管理自主勒索軟體保護攻擊偵測參數
從 ONTAP 9 。 11.1 開始,您可以在啟用自動勒索軟體保護的特定磁碟區上修改勒索軟體偵測的參數,並將已知的激增報告為正常檔案活動。調整偵測參數有助於根據您的特定 Volume 工作負載、提高報告的準確度。
攻擊偵測的運作方式
當自主勒索軟體保護( ARP )處於學習模式時、它會為 Volume 行為開發基準值。這些是 Entropy 、檔案副檔名、以及從 ONTAP 9.11.1 開始的 IOPS 。這些基準用於評估勒索軟體威脅。如需這些條件的詳細資訊,請參閱ARP 偵測到什麼。
在 ONTAP 9.10.1 中、如果 ARP 偵測到下列兩種情況、就會發出警告:
-
超過 20 個檔案的副檔名先前未在磁碟區中觀察到
-
高 Entropy 資料
從 ONTAP 9.11.1 開始、如果符合 _ 僅 _ 一個條件、 ARP 就會發出威脅警告。例如,如果在 24 小時內觀察到超過 20 個檔案的副檔名,而這些副檔名先前未在磁碟區中觀察到,則 ARP 會將此歸類為威脅(無論觀察到的 Entropy 為何)。24 小時和 20 個檔案值為預設值,可加以修改。
若要減少大量誤報,請前往 * 儲存 > 磁碟區 > 安全性 > 設定工作負載特性 * ,並停用 * 監控新檔案類型 * 。此設定在 ONTAP 9 中預設為停用。 14.1 P7 , 9.15.1 P1 和 9.16.1 RC 及更新版本。 |
從 ONTAP 9 . 14.1 開始,您可以在 ARP 觀察到新的副檔名,以及 ARP 建立快照時,設定警示。如需更多資訊、請參閱 [modify-alerts]。
某些磁碟區和工作負載需要不同的偵測參數。例如、啟用 ARP 的磁碟區可能會裝載許多類型的副檔名、在這種情況下、您可能會想要將前所未見的副檔名臨界值數修改為大於預設值 20 的數字、或是根據前所未見的副檔名停用警告。從 ONTAP 9.11.1 開始、您可以修改攻擊偵測參數、使其更適合您的特定工作負載。
修改攻擊偵測參數
視您的 ARP 磁碟區預期行為而定、您可能需要修改攻擊偵測參數。
-
檢視現有的攻擊偵測參數:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
所有顯示的欄位都可以使用布林值或整數值來修改。若要修改欄位、請使用
security anti-ransomware volume attack-detection-parameters modify
命令。如需有關本程序中所述命令"指令參考資料ONTAP"的詳細資訊,請參閱。
回報已知的突波
即使處於作用中模式、 ARP 仍會繼續修改偵測參數的基準值。如果您知道 Volume 活動的突波,一次性突波或是屬於新常態特徵的突波,您應該將它們回報為安全的。手動回報這些突波的安全性、有助於提高 ARP 威脅評估的準確度。
-
如果已知情況下發生一次性喘振、而您希望 ARP 在未來的情況下回報類似的喘振、請清除工作負載行為中的喘振:
security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>
-
如果回報的喘振應視為正常應用程式行為、請回報喘振、以修改基準喘振值。
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>
設定 ARP 警示
從 ONTAP 9.14.1 開始、 ARP 可讓您指定兩個 ARP 事件的警示:
-
觀察磁碟區上的新副檔名
-
建立 ARP 快照
這兩個事件的警示可在個別磁碟區或整個 SVM 上設定。如果您啟用 SVM 的警示、則警示設定只會由啟用警示後建立的磁碟區繼承。根據預設、警示不會在任何磁碟區上啟用。
事件警示可透過多重管理驗證來控制。如需詳細資訊、請參閱 使用 ARP 保護的磁碟區進行多重管理驗證。
-
瀏覽至 Volumes (磁碟區) 。選取您要修改設定的個別磁碟區。
-
選擇「 安全性 」標籤、然後選擇「事件安全性設定 ** 」。
-
若要接收關於「偵測到新的副檔名 」和「建立的勒索軟體快照 」的警示、請選取「 嚴重性 」標題下的下拉式功能表。將設定從「不產生事件」 修改為「通知」 。
-
選擇 儲存 。
-
瀏覽至 儲存 VM 、然後選取您要啟用設定的 SVM 。
-
在「 安全性 」標題下、找到「 防勒索軟體 」卡。接著選擇 「編輯勒索軟體事件嚴重性」 ** 。
-
若要接收關於「偵測到新的副檔名 」和「建立的勒索軟體快照 」的警示、請選取「 嚴重性 」標題下的下拉式功能表。將設定從「不產生事件」 修改為「通知」 。
-
選擇 儲存 。
-
若要設定新副檔名的警示:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
若要設定建立 ARP 快照的警示:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
使用確認您的設定
anti-ransomware volume event-log show
命令。
-
若要設定新副檔名的警示:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
若要設定建立 ARP 快照的警示:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
使用確認您的設定
security anti-ransomware vserver event-log show
命令。