Configurare la protezione ransomware avanzata per i volumi di Azure NetApp Files

Gli attacchi ransomware rappresentano una minaccia enorme per l'integrità e l'affidabilità dei dati. La protezione ransomware avanzata di Azure NetApp Files aggiunge una linea di difesa a livello di archiviazione per i dati. La protezione ransomware avanzata usa l'apprendimento automatico per sviluppare un profilo dei volumi, avvisando l'utente delle minacce percepite. La protezione ransomware avanzata è disponibile per Azure NetApp Files senza costi aggiuntivi.

La protezione avanzata contro il ransomware costruisce il suo profilo in base a numerosi input, tra cui:

• Tipi di estensione di file nel volume
• Modelli di entropia dei dati nel volume
• Modelli di IOPS nel volume

Con questi dati, la protezione ransomware avanzata monitora i volumi per individuare modelli e tipi di estensione che deviano dai modelli osservati, contrassegnandoli come minacce ransomware. La protezione ransomware avanzata crea un profilo da machine learning e continua a perfezionare la comprensione dei carichi di lavoro in base ai modelli di utilizzo. La Protezione Ransomware Avanzata affina questo profilo in base ai tuoi input, imparando dal tuo modo di rispondere alle minacce.

I meccanismi di avviso della protezione ransomware avanzata consentono di rimanere vigili nel prevenire gli attacchi ransomware sui dati e mantenere la resilienza del carico di lavoro. Se viene rilevata una minaccia, Azure NetApp Files crea uno snapshot temporizzato del volume. È quindi possibile valutare la minaccia e, se necessario, ripristinare il volume in base allo snapshot, garantendo la continuità e la sicurezza dei dati.

Considerazioni

• I report sugli attacchi vengono conservati per 30 giorni.
• Le notifiche sulle minacce ransomware vengono inviate nel log attività Azure.
• È consigliabile abilitare non più di 10 volumi per sottoscrizione Azure con protezione ransomware avanzata per attenuare i problemi di prestazioni. Se si desidera abilitare più di 10 volumi per sottoscrizione di Azure, inoltrare una richiesta di supporto Azure. Per altre informazioni, vedere Aumento del limite di richieste.
• È consigliabile aumentare la capacità QoS del 5-10% a causa di potenziali impatti sulle prestazioni della protezione ransomware avanzata. La scalabilità dell'impatto può variare in base alle configurazioni della distribuzione Azure NetApp Files.
• Azure NetApp Files protezione ransomware avanzata è adatta per i carichi di lavoro seguenti:
  • Immagini e video
  • Directory home di Windows o Linux
    È possibile creare file con estensioni non rilevate nel periodo di apprendimento. Ciò aumenta la possibilità di falsi positivi in questo carico di lavoro. Esempi di questo tipo sono le estensioni che coinvolgono i record sanitari e i dati di Electronic Design Automation (EDA).
• Azure NetApp Files protezione ransomware avanzata non è adatta per i carichi di lavoro seguenti:
  • Carichi di lavoro di test/sviluppo: hanno una frequenza elevata di creazione/eliminazione dei file (centinaia di migliaia di file in pochi secondi)
  • Il rilevamento delle minacce riconosce un aumento insolito delle attività di creazione, ridenominazione o eliminazione di file come attività ransomware. Se un'applicazione legittima mostra questo tipo di attività di file, sarà probabilmente identificata come attività ransomware.
  • Carichi di lavoro in cui l'applicazione/host crittografa i dati. Protezione ransomware avanzata analizza i dati in ingresso come crittografati o non crittografati. Se l'applicazione stessa crittografa i dati, l'efficacia della protezione ransomware avanzata è ridotta. Tuttavia, può comunque rilevare ransomware in base all'attività del file (eliminazione, sovrascrittura o creazione o creazione o ridenominazione con una nuova estensione di file) e tipo di file.

Abilitare la protezione ransomware avanzata in un nuovo volume

1. Seguire il flusso di lavoro per creare un nuovo NFS, SMB o dual-protocol.
2. Nel campo Advanced Ransomware Protection (Protezione ransomware avanzata ) della scheda Informazioni di base selezionare Abilitato.
3. Dopo aver creato il volume, è possibile confermare le impostazioni nella panoramica del volume. Se hai abilitato la protezione ransomware, Advanced Ransomware Protection viene visualizzato come abilitato.

Abilitare la protezione ransomware avanzata per i volumi esistenti

1. Passare al volume per il quale si vuole abilitare la protezione ransomware avanzata.

2. Selezionare Advanced Ransomware Protection sotto il menu Storage services nella barra laterale.

3. Selezionare Abilita protezione

   

4. Fare clic su Sì per confermare l'abilitazione della protezione ransomware.

   

5. Verificare che lo stato di protezione sia Abilitato.

   

Rispondere alle minacce ransomware

1. Selezionare Advanced Ransomware Protection sotto il menu Storage services nella barra laterale.

2. Gli attacchi sospetti vengono visualizzati in Minacce attive. Espandere le minacce per visualizzare i file sospetti.

   

3. Se si sa che i file non sono una minaccia attiva, contrassegnare la minaccia attiva come Falso Positivo.

   Se si ritiene che i file siano una minaccia, selezionare Minaccia. È quindi possibile ripristinare il volume in base all'ultimo snapshot acquisito prima della minaccia.

4. Dopo aver risolto la minaccia, è possibile visualizzare i report ransomware archiviati nella stessa pagina. I report vengono archiviati per 30 giorni.

Sospendere la protezione ransomware

1. Passare al volume per il quale si vuole sospendere la protezione ransomware. Selezionare Advanced Ransomware Protection sotto il menu dei servizi Storage nella barra laterale.
2. Selezionare Sospendi protezione.
3. Per abilitare di nuovo la protezione, tornare al menu Advanced Ransomware Protection del volume e quindi selezionare Riprendi protezione.

Disabilitare la protezione ransomware

1. Passare al volume per il quale si vuole sospendere la protezione ransomware. Selezionare Advanced Ransomware Protection (Protezione ransomware avanzata) nel menu dei servizi Storage nella barra laterale.
2. Selezionare Disabilita protezione ransomware.