Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用NetApp Ransomware Resilience保護策略保護工作負載

貢獻者 amgrissino netapp-ahibbard
PDF

勒索軟體防護策略是 NetApp Ransomware Resilience 的關鍵功能:它們支援偵測、防護和複寫。防護策略是網路安全態勢的重要組成部分。

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色"

了解勒索軟體防護策略

勒索軟體防護策略包括_偵測_、_保護_和_複製_策略。

  • 偵測策略 辨識勒索軟體威脅

  • 保護策略包含快照和備份策略。保護策略中需要偵測和快照策略。備份策略是可選的。

    如果您使用其他NetApp產品來保護您的工作負載,勒索軟體復原能力會發現這些產品並提供以下選項:

    • 使用勒索軟體偵測策略並繼續使用其他NetApp工具建立的快照和備份策略,或者

    • 使用勒索軟體彈性來管理偵測、快照和備份。

  • 複製策略 使您能夠將勒索軟體復原功能的快照複製到輔助網站。複製計劃可以設定為每小時、每天、每週或每月一次的頻率。

    目前,您只能將快照複製到本機ONTAP儲存。

註 如果您正在為 Amazon FSxN for ONTAP 和 Azure NetApp Files 配置保護策略,請參閱"每項服務的限制"
提示 為了更好地管理和保護您的資料資產,您可以建立"群組工作負載",以便在一個策略下統一保護多個磁碟區。

與其他NetApp託管服務結合的保護策略

除了 Ransomware Resilience 之外,您還可以使用 NetApp Backup and Recovery 來管理檔案共用、VM 檔案共用的保護。

來自 Backup & Recovery 服務的保護資訊會顯示在 Ransomware Resilience 中。您可以使用 Ransomware Resilience 為這些服務新增偵測原則。使用 Ransomware Resilience 新增保護原則會取代現有的保護原則。

如果勒索軟體偵測策略由ONTAP中的自主勒索軟體防護(ARP 或 ARP/AI,取決於ONTAP版本)和 FPolicy 管理,則這些工作負載將受到保護並將繼續由 ARP 和 FPolicy 管理。

註 Amazon FSx for NetApp ONTAP 或 Azure NetApp Files 中的工作負載無法使用備份目的地。請使用 FSx for ONTAP 備份服務執行備份作業。您需要在 AWS 中為 FSx for ONTAP 工作負載設定備份原則,而不是在 Ransomware Resilience 中設定。備份原則會顯示在 Ransomware Resilience 中,並且與 AWS 中的設定保持一致。

針對不受NetApp應用程式保護的工作負載的保護策略

如果您的工作負載未由 Backup and Recovery 或 Ransomware Resilience 管理,則可能已建立快照,這些快照是 ONTAP 或其他產品的一部分。如果已啟用 ONTAP FPolicy 保護,您可以使用 ONTAP 變更 FPolicy 保護。

預定義的檢測策略

您可以選擇以下勒索軟體復原預定義策略之一,這些策略與工作負載重要性相符。

註 加密使用者擴充策略是唯一支援可疑使用者行為偵測的預先定義策略。

+ 關鍵複製策略 是唯一支援將快照複製到ONTAP 的預先定義策略。

政策層面 快照 頻率 保留時間(天) 快照副本數量 快照副本的最大數量

關鍵工作量政策

每刻鐘

每15分鐘

3

288

309

日常的

每 1 天

14

14

309

每週

每 1 週

35

5

309

每月

每 30 天

60

2

309

重要的工作量政策

每刻鐘

每30分鐘一班

3

144

165

日常的

每 1 天

14

14

165

每週

每 1 週

35

5

165

每月

每 30 天

60

2

165

標準工作量保單

每刻鐘

每30分鐘

3

72

93

日常的

每 1 天

14

14

93

每週

每 1 週

35

5

93

每月

每 30 天

60

2

93

加密用戶擴充

每刻鐘

每30分鐘

3

72

93

日常的

每 1 天

14

14

93

每週

每 1 週

35

5

93

每月

每 30 天

60

2

93

關鍵複製策略

每刻鐘

每15分鐘

3

288

309

日常的

每 1 天

14

14

309

每週

每 1 週

35

5

309

每月

每 30 天

60

2

309

增加勒索軟體防護策略

有三種增加勒索軟體保護策略:

