使用NetApp自主勒索軟體防護和 AI 保護您的數據
使用 NetApp 具備人工智慧的自主勒索軟體防護 (ARP/AI) 來保護您的資料。它監控 NAS (NFS/SMB) 和 SAN 環境中的活動,以偵測可能預示勒索軟體攻擊的異常行為。如果偵測到威脅,ARP/AI 會自動建立新的不可變更快照,以便您可以還原資料。
使用 ARP/AI 來防止拒絕服務攻擊,攻擊者會扣留資料直到支付贖金。 ARP/AI 提供基於以下內容的即時勒索軟體偵測:
-
將傳入資料識別為加密或純文字。
-
可偵測下列項目的分析:
-
熵:對檔案中資料隨機性的評估(用於 NAS 和 SAN 環境)
-
檔案副檔名類型:不符合常規副檔名類型的副檔名(僅用於 NAS 環境)
-
檔案 IOPS:資料加密時出現異常的磁碟區活動激增(僅用於 NAS 環境)
-
ARP/AI 可以在僅少量文件被加密後檢測到大多數勒索軟體攻擊的傳播,自動採取行動保護數據,並提醒您疑似攻擊正在發生。
ARP/AI 功能會根據Amazon FSx for NetApp ONTAP執行的ONTAP版本自動更新,因此您無需進行手動更新。
- 學習和作用中模式
-
ARP/AI 的行為取決於協定和磁碟區類型:
-
NAS 磁碟區(NFS/SMB):啟用 ARP/AI 後,它會立即開始運作。它使用預先訓練的 AI 模型來即時偵測勒索軟體威脅。
-
SAN 磁碟區(自 ONTAP 9.17.1 起):ARP/AI 即使在首次評估期間內也能提供即時保護。在這 2-4 週內,系統會學習正常的加密活動並設定警報閾值。同時,系統會持續監控您的資料、偵測威脅並發送警報。
-
主動模式:啟用主動模式後,FSx for ONTAP 會建立 ARP/AI 快照,以便在偵測到潛在威脅時協助保護您的資料。
-
如果系統將某個檔案副檔名標記為異常,請查看警報。您可以回應警報以保護您的資料,或者如果活動在預期之內,則將其標記為誤報。
當您將警報標記為誤報時,系統會更新其警報設定。例如,如果一個新的檔案副檔名觸發了警報,而您將其標記為誤報,那麼下次系統偵測到該檔案副檔名時,您將不會收到警報。
- 不支援的組態
-
以下配置不支援使用 ARP/AI。
-
NVMe 磁碟區
-
使用早於 ONTAP 9.17.1 版本的 iSCSI 磁碟區
-
為檔案系統或磁碟區啟用 ARP/AI
為檔案系統啟用 ARP/AI 功能可自動保護所有現有和新增的 NAS 磁碟區(NFS/SMB)。從 ONTAP 9.17.1 開始,此功能也支援 SAN 磁碟區(iSCSI)。您也可以為特定磁碟區啟用 ARP/AI 功能。
啟用 ARP/AI 後,如果偵測到真實攻擊,Workload Factory 會自動建立快照原則。此原則每四小時最多可建立六個快照。每個快照鎖定 2-5 天。
若要為檔案系統或磁碟區啟用 ARP/AI,您必須關聯一個連結。"了解如何關聯現有連結或建立並關聯新連結" 。連結關聯後,返回此操作。
-
使用其中一項登"主控台體驗"入。
-
選擇選單
然後選擇“儲存”。 -
從儲存選單中,選擇 FSx for ONTAP。
-
從 FSx for ONTAP 中,選擇檔案系統的操作選單以啟用 ARP/AI,然後選擇 管理。
-
在資訊下,選擇「自主勒索軟體防護」旁的鉛筆圖示。當滑鼠停留在「Autonomous Ransomware Protection」行上時,箭頭旁邊會出現一個鉛筆圖示。
-
在NetApp自主勒索軟體防護 AI (ARP/AI) 頁面中,執行以下操作:
-
啟用或停用該功能。
-
自動建立快照:選擇要保留的最大快照數量以及拍攝快照的時間間隔。預設值為每 4 小時 6 張快照。
-
不可變快照:選擇預設保留期(以小時為單位)和保留不可變快照的最多天數。啟用此選項可確保在指定的保留期結束之前無法刪除或修改快照。
-
偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。
-
-
接受聲明以繼續。
-
選取 * 套用 * 以儲存變更。
-
使用其中一項登"主控台體驗"入。
-
選擇選單
然後選擇“儲存”。 -
從儲存選單中,選擇 FSx for ONTAP。
-
從 FSx for ONTAP 中,選擇檔案系統的操作選單以啟用 ARP/AI,然後選擇 管理。
-
從「磁碟區」標籤中,選擇磁碟區的操作選單以啟用 ARP/AI,然後選擇*資料保護操作*,然後選擇*管理 ARP/AI*。
-
在管理 ARP/AI 對話方塊中,執行以下操作:
-
啟用或停用該功能。
-
偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。
-
-
接受聲明以繼續。
-
選取 * 套用 * 以儲存變更。
驗證勒索軟體攻擊
判斷攻擊是假警報還是真正的勒索軟體事件。
-
使用其中一項登"主控台體驗"入。
-
選擇選單
然後選擇“儲存”。 -
從儲存選單中,選擇 FSx for ONTAP。
-
從 FSx for ONTAP 中,選擇要驗證勒索軟體攻擊的檔案系統。
-
從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。
-
從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。
-
下載攻擊事件報告,檢閱是否有任何檔案或資料夾遭到入侵,然後決定是否發生攻擊。
-
如果未發生攻擊,請在表格中選取 * 錯誤警報 * 作為磁碟區,然後選取 * 關閉 *
-
如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。「還原遭入侵的 Volume 資料」對話方塊隨即開啟。您可以立即進入恢復您的資料或選擇 * 關閉 * ,稍後再回來完成恢復程序。
在勒索軟體攻擊之後恢復資料
當系統偵測到可能的攻擊時,它會建立並鎖定該時刻的磁碟區快照。
如果攻擊事後得到確認,您可以從快照中還原受影響的檔案或整個磁碟區。
鎖定的快照在保留期限到期前無法刪除。如果之後確認攻擊為誤報,則會刪除鎖定的快照。
由於系統能夠識別受影響的檔案和攻擊時間,因此您可以僅從可用的快照中還原受影響的檔案,而無需還原整個磁碟區。
-
使用其中一項登"主控台體驗"入。
-
選擇選單
然後選擇“儲存”。 -
從儲存選單中,選擇 FSx for ONTAP。
-
從 FSx for ONTAP 中,選擇要還原資料的檔案系統。
-
從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。
-
從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。
-
如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。
-
在還原遭入侵的磁碟區資料對話方塊中,依照指示在檔案層級或磁碟區層級還原。在大多數情況下,您會還原檔案,而非整個磁碟區。
-
完成還原後,選取 * 關閉 * 。
已還原遭入侵的資料。