使用NetApp Ransomware Resilience保護策略保護工作負載
建議變更
PDF
您可以透過在NetApp Ransomware Resilience中啟用工作負載一致性保護或建立勒索軟體保護策略來保護工作負載免受勒索軟體攻擊。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
了解勒索軟體防護策略
勒索軟體保護策略包括_偵測_和_保護_策略。
-
偵測策略 偵測勒索軟體威脅
-
保護策略包含快照和備份策略。保護策略中需要偵測和快照策略。備份策略是可選的。
如果您使用其他NetApp產品來保護您的工作負載,勒索軟體復原能力會發現這些產品並提供以下選項:
-
使用勒索軟體偵測策略並繼續使用其他NetApp工具建立的快照和備份策略,或者
-
使用勒索軟體彈性來管理偵測、快照和備份。
-
|
為了增強對資料資產的管理和保護,您可以創建"群組文件共享"透過策略來集體保護卷。 |
與其他NetApp託管服務結合的保護策略
除了勒索軟體復原能力之外,還可以使用以下服務來管理保護:
-
NetApp Backup and Recovery、VM 檔案共享
-
SnapCenter for VMware 適用於虛擬機器資料儲存區
-
適用於 Oracle 和 MySQL 的SnapCenter
這些服務的保護資訊出現在 Ransomware Resilience 中。您可以使用 Ransomware Resilience 為這些服務新增偵測策略。增加具有勒索軟體復原能力的保護策略將取代現有的保護策略。
如果勒索軟體偵測策略由ONTAP中的自主勒索軟體防護(ARP 或 ARP/AI,取決於ONTAP版本)和 FPolicy 管理,則這些工作負載將受到保護並將繼續由 ARP 和 FPolicy 管理。
|
Amazon FSx for NetApp ONTAP中的工作負載沒有可用的備份目標。使用 FSx for ONTAP備份服務執行備份作業。您為 AWS 中的 FSx for ONTAP中的工作負載設定備份策略,而不是在 Ransomware Resilience 中設定。備份策略出現在 Ransomware Resilience 中,與 AWS 保持不變。 |
針對不受NetApp應用程式保護的工作負載的保護策略
如果您的工作負載不是由備份和復原、勒索軟體復原、 SnapCenter或SnapCenter Plug-in for VMware vSphere管理的,則它可能具有作為ONTAP或其他產品的一部分拍攝的快照。如果ONTAP FPolicy 保護已到位,則可以使用ONTAP變更 FPolicy 保護。
查看工作負載上的勒索軟體保護
保護工作負載的第一步是查看目前工作負載及其保護狀態。您可以看到以下類型的工作負載:
-
應用程式工作負載
-
阻止工作負載
-
檔案共享工作負載
-
虛擬機器工作負載
-
從控制台左側導覽中,選擇*保護*>*勒索軟體恢復*。
-
執行下列操作之一:
-
從儀表板上的資料保護窗格中,選擇「查看全部」。
-
從選單中選擇*保護*。
-
-
在此頁面中,您可以查看和變更工作負載的保護詳細資料。
|
|
看"增加勒索軟體防護策略"了解在現有SnapCenter或備份和復原的現有保護策略的情況下使用勒索軟體復原能力的情況。 |
了解保護頁面
保護頁面顯示有關工作負載保護的以下資訊:
保護狀態:工作負載可以顯示下列保護狀態之一,以指示是否套用了政策:
-
受保護:已套用原則。與工作負載相關的所有磁碟區上均啟用了 ARP(或 ARP/AI,取決於ONTAP版本)。
-
存在風險:未應用任何保單。如果工作負載沒有啟用主要偵測策略,那麼即使啟用了快照和備份策略,它仍然「處於危險之中」。
-
進行中:政策正在應用但尚未完成。
-
失敗:策略已套用但不起作用。
偵測狀態:工作負載可以具有下列勒索軟體偵測狀態之一:
-
學習:最近為工作負載分配了勒索軟體偵測策略,而勒索軟體復原正在掃描工作負載。
-
主動:已指派勒索軟體偵測保護策略。
-
未設定:未指派勒索軟體偵測保護策略。
-
錯誤:已指派勒索軟體偵測策略,但勒索軟體復原遇到錯誤。
當在勒索軟體復原中啟用保護時,勒索軟體偵測策略狀態從學習模式變成主動模式後,警報偵測和報告開始。
偵測策略:如果已指派勒索軟體偵測策略,則會顯示其名稱。如果尚未指派偵測策略,則會顯示「N/A」。
快照和備份策略:此列顯示應用於工作負載的快照和備份策略以及管理這些策略的產品或服務。
-
