Schützen Sie Ihre Daten mit Autonomous Ransomware Protection - FSx für ONTAP
Wie funktioniert ARPWonach sucht ARPWie reagiert man mit ARP auf einen vermuteten Angriff

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen Sie Ihre Daten mit Autonomous Ransomware Protection

Autonomous Ransomware Protection (ARP) ist eine NetApp ONTAP KI-gestützte Funktion, die Ihre Daten überwacht und vor Ransomware- und Malware-Angriffen schützt, falls Ihre Windows- oder Linux-Clients gefährdet werden. Mithilfe von maschinellem Lernen macht sich ARP mit Ihren ONTAP-Dateisystemen vertraut, FSx um proaktiv abnormale Aktivitäten zu erkennen. ARP ist für alle neuen und bestehenden Dateisysteme FSx für ONTAP in allen Ländern verfügbar, in AWS-Regionen denen Amazon FSx für NetApp ONTAP verfügbar ist.

Wie funktioniert ARP

Mithilfe der ONTAP CLI oder der REST-API können Sie ARP pro Volume oder standardmäßig auf allen neuen Volumes in einer SVM aktivieren. Weitere Informationen zur Aktivierung von ARP finden Sie unter. Autonomen Schutz vor Ransomware aktivieren

Da die KI von ARP auf einem umfassenden Datensatz trainiert wird, benötigt sie keine Lernphase, bis ARP auf FlexVol Volumes läuft, und startet daher sofort im aktiven Modus. ARP AI verfügt außerdem über eine automatische Aktualisierungsfunktion, um ständigen Schutz und Widerstandsfähigkeit gegen die neuesten Bedrohungen zu gewährleisten. Im aktiven Modus überwacht ARP eingehende Daten und Aktivitäten auf dem Volume, um potenzielle Ransomware- und Malware-Angriffe zu identifizieren. Weitere Informationen finden Sie unter Wonach sucht ARP. Wenn ARP ungewöhnliche Aktivitäten feststellt, wird automatisch ein ONTAP Snapshot erstellt, damit Sie Ihre Daten so schnell wie möglich zum Zeitpunkt des potenziellen Angriffs wiederherstellen können. Der Snapshot hat das Präfix vonAnti_ransomware_backup, sodass er leicht zu identifizieren ist. Wenn festgestellt wird, dass die Angriffswahrscheinlichkeit moderat ist, ONTAP wird eine EMS-Meldung (Events Management System) generiert, die Sie überprüfen können. Weitere Informationen erhalten Sie unter Wie reagiert man mit ARP auf einen vermuteten Angriff und Grundlegendes zu EMS-Warnmeldungen für autonomen Ransomware-Schutz.

Der Leistungsaufwand für ARP ist für die meisten Workloads minimal. Wenn Ihre Volumes leseintensive Workloads haben, NetApp empfiehlt es sich, nicht mehr als 150 solcher Volumes pro Dateisystem zu schützen. Wenn Sie diese Zahl überschreiten, können die IOPS für diesen Workload um bis zu 4% sinken. Wenn Ihre Volumes schreibintensive Workloads haben, NetApp empfiehlt es sich, nicht mehr als 60 solcher Volumes pro Dateisystem zu schützen. Andernfalls könnten die IOPS für diesen Workload um bis zu 10% sinken. Weitere Informationen zur Leistung finden Sie unter Leistung von Amazon FSx für NetApp ONTAP.

Für die Aktivierung von ARP auf Ihrem FSx ONTAP-Dateisystem fallen keine zusätzlichen Kosten an.

Wonach sucht ARP

ARP sucht nach Anzeichen dafür, dass Ihre Windows- oder Linux-Clients gefährdet sind. ARP sucht auf dem Volume insbesondere nach den folgenden Aktivitätstypen:

  • Änderungen der Entropie, d. h. Unterschiede in der Zufälligkeit der Daten in einer Datei.

  • Änderungen der Dateierweiterungstypen, was bedeutet, dass die neue Erweiterung nicht mit dem normalerweise verwendeten Erweiterungstyp übereinstimmt. Die Standardeinstellung sind 20 Dateien mit Dateierweiterungen, die in dem Band bisher nicht berücksichtigt wurden.

  • Änderungen der Datei-IOPS, was einen Anstieg ungewöhnlicher Volume-Aktivitäten bei verschlüsselten Daten bedeutet.

Sie können die Ransomware-Erkennungsparameter für Ihr Volume bei Bedarf ändern. Dies ist beispielsweise der Fall, wenn Ihr Volume viele Arten von Dateierweiterungen enthält. Weitere Informationen finden Sie im NetApp Documentation Center unter Verwalten der Angriffserkennungsparameter von ONTAP Autonomous Ransomware Protection.

Anmerkung

ARP verhindert nicht, dass betrügerische Administratoren mit Anmeldeinformationen auf Ihr FSx ONTAP-Dateisystem zugreifen. AWS empfiehlt einen mehrschichtigen Sicherheitsansatz AWS Backup, der ONTAP Snapshots und umfasst. SnapLock

Wie reagiert man mit ARP auf einen vermuteten Angriff

Wenn ARP einen Angriff erkennt, generiert es einen Snapshot, der als Wiederherstellungspunkt verwendet werden kann. Der Snapshot ist gesperrt und kann nicht auf normale Weise gelöscht werden. Je nach Schwere des Angriffs wird außerdem eine EMS-Warnung generiert, die das betroffene Volumen, die Angriffswahrscheinlichkeit und den Zeitplan des Angriffs anzeigt. Wenn Sie Benachrichtigungen über die Erstellung eines neuen Snapshots oder die Entdeckung einer neuen Dateierweiterung auf Ihrem Volume erhalten möchten, können Sie ARP so konfigurieren, dass diese Benachrichtigungen gesendet werden. Weitere Informationen finden Sie im NetApp Documentation Center unter ARP-Benachrichtigungen konfigurieren.

Sie können einen Bericht erstellen, um detaillierte Informationen zu einem vermuteten Angriff einzusehen. Nachdem Sie den Bericht überprüft haben, können Sie feststellen, ONTAP ob die Warnung durch einen Fehlalarm oder einen vermuteten Angriff ausgelöst wurde. Wenn Sie die Warnung als vermuteten Angriff kennzeichnen, sollten Sie den Umfang des Angriffs bestimmen und dann Daten aus dem von ARP erstellten Snapshot wiederherstellen. Wenn Sie den Angriff als falsch positiv kennzeichnen, wird der von ARP erstellte Snapshot automatisch gelöscht. Weitere Informationen finden Sie unter Reaktion auf Warnmeldungen von Autonomous Ransomware Protection.

Wir empfehlen, die EMS-Nachrichten Ihres Dateisystems und den Status Ihrer Volumes in der ONTAP CLI und der REST-API zu überwachen. Weitere Informationen zu EMS-Nachrichten für ARP finden Sie unterGrundlegendes zu EMS-Warnmeldungen für autonomen Ransomware-Schutz.

Themen