Настройка расширенной защиты от вымогательского ПО для томов Azure NetApp Files

Атаки программ-шантажистов представляют собой огромную угрозу для целостности и надежности данных. Расширенная защита Azure NetApp Files от вымогательского ПО добавляет линию защиты на уровне хранилища для ваших данных. Расширенная защита от программ-шантажистов использует машинное обучение для разработки профиля томов, сообщая вам о возможных угрозах. Расширенная защита от программ-шантажистов доступна для Azure NetApp Files без дополнительных затрат.

Расширенная защита от программ-шантажистов создает свой профиль на основе многих входных данных, включая, но не ограничивается следующими способами:

• Типы расширений файлов в томе
• Шаблоны энтропии данных в объеме
• Шаблоны IOPS в томе

С помощью этих данных расширенная защита от программ-вымогателей отслеживает в томах паттерны и типы файлов, которые отклоняются от обычных образцов, помечая их как угрозы-вымогательства. Расширенная защита от программ-вымогателей создает профиль из машинного обучения и продолжает уточнять представление о нагрузках в рабочих процессах на основе моделей использования. Расширенная защита от программ-шантажистов улучшает этот профиль на основе ваших данных, обучаясь, когда вы реагируете на угрозы.

Расширенные механизмы защиты от программ-шантажистов позволяют следить за тем, чтобы предотвратить атаки программ-шантажистов на данные и обеспечить устойчивость рабочей нагрузки. Если обнаружена угроза, Azure NetApp Files создает моментальный снимок тома. Затем можно оценить угрозу и при необходимости восстановить том на основе моментального снимка, обеспечивая непрерывность и безопасность данных.

Рекомендации

• Отчеты об атаках хранятся в течение 30 дней.
• Уведомления об угрозах вымогательского ПО отправляются в журнал действий Azure.
• Рекомендуется включать не более 10 томов на подписку Azure с расширенной защитой от программ-вымогателей, чтобы смягчить проблемы с производительностью. Если вы хотите включить возможность более 10 томов в подписке Azure, создайте запрос в службу поддержки Azure. Дополнительные сведения см. в разделе "Увеличение ограничения запросов".
• Рекомендуется увеличить емкость QoS на 5–10 процентов из-за потенциального влияния на производительность расширенной защиты от программ-шантажистов. Масштаб влияния может отличаться в зависимости от конфигураций в Azure NetApp Files развертывании.
• Azure NetApp Files расширенная защита от программ-шантажистов подходит для следующих рабочих нагрузок:
  • Изображения и видео
  • Домашние директории Windows или Linux
    Вы можете создавать файлы с расширениями, которые не были обнаружены в период обучения. Это повышает вероятность ложных срабатываний в этом рабочем процессе. Примерами этого являются расширения, связанные с записями здравоохранения и данными электронной автоматизации проектирования (EDA).
• Azure NetApp Files расширенная защита от программ-шантажистов не подходит для следующих рабочих нагрузок:
  • Рабочие нагрузки тестирования и разработки— они имеют высокую частоту создания и удаления файлов (сотни тысяч файлов в течение нескольких секунд)
  • Обнаружение угроз распознает необычное увеличение активности создания, переименования или удаления файлов как активности, связанной с программами-вымогателями. Если законное приложение обнаруживает такую файловую активность, это, скорее всего, будет идентифицировано как деятельность программы-вымогателя.
  • Нагрузки, при которых приложение или сервер шифруют данные. Расширенная защита от программ-шантажистов анализирует входящие данные как зашифрованные или незашифрованные. Если само приложение шифрует данные, эффективность расширенной защиты от программ-шантажистов снижается. Однако он по-прежнему может обнаруживать программ-шантажистов на основе действия файла (удаление, перезапись или создание или переименование с новым расширением файла) и типа файла.

Включите расширенную защиту от вымогательского ПО на новом томе

1. Выполните последовательность действий, чтобы создать новый NFS, SMB или двухпротокольный том.
2. В поле "Расширенная защита от программ-шантажистов " на вкладке "Основные сведения" выберите "Включено".
3. После создания тома вы можете подтвердить свои параметры в обзоре тома. Если вы включили защиту от программ-шантажистов, расширенная защита от программ-шантажистов отображается как включенная.

Включение расширенной защиты от программ-вымогателей для существующих томов

1. Перейдите к тому тому, в котором вы хотите включить расширенную защиту от программ-вымогателей.

2. Выберите Advanced Ransomware Protection в меню Storage services на боковой панели.

3. Выбор включения защиты

   

4. Нажмите кнопку "Да", чтобы подтвердить включение защиты от программ-шантажистов.

   

5. Убедитесь, что состояние защиты включено.

   

Реагировать на угрозы программ-вымогателей

1. Выберите Advanced Ransomware Protection в меню Storage services на боковой панели.

2. Подозрительные атаки отображаются под активными угрозами. Откройте каждую угрозу для просмотра подозрительных файлов.

   

3. Если вы знаете, что файлы не являются активной угрозой, пометьте активную угрозу как ложное срабатывание.

   Если вы считаете, что файлы являются угрозой, выберите "Угроза". Затем можно восстановить том из последнего моментального снимка, сделанного до появления угрозы.

4. После устранения угрозы вы можете просмотреть архивные отчеты о вымогательском ПО на той же странице. Отчеты архивируются в течение 30 дней.

Приостановить защиту от программ-вымогателей

1. Перейдите к тому тому, для которого требуется приостановить защиту от программ-вымогателей. Выберите Advanced Ransomware Protection в меню служб Storage на боковой панели.
2. Выберите "Приостановить защиту".
3. Чтобы снова включить защиту, вернитесь в меню расширенной защиты от программ-вымогателей для диска, а затем выберите Возобновить защиту.

Отключение защиты от программ-шантажистов

1. Перейдите к тому тому, для которого требуется приостановить защиту от программ-вымогателей. Выберите расширенную защиту от программ-шантажистов в меню служб Storage на боковой панели.
2. Выберите "Отключить защиту от программ-шантажистов".