由SnapCenter管理
-
由適用於SnapCenter Plug-in for VMware vSphere管理
-
由備份和復原管理
-
管理快照和備份的勒索軟體保護策略的名稱
-
沒有任何
工作量的重要性
勒索軟體復原能力根據對每個工作負載的分析,在發現過程中為每個工作負載分配重要性或優先順序。工作負載重要性由下列快照頻率決定:
-
嚴重:每小時拍攝的快照副本超過 1 個(高度激進的保護計劃)
-
重要:每小時拍攝的快照副本少於 1 個,但每天拍攝的快照副本多於 1 個
-
標準:每天拍攝的快照副本超過 1 個
您可以選擇以下勒索軟體復原預定義策略之一,這些策略與工作負載重要性相符。
|
|
加密使用者擴充策略是唯一支援可疑使用者行為偵測的預先定義策略。 |
| 政策層面 | 快照 | 頻率 | 保留時間(天) | 快照副本數量 | 快照副本總數上限 |
|---|---|---|---|---|---|
關鍵工作量政策 |
每刻鐘 |
每15分鐘 |
3 |
288 |
309 |
日常的 |
每 1 天 |
14 |
14 |
309 |
|
每週 |
每 1 週 |
35 |
5 |
309 |
|
每月 |
每 30 天 |
60 |
2 |
309 |
|
重要的工作量政策 |
每刻鐘 |
每30分鐘一班 |
3 |
144 |
165 |
日常的 |
每 1 天 |
14 |
14 |
165 |
|
每週 |
每 1 週 |
35 |
5 |
165 |
|
每月 |
每 30 天 |
60 |
2 |
165 |
|
標準工作量保單 |
每刻鐘 |
每30分鐘 |
3 |
72 |
93 |
日常的 |
每 1 天 |
14 |
14 |
93 |
|
每週 |
每 1 週 |
35 |
5 |
93 |
|
每月 |
每 30 天 |
60 |
2 |
93 |
|
加密用戶擴充 |
每刻鐘 |
每30分鐘 |
3 |
72 |
93 |
日常的 |
每 1 天 |
14 |
14 |
93 |
|
每週 |
每 1 週 |
35 |
5 |
93 |
|
每月 |
每 30 天 |
60 |
2 |
93 |
使用SnapCenter實現應用程式或虛擬機器一致的保護
啟用應用程式或虛擬機器一致性保護可協助您以一致的方式保護應用程式或虛擬機器工作負載,實現靜止且一致的狀態,以避免日後需要復原時發生潛在的資料遺失。
此程序啟動使用備份和還原為應用程式註冊SnapCenter軟體伺服器或SnapCenter Plug-in for VMware vSphere。
啟用工作負載一致性保護後,您可以在勒索軟體復原中管理保護策略。保護策略包括在其他地方管理的快照和備份策略以及在勒索軟體復原中管理的勒索軟體偵測策略。
若要了解如何使用備份和復原註冊適用於 VMware vSphere 的SnapCenter或SnapCenter Plug-in for VMware vSphere,請參閱下列資訊:
-
從勒索軟體恢復選單中,選擇*儀表板*。
-
從「建議」窗格中,找到以下建議之一並選擇「檢視並修復」:
-
使用NetApp Console註冊可用的SnapCenter伺服器
-
使用NetApp Console註冊適用SnapCenter Plug-in for VMware vSphere(SCV)
-
-
依照資訊使用備份和還原為 VMware vSphere 主機註冊SnapCenter或SnapCenter Plug-in for VMware vSphere。
-
返回勒索軟體恢復能力。
-
從勒索軟體復原力導航到儀表板並再次啟動發現過程。
-
從勒索軟體復原中,選擇「保護」以查看「保護」頁面。
-
查看「保護」頁面上的快照和備份策略列中的詳細信息,以了解這些策略是否在其他地方進行管理。
增加勒索軟體防護策略
有三種增加勒索軟體保護策略:
-
如果您沒有快照或備份策略,請建立勒索軟體保護策略。
勒索軟體防護策略包括:
-
快照策略
-
勒索軟體檢測政策
-
備份策略
-
-
以勒索軟體復原管理的保護策略取代SnapCenter或備份和復原保護中的現有快照或備份策略。
勒索軟體防護策略包括:
-
快照策略
-
勒索軟體檢測政策
-
備份策略
-
-
*使用其他NetApp產品或服務中管理的現有快照和備份策略為工作負載建立偵測策略。 *
檢測策略不會改變其他產品中管理的策略。
如果自主勒索軟體保護和 FPolicy 保護已在其他服務中激活,則偵測策略將啟用它們。詳細了解"自主勒索軟體防護","備份和復原" , 和"ONTAP FPolicy"。
