Skip to main content
Amazon FSx for NetApp ONTAP
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用NetApp自主勒索軟體防護和 AI 保護您的數據

貢獻者 netapp-rlithman netapp-sineadd

使用 NetApp 具備人工智慧的自主勒索軟體防護 (ARP/AI) 來保護您的資料。它監控 NAS (NFS/SMB) 和 SAN 環境中的活動,以偵測可能預示勒索軟體攻擊的異常行為。如果偵測到威脅,ARP/AI 會自動建立新的不可變更快照,以便您可以還原資料。

關於這項工作

使用 ARP/AI 來防止拒絕服務攻擊,攻擊者會扣留資料直到支付贖金。 ARP/AI 提供基於以下內容的即時勒索軟體偵測:

  • 將傳入資料識別為加密或純文字。

  • 可偵測下列項目的分析:

    • :對檔案中資料隨機性的評估(用於 NAS 和 SAN 環境)

    • 檔案副檔名類型:不符合常規副檔名類型的副檔名(僅用於 NAS 環境)

    • 檔案 IOPS:資料加密時出現異常的磁碟區活動激增(僅用於 NAS 環境)

ARP/AI 可以在僅少量文件被加密後檢測到大多數勒索軟體攻擊的傳播,自動採取行動保護數據,並提醒您疑似攻擊正在發生。

ARP/AI 功能會根據Amazon FSx for NetApp ONTAP執行的ONTAP版本自動更新,因此您無需進行手動更新。

學習和作用中模式

ARP/AI 的行為取決於協定和磁碟區類型:

  • NAS 磁碟區(NFS/SMB):啟用 ARP/AI 後,它會立即開始運作。它使用預先訓練的 AI 模型來即時偵測勒索軟體威脅。

  • SAN 磁碟區(自 ONTAP 9.17.1 起):ARP/AI 即使在首次評估期間內也能提供即時保護。在這 2-4 週內,系統會學習正常的加密活動並設定警報閾值。同時,系統會持續監控您的資料、偵測威脅並發送警報。

  • 主動模式:啟用主動模式後,FSx for ONTAP 會建立 ARP/AI 快照,以便在偵測到潛在威脅時協助保護您的資料。

如果系統將某個檔案副檔名標記為異常,請查看警報。您可以回應警報以保護您的資料,或者如果活動在預期之內,則將其標記為誤報。

當您將警報標記為誤報時,系統會更新其警報設定。例如,如果一個新的檔案副檔名觸發了警報,而您將其標記為誤報,那麼下次系統偵測到該檔案副檔名時,您將不會收到警報。

不支援的組態

以下配置不支援使用 ARP/AI。

  • NVMe 磁碟區

  • 使用早於 ONTAP 9.17.1 版本的 iSCSI 磁碟區

為檔案系統或磁碟區啟用 ARP/AI

為檔案系統啟用 ARP/AI 功能可自動保護所有現有和新增的 NAS 磁碟區(NFS/SMB)。從 ONTAP 9.17.1 開始,此功能也支援 SAN 磁碟區(iSCSI)。您也可以為特定磁碟區啟用 ARP/AI 功能。

啟用 ARP/AI 後,如果偵測到真實攻擊,Workload Factory 會自動建立快照原則。此原則每四小時最多可建立六個快照。每個快照鎖定 2-5 天。

開始之前

若要為檔案系統或磁碟區啟用 ARP/AI,您必須關聯一個連結。"了解如何關聯現有連結或建立並關聯新連結" 。連結關聯後,返回此操作。

為檔案系統啟用 ARP/AI
步驟
  1. 使用其中一項登"主控台體驗"入。

  2. 選擇選單 漢堡選單圖示用於導航至儲存、EDA、AI、資料庫、VMware 和管理等工作負載。 然後選擇“儲存”。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇檔案系統的操作選單以啟用 ARP/AI,然後選擇 管理

  5. 在資訊下,選擇「自主勒索軟體防護」旁的鉛筆圖示。當滑鼠停留在「Autonomous Ransomware Protection」行上時,箭頭旁邊會出現一個鉛筆圖示。

  6. 在NetApp自主勒索軟體防護 AI (ARP/AI) 頁面中,執行以下操作:

    1. 啟用或停用該功能。

    2. 自動建立快照:選擇要保留的最大快照數量以及拍攝快照的時間間隔。預設值為每 4 小時 6 張快照。

    3. 不可變快照:選擇預設保留期(以小時為單位)和保留不可變快照的最多天數。啟用此選項可確保在指定的保留期結束之前無法刪除或修改快照。

    4. 偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。

  7. 接受聲明以繼續。

  8. 選取 * 套用 * 以儲存變更。

為磁碟區啟用 ARP/AI
步驟
  1. 使用其中一項登"主控台體驗"入。

  2. 選擇選單 漢堡選單圖示用於導航至儲存、EDA、AI、資料庫、VMware 和管理等工作負載。 然後選擇“儲存”。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇檔案系統的操作選單以啟用 ARP/AI,然後選擇 管理

  5. 從「磁碟區」標籤中,選擇磁碟區的操作選單以啟用 ARP/AI,然後選擇*資料保護操作*,然後選擇*管理 ARP/AI*。

  6. 在管理 ARP/AI 對話方塊中,執行以下操作:

    1. 啟用或停用該功能。

    2. 偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。

  7. 接受聲明以繼續。

  8. 選取 * 套用 * 以儲存變更。

驗證勒索軟體攻擊

判斷攻擊是假警報還是真正的勒索軟體事件。

步驟
  1. 使用其中一項登"主控台體驗"入。

  2. 選擇選單 漢堡選單圖示用於導航至儲存、EDA、AI、資料庫、VMware 和管理等工作負載。 然後選擇“儲存”。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇要驗證勒索軟體攻擊的檔案系統。

  5. 從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。

  6. 從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。

  7. 下載攻擊事件報告,檢閱是否有任何檔案或資料夾遭到入侵,然後決定是否發生攻擊。

  8. 如果未發生攻擊,請在表格中選取 * 錯誤警報 * 作為磁碟區,然後選取 * 關閉 *

  9. 如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。「還原遭入侵的 Volume 資料」對話方塊隨即開啟。您可以立即進入恢復您的資料或選擇 * 關閉 * ,稍後再回來完成恢復程序。

在勒索軟體攻擊之後恢復資料

當系統偵測到可能的攻擊時,它會建立並鎖定該時刻的磁碟區快照。

如果攻擊事後得到確認,您可以從快照中還原受影響的檔案或整個磁碟區。

鎖定的快照在保留期限到期前無法刪除。如果之後確認攻擊為誤報,則會刪除鎖定的快照。

由於系統能夠識別受影響的檔案和攻擊時間,因此您可以僅從可用的快照中還原受影響的檔案,而無需還原整個磁碟區。

步驟
  1. 使用其中一項登"主控台體驗"入。

  2. 選擇選單 漢堡選單圖示用於導航至儲存、EDA、AI、資料庫、VMware 和管理等工作負載。 然後選擇“儲存”。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇要還原資料的檔案系統。

  5. 從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。

  6. 從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。

  7. 如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。

  8. 在還原遭入侵的磁碟區資料對話方塊中,依照指示在檔案層級或磁碟區層級還原。在大多數情況下,您會還原檔案,而非整個磁碟區。

  9. 完成還原後,選取 * 關閉 * 。

結果

已還原遭入侵的資料。