  • 如果您沒有快照或備份策略,請建立勒索軟體保護策略。

    勒索軟體防護策略包括:

    • 快照策略

    • 勒索軟體檢測政策

    • 備份策略

  • 將 Backup and Recovery 保護中現有的快照或備份原則替換為由 Ransomware Resilience 管理的保護策略。

    勒索軟體防護策略包括:

    • 快照策略

    • 勒索軟體檢測政策

    • 備份策略

  • *使用其他NetApp產品或服務中管理的現有快照和備份策略為工作負載建立偵測策略。 *

    檢測策略不會改變其他產品中管理的策略。

    如果自主勒索軟體保護和 FPolicy 保護已在其他服務中激活,則偵測策略將啟用它們。詳細了解"自主勒索軟體防護""備份和復原" , 和"ONTAP FPolicy"

建立勒索軟體保護策略(如果您沒有快照或備份策略)

如果工作負載上不存在快照或備份策略,您可以建立勒索軟體保護策略,其中可以包含您在勒索軟體復原中建立的以下策略:

  • 快照策略

  • 備份策略

  • 勒索軟體檢測政策

  • 二次複製到ONTAP

創建勒索軟體保護策略的步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

    管理策略頁面

  2. 在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。

  3. 在勒索軟體防護策略頁面中,選擇*新增*。

    新增顯示快照部分的策略頁面

  4. 輸入新的策略名稱,或輸入現有名稱進行複製。如果您輸入的是現有名稱,請選擇要複製的名稱並選擇*複製*。

    註 如果您選擇複製並修改現有策略,Ransomware Resilience 會在原始名稱後面附加「_copy」。您應該更改名稱和至少一個設定以使其唯一。

  5. 對於每個項目,選擇*向下箭頭*。

    • 檢測政策

      • 策略:選擇預先設計的偵測策略之一。

      • 主要偵測:啟用勒索軟體復原功能,以偵測潛在的勒索軟體攻擊。

      • 可疑使用者行為偵測:啟用使用者行為偵測,將使用者活動事件傳輸到勒索軟體復原能力並偵測可疑事件,例如資料外洩。

      • 封鎖檔案副檔名:啟用勒索軟體復原功能,以封鎖已知的可疑檔案副檔名。啟用主偵測功能後,勒索軟體復原功能會自動建立快照副本。

        如果您想更改被封鎖的檔案副檔名,請在系統管理員中編輯它們。

    • 快照策略

      • 快照策略基礎名稱:選擇一個政策或選擇*建立*並輸入快照策略的名稱。

      • 快照鎖定:啟用此功能可鎖定主儲存體上的快照副本,以便即使勒索軟體攻擊進入備份儲存目標,它們在一定時間內也無法被修改或刪除。這也稱為_不可變儲存_。這使得恢復時間更快。

        當快照被鎖定時,磁碟區的過期時間設定為快照副本的過期時間。

    Snapshot 副本鎖定適用於ONTAP 9.12.1 及更高版本。要了解有關SnapLock 的更多信息,請參閱 "ONTAP中的SnapLock"

    • 快照計劃:選擇計劃選項、要保留的快照副本數量,然後選擇啟用計劃。

      • 複製策略

    • 複製策略基本名稱:輸入新名稱或選擇現有名稱。基本名稱是附加到所有快照的前綴。

    • 複製計畫:切換要啟用的頻率(每小時、每天、每週或每月),並為每個啟用的計畫設定保留值(要保留的複製快照的數量)。

      • 備份策略

    • 備份策略基本名稱:輸入新名稱或選擇現有名稱。

    • 備份計畫:選擇二級儲存的計畫選項並啟用該計畫。

      提示 若要在輔助儲存裝置上啟用備份鎖定,請使用 Settings 選項來設定備份目標位置。如需詳細資訊,請參閱 "配置設定"

  6. 選擇“新增”。

在 Backup and Recovery 管理的、具有現有快照和備份原則的工作負載中新增偵測原則

Ransomware Resilience 可讓您為已在其他 NetApp 產品或服務中管理現有快照和備份保護的工作負載指派偵測原則或保護原則。Backup and Recovery 使用原則來管理快照、複寫到次要儲存設備或備份到物件儲存設備。