建立勒索軟體保護策略(如果您沒有快照或備份策略)
如果工作負載上不存在快照或備份策略,您可以建立勒索軟體保護策略,其中可以包含您在勒索軟體復原中建立的以下策略:
-
快照策略
-
備份策略
-
勒索軟體檢測政策
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。
-
在勒索軟體防護策略頁面中,選擇*新增*。
-
輸入新的策略名稱,或輸入現有名稱進行複製。如果您輸入的是現有名稱,請選擇要複製的名稱並選擇*複製*。
如果您選擇複製並修改現有策略,Ransomware Resilience 會在原始名稱後面附加「_copy」。您應該更改名稱和至少一個設定以使其唯一。 -
對於每個項目,選擇*向下箭頭*。
-
檢測政策:
-
策略:選擇預先設計的偵測策略之一。
-
主要偵測:啟用勒索軟體偵測,讓勒索軟體復原能力偵測潛在的勒索軟體攻擊。
-
可疑使用者行為偵測:啟用使用者行為偵測,將使用者活動事件傳輸到勒索軟體復原能力並偵測可疑事件,例如資料外洩。
-
封鎖檔案副檔名:啟用此功能可讓勒索軟體復原功能封鎖已知的可疑檔案副檔名。當啟用主要偵測時,勒索軟體復原能力會自動取得快照副本。
如果您想更改被封鎖的檔案副檔名,請在系統管理員中編輯它們。
-
-
快照策略:
-
快照策略基礎名稱:選擇一個政策或選擇*建立*並輸入快照策略的名稱。
-
快照鎖定:啟用此功能可鎖定主儲存體上的快照副本,以便即使勒索軟體攻擊進入備份儲存目標,它們在一定時間內也無法被修改或刪除。這也稱為_不可變儲存_。這使得恢復時間更快。
當快照被鎖定時,磁碟區的過期時間設定為快照副本的過期時間。
Snapshot 副本鎖定適用於ONTAP 9.12.1 及更高版本。要了解有關SnapLock 的更多信息,請參閱 "ONTAP中的SnapLock"。
-
快照計劃:選擇計劃選項、要保留的快照副本數量,然後選擇啟用計劃。
-
-
備份策略:
-
備份策略基本名稱:輸入新名稱或選擇現有名稱。
-
備份計畫:選擇二級儲存的計畫選項並啟用該計畫。
-
若要在輔助儲存上啟用備份鎖定,請使用*設定*選項來設定備份目標。有關詳細信息,請參閱"配置設定" 。 -
-
選擇“新增”。
將偵測原則新增至具有由SnapCenter或備份和復原管理的現有快照和備份原則的工作負載
勒索軟體復原能力可讓您為在其他NetApp產品或服務中管理的現有快照和備份保護的工作負載指派偵測策略或保護策略。其他服務(例如備份和還原和SnapCenter)使用管理快照、複製到二級儲存或備份到物件儲存的策略。
在具有現有備份或快照策略的工作負載中新增偵測策略
如果您已有具有備份和復原或SnapCenter 的快照或備份策略,則可以新增策略來偵測勒索軟體攻擊。若要使用 Ransomware Resilience 管理保護和偵測,請參閱利用勒索軟體抵禦能力進行保護。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。
-
勒索軟體復原能力偵測是否存在活動的SnapCenter或備份和復原策略。
-
若要保留現有的備份和復原或SnapCenter策略並僅套用_偵測_策略,請取消選取取代現有策略框。
-
要查看SnapCenter策略的詳細信息,請選擇*向下箭頭*。
-
選擇您想要的偵測設定:加密偵測 可疑使用者行為偵測 封鎖可疑檔案副檔名
-
選擇下一步。
-
如果您選擇「可疑使用者行為偵測」作為偵測設置,請選擇「使用者活動代理」或"或創建一個"。
用戶活動代理託管新的資料收集器。Ransomware Resilience 會自動建立資料收集器,將使用者活動事件傳送到 Ransomware Resilience 以偵測異常使用者行為。
-
選擇下一步。
-
審查您的選擇。選擇創建來啟動檢測。
-
在「保護」頁面上,查看檢測狀態以確認檢測處於活動狀態。
用勒索軟體保護策略取代現有的備份或快照策略
您可以用勒索軟體保護策略取代現有的備份或快照策略。這種方法會刪除外部管理的保護,並在勒索軟體復原中配置偵測和保護。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。
-
勒索軟體復原能力偵測是否有現有的活動備份和復原或SnapCenter策略。若要取代現有的備份和復原或SnapCenter策略,請勾選「取代現有策略」方塊。當您勾選該方塊時,勒索軟體復原力會以偵測策略取代偵測策略清單。
