Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Protegendo seus dados com a Proteção Autônoma contra Ransomware

PDF
RSS
Modo de foco
Protegendo seus dados com a Proteção Autônoma contra Ransomware - FSx para ONTAP
Como funciona o ARPO que o ARP procuraComo responder a um ataque suspeito com o ARP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

A Proteção Autônoma contra Ransomware (ARP) é uma NetApp ONTAP Recurso orientado por IA que monitora e protege seus dados contra ataques de ransomware e malware se seus clientes Windows ou Linux ficarem comprometidos. Usando o aprendizado de máquina, o ARP se familiariza com seus FSx sistemas de arquivos ONTAP para detectar proativamente atividades anormais. O ARP está disponível para todos os sistemas de arquivos novos e existentes FSx do ONTAP em todos os lugares onde o Regiões da AWS Amazon FSx for NetApp ONTAP está disponível.

Como funciona o ARP

Você pode habilitar o ARP por volume ou, por padrão, em todos os novos volumes em uma SVM usando o ONTAP CLI ou API REST. Para obter mais informações sobre como habilitar o ARP, consulteHabilitando a proteção autônoma contra ransomware.

O ARP opera em dois modos: aprendizado e ativo. Quando você ativa o ARP pela primeira vez para seu volume FSx para ONTAP, ele é executado no modo de aprendizado. No modo de aprendizado, o ARP analisa seus padrões de acesso à carga de trabalho. ONTAP determina automaticamente o período de aprendizado ideal com base na carga de trabalho do seu volume, que pode levar até 30 dias. Quando isso é feito, o ARP passa para o modo ativo. No modo ativo, o ARP monitora os dados recebidos e a atividade no volume para identificar possíveis ataques de ransomware e malware. Para obter mais informações, consulte O que o ARP procura. Se o ARP detectar alguma atividade anormal, um ONTAP Um snapshot é criado automaticamente para ajudá-lo a recuperar seus dados o mais próximo possível do momento do possível ataque. O instantâneo terá um prefixo deAnti_ransomware_backup, por isso é fácil de identificar. Se for determinado que a probabilidade de ataque é moderada, ONTAP gerará uma mensagem do Sistema de Gerenciamento de Eventos (EMS) para você revisar. Para obter mais informações, consulte Como responder a um ataque suspeito com o ARP e Entendendo os alertas do EMS para proteção autônoma contra ransomware.

A sobrecarga de desempenho do ARP é mínima para a maioria das cargas de trabalho. Se seus volumes tiverem cargas de trabalho de leitura intensiva, NetApp recomenda proteger no máximo 150 desses volumes por sistema de arquivos. Se você exceder esse número, o IOPS dessa carga de trabalho poderá cair em até 4%. Se seus volumes tiverem cargas de trabalho intensivas em gravação, NetApp recomenda proteger no máximo 60 desses volumes por sistema de arquivos. Caso contrário, o IOPS dessa carga de trabalho poderá cair em até 10%. Para obter mais informações sobre desempenho, consulte Amazon FSx para desempenho do NetApp ONTAP.

Não há custo adicional para habilitar o ARP em seu sistema de arquivos FSx for ONTAP.

O que o ARP procura

O ARP procura sinais de que seus clientes Windows ou Linux estão comprometidos. Depois que o ARP conhece seu volume FSx para ONTAP e muda para o modo ativo, ele procura os seguintes tipos de atividade no volume:

  • Mudanças na entropia, o que significa diferenças na aleatoriedade dos dados em um arquivo.

  • Alterações nos tipos de extensão de arquivo, o que significa que a nova extensão não é consistente com o tipo de extensão normalmente usado. O padrão é 20 arquivos com extensões de arquivo não observadas anteriormente no volume.

  • Alterações no IOPS do arquivo, o que significa um aumento na atividade anormal do volume com dados criptografados.

Você pode modificar os parâmetros de detecção de ransomware do seu volume, se necessário. Por exemplo, se seu volume hospeda vários tipos de extensões de arquivo. Para obter mais informações, consulte Gerenciar os parâmetros de detecção de ataques do ONTAP Autonomous Ransomware Protection no Centro de NetApp Documentação.

nota

O ARP não impede que administradores desonestos com credenciais acessem seu FSx sistema de arquivos do ONTAP. AWS recomenda uma abordagem de segurança em camadas, incluindo, AWS BackupONTAP instantâneos e SnapLock.

Como responder a um ataque suspeito com o ARP

Se o ARP detectar um ataque, ele gerará um instantâneo que pode ser usado como ponto de recuperação. O instantâneo está bloqueado e não pode ser excluído normalmente. Dependendo da gravidade do ataque, ele também gerará um alerta EMS que mostra o volume afetado, a probabilidade do ataque e o cronograma do ataque. Se quiser receber alertas para a criação de um novo instantâneo ou a observação de uma nova extensão de arquivo em seu volume, você pode configurar o ARP para enviar esses alertas. Para obter mais informações, consulte Configurar alertas ARP no Centro de NetApp Documentação.

Você pode gerar um relatório para ver informações detalhadas sobre um ataque suspeito. Depois de revisar o relatório, você pode dizer ONTAP se o alerta foi gerado por um falso positivo ou por um ataque suspeito. Se você rotular o alerta como um ataque suspeito, deverá determinar o escopo do ataque e, em seguida, recuperar os dados do instantâneo criado pelo ARP. Se você rotular o ataque como falso positivo, o instantâneo criado pelo ARP será automaticamente excluído. Para obter mais informações, consulte Respondendo aos alertas da Autonomous Ransomware Protection.

Recomendamos monitorar as mensagens EMS do seu sistema de arquivos e o status dos seus volumes no ONTAP CLI e API REST. Para obter mais informações sobre mensagens EMS para ARP, consulteEntendendo os alertas do EMS para proteção autônoma contra ransomware.

Tópicos

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.