版本資訊
管理自主勒索軟體保護攻擊偵測參數
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
從 ONTAP 9.11.1 開始、您可以修改特定 Automware Protection 磁碟區上的勒索軟體偵測參數、並將已知的激增報告為正常檔案活動。調整偵測參數有助於根據您的特定 Volume 工作負載、提高報告的準確度。
攻擊偵測的運作方式
當自主勒索軟體保護( ARP )處於學習模式時、它會為 Volume 行為開發基準值。這些是 Entropy 、檔案副檔名、以及從 ONTAP 9.11.1 開始的 IOPS 。這些基準用於評估勒索軟體威脅。如需這些條件的詳細資訊、請參閱 ARP 偵測到什麼。
在 ONTAP 9.10.1 中、如果 ARP 偵測到下列兩種情況、就會發出警告:
-
超過 20 個檔案的副檔名先前未在磁碟區中觀察到
-
高 Entropy 資料
從 ONTAP 9.11.1 開始、如果符合 _ 僅 _ 一個條件、 ARP 就會發出威脅警告。例如、如果在 24 小時內觀察到超過 20 個檔案的副檔名、而這些副檔名先前未在磁碟區中觀察到、則 ARP 會將此歸類為威脅(無論觀察到的 Entropy 為何)。( 24 小時和 20 個檔案值為預設值、可加以修改。)
從 ONTAP 9.14.1 開始、您可以在 ARP 觀察到新的副檔名、以及 ARP 建立快照時、設定警示。如需詳細資訊、請參閱 [modify-alerts]
某些磁碟區和工作負載需要不同的偵測參數。例如、啟用 ARP 的磁碟區可能會裝載許多類型的副檔名、在這種情況下、您可能會想要將前所未見的副檔名臨界值數修改為大於預設值 20 的數字、或是根據前所未見的副檔名停用警告。從 ONTAP 9.11.1 開始、您可以修改攻擊偵測參數、使其更適合您的特定工作負載。
修改攻擊偵測參數
視您的 ARP 磁碟區預期行為而定、您可能需要修改攻擊偵測參數。
-
檢視現有的攻擊偵測參數:
security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_namesecurity anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24 -
所有顯示的欄位都可以使用布林值或整數值來修改。若要修改欄位、請使用
security anti-ransomware volume attack-detection-parameters modify命令。如需參數的完整清單、請參閱 "指令參考資料ONTAP"。
回報已知的突波
即使處於作用中模式、 ARP 仍會繼續修改偵測參數的基準值。如果您知道 Volume 活動的突波(一次性突波或是新常態特徵的突波)、您應該將其回報為安全的。手動回報這些突波的安全性、有助於提高 ARP 威脅評估的準確度。
-
如果已知情況下發生一次性喘振、而您希望 ARP 在未來的情況下回報類似的喘振、請清除工作負載行為中的喘振:
security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name
-
如果回報的喘振應視為正常應用程式行為、請回報喘振、以修改基準喘振值。
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name
設定 ARP 警示
從 ONTAP 9.14.1 開始、 ARP 可讓您指定兩個 ARP 事件的警示:
-
觀察磁碟區上的新副檔名
-
建立 ARP Snapshot
這兩個事件的警示可在個別磁碟區或整個 SVM 上設定。如果您啟用 SVM 的警示、則警示設定只會由啟用警示後建立的磁碟區繼承。根據預設、警示不會在任何磁碟區上啟用。
事件警示可透過多重管理驗證來控制。如需詳細資訊、請參閱 使用 ARP 保護的磁碟區進行多重管理驗證。
-
瀏覽至 Volumes (磁碟區) 。選取您要修改設定的個別磁碟區。
-
選擇「 安全性 」標籤、然後選擇「事件安全性設定 ** 」。
-
若要接收關於「偵測到新的副檔名 」和「建立的勒索軟體快照 」的警示、請選取「 嚴重性 」標題下的下拉式功能表。將設定從「不產生事件」 修改為「通知」 。
-
選擇 儲存 。
-
瀏覽至 儲存 VM 、然後選取您要啟用設定的 SVM 。
-
在「 安全性 」標題下、找到「 防勒索軟體 」卡。選取
然後 編輯勒索軟體事件嚴重性 。 -
若要接收關於「偵測到新的副檔名 」和「建立的勒索軟體快照 」的警示、請選取「 嚴重性 」標題下的下拉式功能表。將設定從「不產生事件」 修改為「通知」 。
-
選擇 儲存 。
-
若要設定新副檔名的警示:
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true -
若要設定建立 ARP Snapshot 的警示:
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true -
使用確認您的設定
anti-ransomware volume event-log show命令。
-
若要設定新副檔名的警示:
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true -
若要設定建立 ARP Snapshot 的警示:
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true -
使用確認您的設定
security anti-ransomware vserver event-log show命令。