Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protégez vos données grâce à une protection autonome contre les ransomwares
La protection autonome contre les ransomwares (ARP) est une fonctionnalité NetApp ONTAP basée sur l'IA qui surveille et protège vos données contre les attaques de ransomwares et de logiciels malveillants si vos clients Windows ou Linux sont compromis. Grâce à l'apprentissage automatique, ARP se familiarise avec vos systèmes de fichiers FSx pour ONTAP afin de détecter de manière proactive les activités anormales. L'ARP est disponible pour tous les systèmes de fichiers ONTAP, nouveaux ou existants FSx , partout où Régions AWS Amazon FSx for NetApp ONTAP est disponible.
Comment fonctionne l'ARP
Vous pouvez activer l'ARP par volume ou par défaut sur tous les nouveaux volumes d'une SVM à l'aide de la ONTAP CLI ou de l'API REST. Pour plus d'informations sur l'activation de l'ARP, consultezActiver la protection autonome contre les ransomwares.
Comme l'IA d'ARP est entraînée sur un ensemble de données complet, ARP n'a pas besoin de période d'apprentissage pour fonctionner sur des FlexVol volumes, et démarre donc immédiatement en mode actif. ARP AI est également doté d'une fonctionnalité de mise à jour automatique pour garantir une protection et une résilience constantes contre les dernières menaces. En mode actif, l'ARP surveille les données entrantes et l'activité sur le volume afin d'identifier les attaques potentielles de ransomwares et de malwares. Pour de plus amples informations, veuillez consulter Ce que recherche ARP. Si l'ARP détecte une activité anormale, un ONTAP instantané est automatiquement créé pour vous aider à récupérer vos données le plus près possible du moment de l'attaque potentielle. L'instantané aura un préfixe deAnti_ransomware_backup, ce qui le rend facile à identifier. S'il est déterminé que la probabilité d'attaque est modérée, un message du système de gestion des événements (EMS) ONTAP sera généré pour que vous puissiez le consulter. Pour plus d’informations, consultez Comment répondre à une attaque présumée avec l'ARP et Comprendre les alertes EMS pour une protection autonome contre les ransomwares.
La surcharge de performance de l'ARP est minimale pour la plupart des charges de travail. Si vos volumes ont des charges de travail intensives en lecture, il est NetApp recommandé de ne pas protéger plus de 150 volumes de ce type par système de fichiers. Si vous dépassez ce nombre, les IOPS pour cette charge de travail peuvent chuter jusqu'à 4 %. Si vos volumes ont des charges de travail intensives en écriture, il est NetApp recommandé de ne pas protéger plus de 60 volumes de ce type par système de fichiers. Dans le cas contraire, les IOPS pour cette charge de travail risquent de chuter jusqu'à 10 %. Pour plus d’informations sur les performances, consultez Amazon FSx pour les performances d' NetApp ONTAP.
L'activation de l'ARP sur votre système de fichiers FSx for ONTAP n'entraîne aucun coût supplémentaire.
Ce que recherche ARP
L'ARP recherche les signes indiquant que vos clients Windows ou Linux sont compromis. L'ARP recherche en particulier les types d'activité suivants sur le volume :
-
Modifications de l'entropie, c'est-à-dire des différences dans le caractère aléatoire des données d'un fichier.
-
Modifications des types d'extension de fichier, ce qui signifie que la nouvelle extension n'est pas cohérente avec le type d'extension normalement utilisé. La valeur par défaut est de 20 fichiers dont l'extension n'avait pas été observée auparavant dans le volume.
-
Modifications des IOPS des fichiers, ce qui entraîne une augmentation de l'activité anormale du volume avec des données chiffrées.
Vous pouvez modifier les paramètres de détection des ransomwares pour votre volume si nécessaire. Par exemple, si votre volume héberge de nombreux types d'extensions de fichiers. Pour plus d'informations, consultez la section Gérer les paramètres de détection des attaques de la protection autonome contre les ransomwares ONTAP
Note
L'ARP n'empêche pas les administrateurs malhonnêtes munis d'informations d'identification d'accéder à votre système de fichiers FSx for ONTAP. AWS recommande une approche de sécurité en couches comprenant AWS BackupONTAP des instantanés etSnapLock.
Comment répondre à une attaque présumée avec l'ARP
Si l'ARP détecte une attaque, il génère un instantané qui peut être utilisé comme point de reprise. L'instantané est verrouillé et ne peut pas être supprimé par des moyens normaux. En fonction de la gravité de l'attaque, il générera également une alerte EMS indiquant le volume affecté, la probabilité d'attaque et la chronologie de l'attaque. Si vous souhaitez recevoir des alertes lors de la création d'un nouvel instantané ou de l'observation d'une nouvelle extension de fichier sur votre volume, vous pouvez configurer ARP pour envoyer ces alertes. Pour plus d'informations, consultez Configurer les alertes ARP
Vous pouvez générer un rapport pour afficher des informations détaillées sur une attaque présumée. Après avoir examiné le rapport, vous pouvez savoir ONTAP si l'alerte a été générée par un faux positif ou par une attaque présumée. Si vous qualifiez l'alerte d'attaque présumée, vous devez déterminer l'étendue de l'attaque, puis récupérer les données à partir du snapshot créé par l'ARP. Si vous qualifiez l'attaque de faux positif, l'instantané créé par l'ARP est automatiquement supprimé. Pour de plus amples informations, veuillez consulter Répondre aux alertes de protection autonome contre les ransomwares.
Nous vous recommandons de surveiller les messages EMS de votre système de fichiers et l'état de vos volumes dans la ONTAP CLI et l'API REST. Pour plus d'informations sur les messages EMS pour ARP, consultezComprendre les alertes EMS pour une protection autonome contre les ransomwares.
Rubriques
