使用自主勒索软件保护您的数据 - FSx 适用于 ONTAP
ARP 的工作原理ARP 在寻找什么如何使用 ARP 应对可疑攻击

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自主勒索软件保护您的数据

自主勒索软件防护 (ARP) 是一项NetApp ONTAP人工智能驱动的功能,可在您的 Windows 或 Linux 客户端遭到入侵时监控和保护您的数据免受勒索软件和恶意软件攻击。使用机器学习,ARP 会熟悉您 FSx 的 for ONTAP 文件系统,以主动检测异常活动。ARP 适用于所有可用 A AWS 区域 ma FSx zon for ONTAP 的 ONTAP 文件系统的新文件系统和现有 FSx 文件系统。 NetApp

ARP 的工作原理

您可以使用 CLI 或 REST AP ONTAP I 按卷启用 ARP,也可以默认在 SVM 中的所有新卷上启用 ARP。有关启用 ARP 的更多信息,请参阅启用自主勒索软件防护

由于 ARP 的 AI 是在全面的数据集上训练的,因此 ARP 不需要一段学习期就能在 FlexVol 卷上运行,因此可以立即在活动模式下启动。ARP AI 还具有自动更新功能,可确保针对最新威胁的持续保护和弹性。在活动模式下,ARP 会监控卷上的传入数据和活动,以识别潜在的勒索软件和恶意软件攻击。有关更多信息,请参阅 ARP 在寻找什么。如果 ARP 检测到任何异常活动,则会自动创建ONTAP快照,以帮助您在尽可能接近潜在攻击发生时恢复数据。快照的前缀为Anti_ransomware_backup,因此很容易识别。如果确定攻击概率为中等,则ONTAP会生成一条事件管理系统 (EMS) 消息供您查看。有关更多信息,请参阅如何使用 ARP 应对可疑攻击了解自主勒索软件防护的 EMS 警报

对于大多数工作负载,ARP 的性能开销微乎其微。如果您的卷具有读取密集型工作负载,NetApp建议每个文件系统保护的此类卷不超过 150 个。如果超过此数字,则该工作负载的 IOPS 最多可能降低 4%。如果您的卷具有写入密集型工作负载,NetApp建议每个文件系统保护的此类卷不超过 60 个。否则,该工作负载的 IOPS 最多可能降低 10%。有关性能的更多信息,请参阅 亚马逊 FSx 为 NetApp ONTAP 性能而设计

在您 FSx 的 for ONTAP 文件系统上启用 ARP 无需支付额外费用。

ARP 在寻找什么

ARP 会寻找你的 Windows 或 Linux 客户端遭到入侵的迹象。特别是,ARP 会在卷上查找以下类型的活动:

  • 熵的变化,这意味着文件中数据的随机性存在差异。

  • 文件扩展名类型发生变化,这意味着新的扩展名与通常使用的扩展名类型不一致。默认值为 20 个文件,其文件扩展名未出现在卷中。

  • 文件 IOPS 发生变化,这意味着加密数据的异常卷活动激增。

如有必要,您可以修改卷的勒索软件检测参数。例如,如果您的卷托管多种类型的文件扩展名。有关更多信息,请参阅 NetApp 文档中心中的管理 ONTAP 自主勒索软件防护攻击检测参数

注意

ARP 不会阻止拥有凭据的恶意管理员访问您 FSx 的 for ONTAP 文件系统。 AWS 建议采用分层安全方法 AWS Backup,包括ONTAP快照和SnapLock。

如何使用 ARP 应对可疑攻击

如果 ARP 检测到攻击,它将生成可用作恢复点的快照。快照已锁定,无法通过正常方式删除。根据攻击的严重程度,它还将生成 EMS 警报,显示受影响的数量、攻击概率和攻击时间表。如果您想收到有关创建新快照或在卷上观察到新文件扩展名的警报,可以将 ARP 配置为发送这些警报。有关更多信息,请参阅在 NetApp 文档中心配置 ARP 警报

您可以生成报告以查看有关可疑攻击的详细信息。查看报告后,您可以判ONTAP断警报是由误报还是可疑攻击生成的。如果您将警报标记为可疑攻击,则应确定攻击的范围,然后从 ARP 创建的快照中恢复数据。如果您将攻击标记为误报,则会自动删除 ARP 创建的快照。有关更多信息,请参阅 响应自主勒索软件防护警报

我们建议在 CLI 和 REST AP ONTAP I 中监控文件系统的 EMS 消息以及卷的状态。有关适用于 ARP 的 EMS 消息的更多信息,请参阅了解自主勒索软件防护的 EMS 警报

主题