기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Autonomous Ransomware Protection을 통한 데이터 보호
<a name="ARP"></a>

 Autonomous Ransomware Protection(ARP)는 Windows 또는 Linux 클라이언트가 손상될 경우 랜섬웨어 및 맬웨어 공격으로부터 데이터를 보호하고 모니터링하는 NetApp ONTAP AI 기반 기능입니다. ARP는 기계 학습을 사용하여 FSx for ONTAP 파일 시스템을 파악하고 비정상적인 활동을 사전에 탐지합니다. ARP는 Amazon FSx for NetApp ONTAP을 사용할 수 있는 모든 AWS 리전의 모든 신규 및 기존 FSx for ONTAP 파일 시스템에 사용할 수 있습니다.

## ARP 작동 방식
<a name="how-ARP-works"></a>

ARP는 ONTAP CLI 또는 REST API를 사용하여 볼륨 단위로 활성화하거나 SVM의 모든 새 볼륨에 대해 기본값으로 활성화할 수 있습니다. ARP 활성화에 대한 자세한 내용은 [Autonomous Ransomware Protection 활성화](enable-ARP.md) 섹션을 참조하세요.

ARP의 AI는 포괄적인 데이터세트를 기반으로 훈련되었기 때문에 FlexVol 볼륨에 대해 ARP를 실행하기 위해 학습 기간이 필요하지 않으며, 따라서 즉시 활성 모드로 시작됩니다. 또한 ARP AI에는 최신 위협에 대한 지속적인 보호 및 복원력을 보장하는 자동 업데이트 기능이 있습니다. 활성 모드에서 ARP는 볼륨에 수신되는 데이터와 활동을 모니터링하여 잠재적 랜섬웨어 및 맬웨어 공격을 식별합니다. 자세한 내용은 [ARP가 찾는 대상](#ARP-detects) 섹션을 참조하세요. ARP가 비정상적인 활동을 감지하면 ONTAP 스냅샷이 자동으로 생성되어 잠재적 공격의 발생 시점에 최대한 가깝게 데이터를 복구할 수 있습니다. 스냅샷의 접두사는 `Anti_ransomware_backup`이므로 식별하기 쉽습니다. 공격 확률이 보통인 것으로 확인되면 ONTAP은 관리자의 검토를 위해 이벤트 관리 시스템(EMS) 메시지를 생성합니다. 자세한 내용은 [ARP를 통해 의심되는 공격에 대응하는 방법](#suspected-attack-ARP) 및 [Autonomous Ransomware Protection에 대한 EMS 알림 이해하기](EMS-ARP.md)(을)를 참조하세요.

대부분의 워크로드에서 ARP의 성능 오버헤드는 최소 수준입니다. 볼륨에 읽기 집약적인 워크로드가 있는 경우 NetApp은 해당 볼륨을 파일 시스템당 150개 이하로 보호할 것을 권장합니다. 이 수를 초과하면 해당 워크로드의 IOPS가 최대 4%까지 떨어질 수 있습니다. 볼륨에 쓰기 집약적인 워크로드가 있는 경우 NetApp은 이러한 볼륨을 파일 시스템당 60개 이하로 보호할 것을 권장합니다. 그렇지 않으면 해당 워크로드의 IOPS가 최대 10%까지 떨어질 수 있습니다. 성능에 대한 자세한 내용은 [Amazon FSx for NetApp ONTAP 성능성능](performance.md) 섹션을 참조하세요.

FSx for ONTAP 파일 시스템에 ARP를 활성화하는 데 드는 추가 비용은 없습니다.

## ARP가 찾는 대상
<a name="ARP-detects"></a>

ARP는 Windows 또는 Linux 클라이언트가 손상되었다는 징후를 찾습니다. 특히 ARP는 볼륨에서 다음과 같은 유형의 활동을 찾습니다.
+ 엔트로피의 변화. 파일 내 데이터의 무작위성 차이를 의미합니다.
+ 파일 확장자 유형의 변화. 새 확장자가 일반적으로 사용되는 확장자 유형과 일치하지 않는 것을 의미합니다. 기본값은 볼륨에서 이전에 관찰되지 않았던 파일 확장자를 가진 파일이 20개 발견되는 것입니다.
+ 파일 IOPS의 변화. 암호화된 데이터와 관련된 비정상적인 볼륨 활동이 급증하는 것을 의미합니다.

필요하다면 볼륨에 대한 랜섬웨어 탐지 파라미터를 수정할 수 있습니다. 예를 들어 볼륨이 여러 유형의 파일 확장자를 호스팅하는 경우입니다. 자세한 내용은 NetApp 설명서 센터의 [ONTAP Autonomous Ransomware Protection 공격 감지 파라미터](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html)를 참조하세요.

**참고**  
ARP는 자격 증명을 가진 악의적인 관리자가 FSx for ONTAP 파일 시스템에 액세스하는 것을 막지 못합니다. AWS는 AWS Backup, ONTAP 스냅샷 및 SnapLock을 포함한 계층화된 보안 접근 방식을 권장합니다.

