整合ONTAP 了功能完善的勒索軟體保護功能
建議變更
PDF
此功能使用NAS(NFS和SMB)環境中的工作負載分析功能ONTAP 、主動偵測及警告可能表示勒索軟體攻擊的異常檔案內活動。
有關 ARP "請按這裡"的其他詳細信息和許可證要求,請參閱。
工作負載安全功能與ONTAP VMware整合、可接收ARP事件、並提供額外的分析和自動回應層。
工作負載安全性會接收ONTAP 來自於Arp的事件、並採取下列行動:
-
將磁碟區加密事件與使用者活動建立關聯、以識別造成損害的原因。
-
實作自動回應原則(若已定義)
-
提供鑑識功能:
-
允許客戶進行資料外洩調查。
-
找出哪些檔案受到影響、有助於更快恢復並進行資料外洩調查。
-
先決條件
-
最低 ONTAP 版本: 9.11.1
-
啟用了ARP的磁碟區。有關啓用 ARP 的詳細信息"請按這裡",請參閱。必須透過OnCommand 「支援系統管理程式」來啟用ARP。工作負載安全性無法啟用ARP。
-
應透過叢集IP新增工作負載安全收集器。
-
此功能需要叢集層級認證、才能正常運作。換句話說、新增SVM時必須使用叢集層級認證。
需要使用者權限
如果您使用叢集管理認證、則不需要新的權限。
如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以便從ONTAP Sfor收集與Arp相關的資訊。
對於具有叢集認證的_CsUser_、請從ONTAP 下列指令行執行下列動作:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
瞭解有關配置其他"權限ONTAP"的更多信息。
警示範例
下列為因ARP事件而產生的警示範例:
高可信度橫幅表示攻擊顯示勒索軟體行為及檔案加密活動。加密檔案圖表會指出Arp解決方案偵測到磁碟區加密活動的時間戳記。
限制
如果SVM未受工作負載安全性監控、但ONTAP 有由效益管理系統產生的ARP事件、則工作負載安全系統仍會接收並顯示這些事件。但是、與警示相關的鑑識資訊以及使用者對應將不會被擷取或顯示。
疑難排解
下表說明已知問題及其解決方法。
| 問題: | 解決方法: |
|---|---|
偵測到攻擊後24小時內收到電子郵件警示。在 UI 中、警示會在 Data Infrastructure Insights Workload Security 收到電子郵件之前 24 小時顯示。 |
當 ONTAP 將 r勒索 軟體 Detected 事件傳送至資料基礎架構洞見工作負載安全性(即工作負載安全性)時、就會傳送電子郵件。此活動包含攻擊清單及其時間戳記。工作負載安全性UI會顯示第一個受攻擊檔案的警示時間戳記。ONTAP 會在編碼特定數量的檔案時、將「偵測到的勒索軟體」事件傳送至「資料基礎架構洞見」。因此、在UI中顯示警示的時間與電子郵件傳送的時間可能有所不同。 |