Melindungi data Anda dengan Autonomous Ransomware Protection - FSx untuk ONTAP
Bagaimana ARP bekerjaApa yang dicari ARPBagaimana menanggapi dugaan serangan dengan ARP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melindungi data Anda dengan Autonomous Ransomware Protection

Autonomous Ransomware Protection (ARP) adalah fitur NetApp ONTAP berbasis AI yang memantau dan melindungi data Anda dari serangan ransomware dan malware jika klien Windows atau Linux Anda terganggu. Menggunakan pembelajaran mesin, ARP menjadi akrab dengan sistem file ONTAP Anda FSx untuk secara proaktif mendeteksi aktivitas abnormal. ARP tersedia untuk semua yang baru dan yang sudah ada FSx untuk sistem file ONTAP di semua tempat Wilayah AWS Amazon FSx untuk NetApp ONTAP tersedia.

Bagaimana ARP bekerja

Anda dapat mengaktifkan ARP berdasarkan per volume atau secara default pada semua volume baru dalam SVM menggunakan CLI ONTAP atau REST API. Untuk informasi selengkapnya tentang mengaktifkan ARP, lihat. Mengaktifkan Perlindungan Ransomware Otonom

Karena AI ARP dilatih pada kumpulan data yang komprehensif, ARP tidak memerlukan periode pembelajaran agar ARP berjalan pada FlexVol volume, dan karenanya segera dimulai dalam mode aktif. ARP AI juga dilengkapi dengan kemampuan pembaruan otomatis untuk memastikan perlindungan dan ketahanan konstan terhadap ancaman terbaru. Dalam mode aktif, ARP memantau data dan aktivitas yang masuk pada volume untuk mengidentifikasi potensi serangan ransomware dan malware. Untuk informasi selengkapnya, lihat Apa yang dicari ARP. Jika ARP mendeteksi aktivitas abnormal, ONTAP snapshot dibuat secara otomatis untuk membantu Anda memulihkan data sedekat mungkin dengan waktu serangan potensial. Snapshot akan memiliki awalanAnti_ransomware_backup, sehingga mudah untuk mengidentifikasi. Jika ditentukan bahwa probabilitas serangan moderat, ONTAP akan menghasilkan pesan Sistem Manajemen Acara (EMS) untuk Anda tinjau. Untuk informasi selengkapnya, lihat Bagaimana menanggapi dugaan serangan dengan ARP dan Memahami peringatan EMS untuk Perlindungan Ransomware Otonom.

Overhead kinerja untuk ARP minimal untuk sebagian besar beban kerja. Jika volume Anda memiliki beban kerja intensif baca, NetApp rekomendasikan untuk melindungi tidak lebih dari 150 volume tersebut per sistem file. Jika Anda melebihi angka ini, IOPS untuk beban kerja itu mungkin turun hingga 4%. Jika volume Anda memiliki beban kerja intensif tulis, NetApp rekomendasikan untuk melindungi tidak lebih dari 60 volume tersebut per sistem file. Jika tidak, IOPS untuk beban kerja itu mungkin turun hingga 10%. Untuk informasi selengkapnya tentang kinerja, lihatAmazon FSx untuk kinerja NetApp ONTAP.

Tidak ada biaya tambahan untuk mengaktifkan ARP pada sistem file ONTAP Anda FSx .

Apa yang dicari ARP

ARP mencari tanda-tanda bahwa klien Windows atau Linux Anda dikompromikan. Secara khusus, ARP mencari jenis aktivitas berikut pada volume:

  • Perubahan entropi, yang berarti perbedaan keacakan data dalam file.

  • Perubahan jenis ekstensi file, yang berarti ekstensi baru tidak konsisten dengan jenis ekstensi yang biasa digunakan. Defaultnya adalah 20 file dengan ekstensi file yang sebelumnya tidak diamati dalam volume.

  • Perubahan file IOPS, yang berarti lonjakan aktivitas volume abnormal dengan data terenkripsi.

Anda dapat memodifikasi parameter deteksi ransomware untuk volume Anda jika perlu. Misalnya, jika volume Anda menampung banyak jenis ekstensi file. Untuk informasi selengkapnya, lihat Mengelola parameter deteksi serangan Perlindungan Ransomware Otonomi ONTAP di Pusat Dokumentasi. NetApp

catatan

ARP tidak mencegah administrator nakal dengan kredensil mengakses sistem file ONTAP Anda. FSx AWS merekomendasikan pendekatan keamanan berlapis termasuk AWS Backup, ONTAP snapshot, dan. SnapLock

Bagaimana menanggapi dugaan serangan dengan ARP

Jika ARP mendeteksi serangan, itu akan menghasilkan snapshot yang dapat digunakan sebagai titik pemulihan. Snapshot terkunci dan tidak dapat dihapus dengan cara normal. Tergantung pada tingkat keparahan serangan, itu juga akan menghasilkan peringatan EMS yang menunjukkan volume yang terpengaruh, probabilitas serangan, dan garis waktu serangan. Jika Anda ingin menerima peringatan untuk pembuatan snapshot baru atau pengamatan ekstensi file baru pada volume Anda, Anda dapat mengonfigurasi ARP untuk mengirim peringatan ini. Untuk informasi selengkapnya, lihat Mengkonfigurasi peringatan ARP di Pusat NetApp Dokumentasi.

Anda dapat membuat laporan untuk melihat informasi rinci tentang serangan yang dicurigai. Setelah Anda meninjau laporan, Anda dapat mengetahui ONTAP apakah peringatan itu dihasilkan oleh positif palsu atau serangan yang dicurigai. Jika Anda memberi label peringatan sebagai serangan yang dicurigai, Anda harus menentukan ruang lingkup serangan dan kemudian memulihkan data dari snapshot yang dibuat ARP. Jika Anda memberi label serangan sebagai positif palsu, snapshot yang dibuat ARP akan dihapus secara otomatis. Untuk informasi selengkapnya, lihat Menanggapi peringatan Autonomous Ransomware Protection.

Kami merekomendasikan untuk memantau pesan EMS sistem file Anda dan status volume Anda di ONTAP CLI dan REST API. Untuk informasi selengkapnya tentang pesan EMS untuk ARP, lihatMemahami peringatan EMS untuk Perlindungan Ransomware Otonom.

Topik