒索軟體模式,而 ONTAP ARP 則會根據檔案中的加密活動偵測勒索軟體活動。
如果滿足條件,Workload Security 會將警報標記為高可信度警報。
警報清單頁面上的高可信度警報範例:
高可信度警報詳細資訊範例:
多次觸發警報
Workload Security 會學習使用者行為,並且不會對同一使用者在 24 小時內重複的勒索軟體攻擊發出警報。
若要使用不同的使用者產生新的警報,請再次執行相同的步驟(建立測試數據,然後加密測試數據)。