在具有現有備份或快照策略的工作負載中新增偵測策略

如果您已在 NetApp Backup and Recovery 中設定了快照或備份策略,則可以新增策略來偵測勒索軟體攻擊。若要使用 NetApp Ransomware Resilience 管理保護和偵測,請參閱利用勒索軟體抵禦能力進行保護

步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

    管理策略頁面

  2. 在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。

  3. NetApp Ransomware Resilience 會偵測是否有現有的有效 NetApp Backup and Recovery 原則。

  4. 若要保留現有的 Backup and Recovery 策略,僅套用_偵測_策略,請取消選取取代現有策略方塊。

  5. 選擇所需的偵測設定:

    • 加密偵測

    • 可疑使用者行為偵測

    • 封鎖可疑的檔案副檔名

  6. 選擇下一步

  7. 如果您選擇了 Suspicious user behavior detection 作為偵測設置,請選擇 User activity agent 或"或創建一個"

    用戶活動代理託管新的資料收集器。Ransomware Resilience 會自動建立資料收集器,將使用者活動事件傳送到 Ransomware Resilience 以偵測異常使用者行為。

  8. 選擇下一步

  9. 審查您的選擇。選擇創建來啟動檢測。

  10. 在「保護」頁面上,查看檢測狀態以確認檢測處於活動狀態。

用勒索軟體保護策略取代現有的備份或快照策略

您可以用勒索軟體保護策略取代現有的備份或快照策略。這種方法會刪除外部管理的保護,並在勒索軟體復原中配置偵測和保護。

步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

    管理策略頁面

  2. 在「保護」頁面中,選擇一個工作負載,然後選擇「保護」。

  3. Ransomware Resilience 會偵測是否有現有的作用中 Backup and Recovery 原則。若要取代現有原則、請選取 取代現有原則 方塊。當您選取此方塊時、 Ransomware Resilience 會將偵測原則清單取代為偵測原則。

  4. 選擇保護策略。如果不存在保護策略,請選擇新增來建立新策略。有關建立策略的信息,請參閱建立保護策略。選擇下一步

  5. 如果您的策略包含複製,請選擇目標系統目標儲存虛擬機器。選擇下一步

  6. 選擇備份目標或建立新的備份目標。選擇下一步

    1. 如果您的保護策略包含使用者行為偵測,請在您的環境中選擇一個使用者活動代理程式來託管新的資料收集器。Ransomware Resilience 會自動建立資料收集器,將使用者活動事件傳送到 Ransomware Resilience 以偵測異常使用者行為。

  7. 查看新的保護策略,然後選擇保護來套用它。

  8. 在「保護」頁面上,查看檢測狀態以確認檢測處於活動狀態。

分配不同的策略

您可以用其他策略取代現有策略。

步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

  2. 在「保護」頁面的工作負載行上,選擇「編輯保護」。

  3. 如果工作負載已有 NetApp Backup and Recovery 策略且您希望保留該策略,請取消勾選 Replace existing policies。若要取代現有策略,請勾選 Replace existing policies

  4. 在「策略」頁面中,選擇要指派的策略的向下箭頭以查看詳細資訊。

  5. 選擇您想要指派的策略。

  6. 選擇*保護*以完成變更。

管理勒索軟體防護策略

您可以刪除勒索軟體策略。

查看受勒索軟體保護策略保護的工作負載

在刪除勒索軟體保護策略之前,您可能需要查看哪些工作負載受該策略保護。

您可以從策略清單中或在編輯特定策略時查看工作負載。

查看策略的步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

  2. 在「保護」頁面中,選擇「管理保護策略」。

    勒索軟體防護策略頁面顯示策略清單。

    勒索軟體保護策略畫面顯示策略列表

  3. 在「勒索軟體保護策略」頁面的「受保護的工作負載」欄位中,選擇行末的向下箭頭。

移除勒索軟體防護策略

您可以刪除目前未與任何工作負載關聯的保護策略。

步驟

  1. 從勒索軟體恢復選單中,選擇*保護*。

  2. 在「保護」頁面中,選擇「管理保護策略」。

  3. 在“管理策略”頁面中,選擇“操作”操作按鈕您想要刪除的策略的選項。

  4. 從操作選單中,選擇*刪除策略*。