讓我們看看上述功能如何與 VMware 搭配使用來保護資料並恢復資料以抵禦勒索軟體的攻擊。為了保護 vSphere 和客戶虛擬機器免受攻擊，必須採取多項措施，包括分段、利用端點的 EDR/XDR/SIEM、安裝安全性更新並遵守適當的強化指南。駐留在資料儲存上的每個虛擬機器也託管一個標準作業系統。確保企業伺服器安裝反惡意軟體產品套件並定期更新，這是多層勒索軟體保護策略的重要組成部分。除此之外，在為資料儲存提供支援的 NFS 磁碟區上啟用自主勒索軟體保護 (ARP)。 ARP 利用內建的 onbox ML 查看卷宗工作負載活動和資料熵來自動偵測勒索軟體。 ARP 可透過ONTAP內建管理介面或系統管理員進行配置，並依磁碟區啟用。

一旦進入活動模式，它就會開始尋找可能是勒索軟體的異常卷活動。如果偵測到異常活動，則會立即進行自動快照複製，從而提供盡可能接近檔案感染的復原點。當加密磁碟區中新增副檔名或修改檔案副檔名時，ARP 可以偵測到位於 VM 外部的 NFS 磁碟區上 VM 特定檔案副檔名的變化。

如果勒索軟體攻擊針對虛擬機器 (VM) 並更改 VM 內的檔案而不對 VM 外部進行更改，則如果 VM 的預設熵較低（例如，對於 .txt、.docx 或 .mp4 檔案等檔案類型），進階勒索軟體防護 (ARP) 仍將偵測到威脅。即使 ARP 在這種情況下創建了保護快照，它也不會產生威脅警報，因為 VM 以外的檔案副檔名尚未被篡改。在這種情況下，初始防禦層會識別異常，但 ARP 有助於根據熵建立快照。

有關詳細信息，請參閱"ARP 用例和注意事項"。

從檔案轉向備份數據，勒索軟體攻擊現在越來越多地瞄準備份和快照恢復點，試圖在開始加密檔案之前刪除它們。但是，使用ONTAP，可以透過在主系統或輔助系統上建立防篡改快照來防止這種情況"NetApp Snapshot 副本鎖定"。

這些 Snapshot 副本無法被勒索軟體攻擊者或惡意管理員刪除或更改，因此即使在受到攻擊後它們仍然可用。如果資料儲存或特定虛擬機器受到影響， SnapCenter可以在幾秒鐘內恢復虛擬機器數據，最大限度地減少組織的停機時間。

以上內容展示了ONTAP儲存如何在現有技術上添加額外的層，從而增強環境的未來性。

如需更多信息，請查看"NetApp勒索軟體解決方案"。

現在，如果所有這些都需要與 SIEM 工具進行協調和集成，那麼可以使用像BlueXP ransomware protection這樣的 offtap 服務。這是一項旨在保護資料免受勒索軟體侵害的服務。該服務為基於應用程式的工作負載（例如 Oracle、MySQL、VM 資料儲存和本機 NFS 儲存上的檔案共用）提供保護。

在此範例中，NFS 資料儲存「Src_NFS_DS04」使用BlueXP ransomware protection進行保護。

有關配置BlueXP ransomware protection的詳細信息，請參閱"設定BlueXP ransomware protection"和"配置BlueXP ransomware protection設置"。

現在是時候透過一個例子來解釋這一點了。在本演練中，資料儲存「Src_NFS_DS04」受到影響。

ARP 在偵測到後立即觸發了磁碟區上的快照。

一旦法醫分析完成，就可以使用SnapCenter或BlueXP ransomware protection快速且無縫地完成恢復。使用SnapCenter，前往受影響的虛擬機器並選擇要還原的適當快照。

本節介紹BlueXP ransomware protection如何協調從加密 VM 檔案的勒索軟體事件中復原。

NetApp解決方案提供了各種有效的可見性、偵測和補救工具，可協助您及早發現勒索軟體，防止其傳播，並在必要時快速恢復，以避免代價高昂的停機。傳統的分層防禦解決方案仍然盛行，第三方和合作夥伴的可視性和檢測解決方案也是如此。有效的補救措施仍然是應對任何威脅的關鍵部分。