-
選擇保護策略。如果不存在保護策略,請選擇新增來建立新策略。有關建立策略的信息,請參閱建立保護策略。選擇下一步。
-
選擇備份目標或建立新的備份目標。選擇下一步。
-
如果您的保護策略包含使用者行為偵測,請在您的環境中選擇一個使用者活動代理程式來託管新的資料收集器。Ransomware Resilience 會自動建立資料收集器,將使用者活動事件傳送到 Ransomware Resilience 以偵測異常使用者行為。
-
-
查看新的保護策略,然後選擇保護來套用它。
-
在「保護」頁面上,查看檢測狀態以確認檢測處於活動狀態。
分配不同的策略
您可以用其他策略取代現有策略。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面的工作負載行上,選擇「編輯保護」。
-
如果工作負載具有您想要維護的現有備份和復原或SnapCenter策略,請取消勾選「取代現有策略」。若要取代現有策略,請勾選取代現有策略。
-
在「策略」頁面中,選擇要指派的策略的向下箭頭以查看詳細資訊。
-
選擇您想要指派的策略。
-
選擇*保護*以完成變更。
建立保護組
將文件共用分組到保護組中可以更輕鬆地保護您的資料資產。勒索軟體復原能力可以同時保護群組中的所有捲,而不是單獨保護每個磁碟區。
您可以建立群組,而不管其保護狀態如何(即未受保護的群組和受保護的群組)。當您將保護策略新增至保護群組時,新的保護策略將取代任何現有策略,包括由SnapCenter和NetApp Backup and Recovery管理的策略。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「保護群組」標籤。
-
選擇“新增”。
-
輸入保護組的名稱。
-
選擇要新增到群組中的工作負載。
要查看有關工作負載的更多詳細信息,請滾動到右側。 -
選擇“下一步”。
-
選擇策略來管理該群組的保護。若要確認,請選擇“下一步”。
-
如果需要設定備份策略,請選擇一個,然後選擇下一步。
-
如果您的偵測策略包含使用者行為偵測,請選擇您想要使用的資料收集器,然後按一下下一步。
-
-
檢查保護組的選擇。
-
若要完成保護群組的創建,請選擇“新增”。
編輯組保護
您可以變更現有群組的偵測策略。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「保護群組」選項卡,然後選擇要修改其政策的群組。
-
從保護群組的概覽頁面中,選擇「編輯保護」。
-
選擇要套用的現有保護策略或選擇新增以建立新的保護策略。有關添加保護策略的更多信息,請參閱建立保護策略。然後選擇儲存。
-
在備份目標概覽中,選擇現有的備份目標或新增新的備份目標。
-
選擇下一步來查看您的變更。
從群組中刪除工作負載
您可能稍後需要從現有群組中刪除工作負載。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「保護群組」標籤。
-
選擇要從中刪除一個或多個工作負載的群組。
-
在選定的保護群組頁面中,選擇要從群組中刪除的工作負載,然後選擇“操作”
選項。 -
從「操作」功能表中,選擇「刪除工作負載」。
-
確認您要刪除工作負載並選擇*刪除*。
刪除保護群組
刪除保護群組會刪除該群組及其保護,但不會刪除單一工作負載。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「保護群組」標籤。
-
選擇要從中刪除一個或多個工作負載的群組。
-
在選定的保護群組頁面的右上角,選擇「刪除保護群組」。
-
確認您要刪除該群組並選擇*刪除*。
管理勒索軟體防護策略
您可以刪除勒索軟體策略。
查看受勒索軟體保護策略保護的工作負載
在刪除勒索軟體保護策略之前,您可能需要查看哪些工作負載受該策略保護。
您可以從策略清單中或在編輯特定策略時查看工作負載。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「管理保護策略」。
勒索軟體防護策略頁面顯示策略清單。
-
在「勒索軟體保護策略」頁面的「受保護的工作負載」欄位中,選擇行末的向下箭頭。
移除勒索軟體防護策略
您可以刪除目前未與任何工作負載關聯的保護策略。
-
從勒索軟體恢復選單中,選擇*保護*。
-
在「保護」頁面中,選擇「管理保護策略」。
-
在“管理策略”頁面中,選擇“操作”
您想要刪除的策略的選項。 -
從操作選單中,選擇*刪除策略*。