## ARP를 통해 의심되는 공격에 대응하는 방법
<a name="suspected-attack-ARP"></a>

ARP가 공격을 탐지하면 복구 지점으로 사용할 수 있는 스냅샷이 생성됩니다. 이 스냅샷은 잠기지 않으므로 일반적인 수단으로 삭제할 수 있습니다. 공격의 심각도에 따라 영향을 받는 볼륨, 공격 확률, 공격 타임라인을 보여주는 EMS 알림도 생성됩니다. 새 스냅샷이 생성되거나 볼륨에서 새 파일 확장자가 관찰될 때 알림을 받길 원하면 이러한 알림을 보내도록 ARP를 구성할 수 있습니다. 자세한 내용은 NetApp 설명서 센터의 [ARP 알림 구성](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts) 섹션을 참조하세요.

보고서를 생성하면 의심되는 공격에 대한 자세한 정보를 볼 수 있습니다. 보고서를 검토한 후 거짓 긍정 공격 또는 의심되는 공격으로 인해 알림이 생성되었는지 ONTAP에 알려줄 수 있습니다. 알림에 의심스러운 공격으로 표시하는 경우 공격 범위를 확인한 다음 ARP에서 생성한 스냅샷으로 데이터를 복구해야 합니다. 공격을 거짓 긍정으로 표시하면 ARP에서 생성한 스냅샷이 자동으로 삭제됩니다. 자세한 내용은 [Autonomous Ransomware Protection 알림 대응](respond-ARP.md) 섹션을 참조하세요.

ONTAP CLI 및 REST API에서 파일 시스템의 EMS 메시지와 볼륨 상태를 모니터링하는 것이 좋습니다. ARP의 EMS 메시지에 대한 자세한 내용은 [Autonomous Ransomware Protection에 대한 EMS 알림 이해하기](EMS-ARP.md) 섹션을 참조하세요.

**Topics**
+ [ARP 작동 방식](#how-ARP-works)
+ [ARP가 찾는 대상](#ARP-detects)
+ [ARP를 통해 의심되는 공격에 대응하는 방법](#suspected-attack-ARP)
+ [Autonomous Ransomware Protection 활성화](enable-ARP.md)
+ [Autonomous Ransomware Protection 알림 대응](respond-ARP.md)
+ [Autonomous Ransomware Protection에 대한 EMS 알림 이해하기](EMS-ARP.md)

# Autonomous Ransomware Protection 활성화
<a name="enable-ARP"></a>

다음 절차에서는 ONTAP CLI를 사용하여 Autonomous Ransomware Protection(ARP) 활성 모드를 활성화하는 방법과 ARP가 활성화되었는지 확인하는 방법을 설명합니다. ARP에 대한 자세한 내용은 [ARP 작동 방식](ARP.md#how-ARP-works) 섹션을 참조하세요.

## 활성 모드로 ARP 활성화
<a name="enable-active-mode-ARP"></a>

**ONTAP CLI를 사용하여 기존 볼륨에 대해 활성 모드로 ARP 활성화**
+ 다음 명령을 실행합니다. *vol\$1name* 및 *svm\$1name*을 자신의 정보로 바꿉니다.

  ```
  security anti-ransomware volume enable -volume vol_name -vserver svm_name
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description) 섹션을 참조하세요.

## SVM 수준에서 기본으로 ARP 활성화
<a name="enable-ARP-default"></a>

**ONTAP CLI를 사용하여 기존 SVM에 대해 기본으로 ARP 활성화**
+ 다음 명령을 실행합니다. *svm\$1name*을 사용자의 정보로 바꿉니다.

  ```
  vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description) 섹션을 참조하세요.

## ARP 상태 확인
<a name="verify-ARP-status"></a>

**ONTAP CLI를 사용하여 ARP 상태 확인**
+ 다음 명령을 실행합니다.

  ```
  security anti-ransomware volume show
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) 섹션을 참조하세요.

워크로드 이벤트가 많을 것으로 예상되는 경우 ARP를 일시적으로 중지(이후 다시 시작)할 수 있습니다. 자세한 내용은 NetApp 설명서 센터에서 [ONTAP Autonomous Ransomware Protection을 일시 중지하여 분석에서 워크로드 이벤트 제외](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html)를 참조하세요.

# Autonomous Ransomware Protection 알림 대응
<a name="respond-ARP"></a>

다음 절차에서는 ONTAP CLI를 사용하여 Autonomous Ransomware Protection(ARP) 알림을 확인하고, 공격 보고서를 생성하고, 보고서에 대해 조치를 취하는 방법을 설명합니다. ARP가 어떻게 공격을 탐지하고 대응하는지에 대한 자세한 내용은 [ARP가 찾는 대상](ARP.md#ARP-detects) 및 [ARP를 통해 의심되는 공격에 대응하는 방법](ARP.md#suspected-attack-ARP) 섹션을 참조하세요.

## ARP 알림 보기
<a name="view-ARP-alert"></a>

**ONTAP CLI를 사용하여 볼륨에 대한 ARP 알림을 보려면**
+ 다음 명령을 실행합니다. *svm\$1name* 및 *vol\$1name*을 자신의 정보로 바꿉니다.

