與ONTAP自主勒索軟體防護集成
建議變更
PDF
ONTAP自主勒索軟體防護 (ARP) 功能使用 NAS(NFS 和 SMB)環境中的工作負載分析來主動偵測並警告可能表明勒索軟體攻擊的異常檔案內活動。
關於 ARP 的更多詳細資訊和許可要求可以找到"這裡"。
工作負載安全性與ONTAP整合以接收 ARP 事件並提供額外的分析和自動回應層。
工作負載安全性從ONTAP接收 ARP 事件並執行下列操作:
-
將捲加密事件與使用者活動關聯起來,以識別造成損害的人。
-
實施自動回應策略(如果定義)
-
提供取證能力:
-
允許客戶進行資料外洩調查。
-
確定哪些文件受到了影響,幫助更快地恢復並進行資料外洩調查。
-
先決條件
-
最低ONTAP版本:9.11.1
-
ARP 啟用磁碟區。關於啟用 ARP 的詳細資訊可以找到"這裡"。必須透過OnCommand System Manager啟用 ARP。工作負載安全性無法啟用 ARP。
-
應透過叢集 IP 新增工作負載安全收集器。
-
此功能需要集群級憑證才能運作。換句話說,新增 SVM 時必須使用叢集等級憑證。
需要使用者權限
如果您使用叢集管理憑證,則不需要新的權限。
如果您使用具有指定權限的自訂使用者(例如 csuser),請依照下列步驟授予 Workload Security 從ONTAP收集 ARP 相關資訊的權限。
對於具有叢集憑證的 csuser,從ONTAP命令列執行下列操作:
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
閱讀有關配置其他內容的更多信息"ONTAP 權限"。
樣本警報
由於 ARP 事件產生的警報示例如下所示:
高可信度橫幅表明攻擊已顯示出勒索軟體行為以及檔案加密活動。加密檔案圖表指示 ARP 解決方案偵測到磁碟區加密活動的時間戳記。
限制
如果 SVM 未受到 Workload Security 監控,但ONTAP產生了 ARP 事件,則 Workload Security 仍會接收並顯示這些事件。但是,與警報相關的取證資訊以及使用者映射將不會被捕獲或顯示。
故障排除
下表描述了已知問題及其解決方法。
| 問題: | 解決: |
|---|---|
偵測到攻擊後 24 小時會收到電子郵件警報。在 UI 中,警報會在Data Infrastructure Insights工作負載安全收到電子郵件之前 24 小時顯示。 |
當ONTAP將「偵測到勒索軟體」事件傳送到Data Infrastructure Insights工作負載安全(即工作負載安全)時,就會發送電子郵件。此事件包含攻擊清單及其時間戳記。工作負載安全 UI 顯示第一個受到攻擊的檔案的警報時間戳。當一定數量的文件被編碼時, ONTAP會將「偵測到勒索軟體」事件傳送到Data Infrastructure Insights。因此,警報在 UI 中顯示的時間與電子郵件發送的時間之間可能會有差異。 |