讓我們來看看上述功能如何與 VMware 合作、以保護和恢復資料、防範勒索軟體。為了保護 vSphere 和來賓 VM 免於遭受攻擊、必須採取多項措施、包括分割、針對端點使用 EDR/XDR/SIEM 、安裝安全更新、並遵守適當的強化準則。位於資料存放區上的每個虛擬機器也會裝載標準作業系統。確保已安裝企業伺服器反惡意軟體產品套件、並定期更新這些套件、這是多層勒索軟體保護策略的重要元件。此外、在資料存放區的 NFS 磁碟區上啟用自主勒索軟體保護（ ARP ）。ARP 利用內建的內建 ML 來查看 Volume 工作負載活動和資料 Entropy 、以自動偵測勒索軟體。ARP 可透過 ONTAP 內建管理介面或系統管理員進行設定、並以每個磁碟區為基礎啟用。

一旦進入作用中模式、系統就會開始尋找可能是勒索軟體的異常 Volume 活動。如果偵測到異常活動、系統會立即執行自動 Snapshot 複本、以盡可能接近檔案感染的還原點。當新的副檔名新增至加密的磁碟區或檔案的副檔名遭到修改時、 ARP 可以偵測位於虛擬機器外部的 NFS 磁碟區上 VM 特定副檔名的變更。

如果勒索軟體攻擊的目標是虛擬機器（ VM ）、並在虛擬機器之外變更檔案、則如果虛擬機器的預設 Entropy （例如、 .txt 、 .docx 或 .mp4 檔案）較低、進階勒索軟體保護（ ARP ）仍會偵測到威脅。雖然在這種情況下 ARP 會建立保護性快照、但它不會產生威脅警示、因為 VM 外部的副檔名並未遭到竄改。在這種情況下、最初的防禦層會識別異常狀況、不過 ARP 有助於根據 Entropy 建立快照。

如需詳細資訊，請參閱中的「 ARP 與虛擬機器」一節"ARP 使用狀況與考量"。

從檔案移轉到備份資料、勒索軟體攻擊現在越來越以備份和快照恢復點為目標、嘗試在開始加密檔案之前先刪除這些點。不過、使用 ONTAP 、您可以在主要或次要系統上使用建立防竄改快照"NetApp Snapshot ™複本鎖定"、以防止發生這種情況。

勒索軟體攻擊者或惡意系統管理員無法刪除或變更這些 Snapshot 複本、因此即使在攻擊之後也能使用這些複本。如果資料存放區或特定虛擬機器受到影響、 SnapCenter 可在數秒內恢復虛擬機器資料、將組織的停機時間降至最低。

以上說明 ONTAP 儲存如何在現有技術中新增額外的層級、以強化環境的未來性。

如需其他資訊，請參閱的指南"NetApp 勒索軟體解決方案"。

現在、如果所有這些都需要與 SIEM 工具協調和整合、就可以使用 BlueXP  勒索軟體保護等 OFFTAP 服務。這是一項服務、旨在保護資料免受勒索軟體的侵害。此服務可保護 Oracle 、 MySQL 、 VM 資料存放區及內部部署 NFS 儲存設備上的檔案共用等應用程式型工作負載。

在此範例中、 NFS 資料存放區「 src_nfs_DS04 」使用 BlueXP  勒索軟體保護來保護。

如需設定 BlueXP  勒索軟體保護的詳細資訊、請參閱"設定 BlueXP  勒索軟體保護"和"設定 BlueXP 勒索軟體保護設定"。

現在是以範例來說明這點的時候了。在此逐步解說中、資料存放區「 src-nfs_DS04 」會受到影響。

ARP 在偵測到時立即觸發磁碟區上的快照。

鑑識分析完成後、即可利用 SnapCenter 或 BlueXP  勒索軟體保護、快速無縫地完成還原。使用 SnapCenter 、前往受影響的虛擬機器、並選取適當的快照進行還原。

本節探討 BlueXP  勒索軟體保護如何協調從加密 VM 檔案的勒索軟體事件中恢復的工作。

NetApp 解決方案提供各種有效的工具來進行可見度、偵測和補救、協助您及早發現勒索軟體、防止這種散播、並在必要時快速恢復、以避免代價高昂的停機時間。傳統的分層防禦解決方案依然盛行、第三方和合作夥伴的可見度與偵測解決方案也同樣如此。有效的補救措施仍是回應任何威脅的關鍵部分。