  ```
  security anti-ransomware volume show -vserver svm_name -volume vol_name
  ```

  명령을 실행하면 다음 예제와 비슷한 출력 화면이 보입니다.

  ```
  Vserver Name: fsx
  Volume Name: vol1
  State: enabled
  Attack Probability: moderate
  Attack Timeline: 9/14/2021 01:03:23
  Number of Attacks: 1
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) 섹션을 참조하세요.

## ARP 보고서 생성
<a name="generate-ARP-report"></a>

**ONTAP CLI를 사용하여 ARP 보고서 생성**
+ 다음 명령을 실행합니다. *vol\$1name* 및 */file\$1location/*을 자신의 정보로 바꿉니다. 보고서를 생성하면 클라이언트 시스템에서 볼 수 있습니다.

  ```
  security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description) 섹션을 참조하세요.

## ARP 보고서에 대한 조치
<a name="take-action-ARP"></a>

**ONTAP CLI를 사용하여 ARP 보고서의 거짓 긍정 공격에 대처하기**
+ 다음 명령을 실행합니다. *svm\$1name*, *vol\$1name*, *[확장 식별자]*를 자신의 정보로 바꿉니다.

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) 섹션을 참조하세요.
**참고**  
알림을 거짓 긍정으로 표시하면 랜섬웨어 프로필이 업데이트됩니다. 이렇게 하면 해당 특정 시나리오에 대한 알림이 다시 수신되지 않습니다.

**ONTAP CLI를 사용하여 ARP 보고서의 잠재적 공격에 대처하기**
+ 다음 명령을 실행합니다. *svm\$1name*, *vol\$1name*, *[확장 식별자]*를 자신의 정보로 바꿉니다.

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
  ```

  이 명령에 대한 자세한 내용은 NetApp 설명서 센터의 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) 섹션을 참조하세요.

# Autonomous Ransomware Protection에 대한 EMS 알림 이해하기
<a name="EMS-ARP"></a>

NetApp ONTAP's 이벤트 관리 시스템(EMS)을 사용하여 잠재적 공격을 포함한 ARP 관련 이벤트를 모니터링할 수 있습니다. ARP 및 공격 탐지 방법에 대한 자세한 내용은 [ARP 작동 방식](ARP.md#how-ARP-works) 및 [ARP가 찾는 대상](ARP.md#ARP-detects) 섹션을 참조하세요.

다음 표에는 ARP와 관련된 모든 알림이 포함되어 있습니다. EMS에 대한 자세한 내용은 [FSx for ONTAP EMS 이벤트 모니터링](ems-events.md) 섹션을 참조하세요.


****  

| EMS 메시지 이름 | EMS 메시지 설명 | 
| --- | --- | 
|  `arw.analytics.ext.report`  |  이 메시지는 안티 랜섬웨어 분석이 볼륨에 대한 **의심스러운 파일 확장자** 보고서를 생성하거나 업데이트할 때 발생합니다.  | 
|  `arw.analytics.high.entropy`  |  이 메시지는 고엔트로피 데이터 로그 메시지 수(랜섬웨어 탐지 및 분석 관련)가 볼륨에 대해 사전 정의된 임계값을 초과할 때 발생합니다.  | 
|  `arw.analytics.probability`  |  이 메시지는 볼륨에서 안티 랜섬웨어 공격 확률이 `low`에서 `high`로 변경될 때 발생합니다.  | 
|  `arw.analytics.report`  |  이 메시지는 볼륨에 대한 안티 랜섬웨어 분석 보고서가 생성되거나 업데이트될 때 발생합니다.  | 
|  `arw.analytics.suspects`  |  이 메시지는 안티 랜섬웨어 분석에 의해 생성된 의심 목록이 추가 조사가 필요한 지점까지 확대될 때 발생합니다.  | 
|  `arw.new.file.extn.seen`  |  이 메시지는 안티 랜섬웨어가 활성화된 볼륨에서 새로운 파일 확장자가 관찰될 때 발생합니다. 그 목적은 적시에 조사할 수 있도록 관찰된 확장자에 대해 사용자에게 즉시 알리는 것입니다.  | 
|  `arw.snapshot.created`  |  이 메시지는 안티 랜섬웨어가 활성화된 볼륨에서 새로운 ARP 스냅샷이 생성될 때 발생합니다. 스냅샷이 생성된 이유에 대한 정보도 제공합니다.  | 
|  `arw.volume.state`  |  이 메시지는 볼륨의 안티 랜섬웨어 상태가 변경될 때 발생합니다.  | 
|  `arw.vserver.state`  |  이 메시지는 SVM의 안티 랜섬웨어 상태가 변경될 때 발생합니다.  |