Skip to main content
Amazon FSx for NetApp ONTAP
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用NetApp自主勒索軟體防護和 AI 保護您的數據

貢獻者 netapp-rlithman
PDF

使用NetApp自主勒索軟體防護 AI (ARP/AI) 功能保護您的數據,該功能使用 NAS (NFS/SMB) 環境中的工作負載分析來偵測並警告可能為勒索軟體攻擊的異常活動。當懷疑受到攻擊時,ARP/AI 也會建立新的、不可變的快照,您可以從中復原資料。

關於這項工作

使用 ARP/AI 來防止拒絕服務攻擊,攻擊者會扣留資料直到支付贖金。 ARP/AI 提供基於以下內容的即時勒索軟體偵測:

  • 將傳入資料識別為加密或純文字。

  • 可偵測下列項目的分析:

    • Entropy :評估檔案中資料的隨機性

    • 檔案副檔名類型 :不符合一般副檔名類型的副檔名

    • 檔案 IOPS :資料加密的異常 Volume 活動激增

ARP/AI 可以在僅少量文件被加密後檢測到大多數勒索軟體攻擊的傳播,自動採取行動保護數據,並提醒您疑似攻擊正在發生。

ARP/AI 功能會根據Amazon FSx for NetApp ONTAP執行的ONTAP版本自動更新,因此您無需進行手動更新。

學習和作用中模式

ARP/AI 先在_學習模式_下執行,然後自動切換到_主動模式_。

  • 學習模式:當您啟用 ARP/AI 時,它以_學習模式_運行。在學習模式下,FSx for ONTAP檔案系統根據分析區域(熵、檔案擴充類型和檔案 IOPS)開發警報設定檔。在檔案系統以學習模式運行 ARP/AI 足夠時間以評估工作負載特徵後,工作負載工廠會自動切換到 ARP/AI 到_主動模式_並開始保護您的資料。

  • 主動模式:ARP/AI 切換到_主動模式_後,如果偵測到威脅,FSx for ONTAP會建立 ARP/AI 快照來保護資料。

    在作用中模式中、如果檔案副檔名標示為異常、您應該評估警示。您可以對警示採取行動以保護資料、也可以將警示標記為誤報。將警示標記為誤報會更新警示設定檔。例如、如果警示是由新的副檔名觸發、而您將警示標記為誤判、則下次觀察到該副檔名時、您將不會收到警示。

不支援的組態

以下配置不支援使用 ARP/AI。

  • SAN / 區塊磁碟區

  • iSCSI磁碟區

  • NVMe 磁碟區

為檔案系統或磁碟區啟用 ARP/AI

為檔案系統啟用 ARP/AI 會自動為所有現有 NAS 和新建立的 NAS(NFS/SMB)磁碟區新增保護。您也可以為單一磁碟區啟用 ARP/AI。

啟用 ARP/AI 後,如果發生攻擊並且您確定攻擊是真實的,工作負載工廠會自動設定快照策略,每四小時最多拍攝六次快照。每個快照鎖定2-5天。

開始之前

若要為檔案系統或磁碟區啟用 ARP/AI,您必須關聯一個連結。"了解如何關聯現有連結或建立並關聯新連結" 。連結關聯後,返回此操作。

為檔案系統啟用 ARP/AI
步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在 Storage (儲存設備)中、選取 * 前往 Storage inventory* (儲存設備庫存)。

  3. FSx for ONTAP 標籤中,選擇檔案系統的三點選單以啟用 ARP/AI,然後選擇 管理

  4. 在資訊下,選擇「自主勒索軟體防護」旁的鉛筆圖示。當滑鼠停留在「Autonomous Ransomware Protection」行上時,箭頭旁邊會出現一個鉛筆圖示。

  5. 在NetApp自主勒索軟體防護 AI (ARP/AI) 頁面中,執行以下操作:

    1. 啟用或停用該功能。

    2. 自動建立快照:選擇要保留的最大快照數量以及拍攝快照的時間間隔。預設值為每 4 小時 6 張快照。

    3. 不可變快照:選擇預設保留期(以小時為單位)和保留不可變快照的最多天數。啟用此選項可確保在指定的保留期結束之前無法刪除或修改快照。

    4. 偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。

  6. 接受聲明以繼續。

  7. 選取 * 套用 * 以儲存變更。

為磁碟區啟用 ARP/AI
步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在 Storage (儲存設備)中、選取 * 前往 Storage inventory* (儲存設備庫存)。

  3. FSx for ONTAP 標籤中,選擇檔案系統的三點選單以啟用 ARP/AI,然後選擇 管理

  4. 從「磁碟區」標籤中,選擇磁碟區的三點選單以啟用 ARP/AI,然後選擇*資料保護操作*,然後選擇*管理 ARP/AI*。

  5. 在管理 ARP/AI 對話方塊中,執行以下操作:

    1. 啟用或停用該功能。

    2. 偵測:可選擇性地,選擇下列任一參數來自動掃描和偵測異常。

  6. 接受聲明以繼續。

  7. 選取 * 套用 * 以儲存變更。

驗證勒索軟體攻擊

判斷攻擊是假警報還是真正的勒索軟體事件。

步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在 Storage (儲存設備)中、選取 * 前往 Storage inventory* (儲存設備庫存)。

  3. 從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。

  4. 從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。

  5. 下載攻擊事件報告,檢閱是否有任何檔案或資料夾遭到入侵,然後決定是否發生攻擊。

  6. 如果未發生攻擊,請在表格中選取 * 錯誤警報 * 作為磁碟區,然後選取 * 關閉 *

  7. 如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。「還原遭入侵的 Volume 資料」對話方塊隨即開啟。您可以立即進入恢復您的資料或選擇 * 關閉 * ,稍後再回來完成恢復程序。

在勒索軟體攻擊之後恢復資料

當懷疑受到攻擊時,系統會在該時間點拍攝卷快照並鎖定該副本。如果稍後確認攻擊,則可以使用 ARP/AI 快照還原受影響的檔案或整個磁碟區。

在保留期間結束之前,無法刪除鎖定的快照。不過、如果您稍後決定將攻擊標示為誤判、則鎖定的複本將會刪除。

瞭解受影響的檔案和攻擊時間後,您可以選擇性地從各種快照中復原受影響的檔案,而不只是將整個磁碟區還原為其中一個快照。

步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在 Storage (儲存設備)中、選取 * 前往 Storage inventory* (儲存設備庫存)。

  3. 從檔案系統總覽中、選取 * Volumes (磁碟區) * 標籤。

  4. 從「自主勒索軟體保護」磚中選取 * 分析攻擊 * 。

  5. 如果發生攻擊,請針對表格中的磁碟區選取 * 實際攻擊 * 。

  6. 在還原遭入侵的磁碟區資料對話方塊中,依照指示在檔案層級或磁碟區層級還原。在大多數情況下,您會還原檔案,而非整個磁碟區。

  7. 完成還原後,選取 * 關閉 * 。

結果

已還原遭入侵的資料。