Autonomer Schutz Vor Ransomware
Änderungen vorschlagen
PDFs
Ab ONTAP 9.10.1 können Sie den Autonomen Ransomware-Schutz (ARP) auf einem vorhandenen Volume aktivieren oder ein neues Volume erstellen und ARP von Anfang an aktivieren.
Wenn Sie Ihren ONTAP-Cluster so konfigurieren möchten, dass alle neuen Volumes standardmäßig für den Autonomen Ransomware-Schutz (ARP) aktiviert werden, finden Sie hier "Zugehörige ARP-Prozedur".
-
Für ONTAP 9.10.1 bis 9.15.1 und ARP mit FlexGroup-Volumen für diese Versionen von ONTAP sollten Sie ARP zunächst immer im (oder im "Dry-Run"-Modus) aktivieren"Lernmodus". Wenn Sie ARP zum ersten Mal im Lernmodus aktivieren, analysiert das System die Arbeitslast, um das normale Verhalten zu charakterisieren. Wenn Sie im aktiven Modus beginnen, kann dies zu überhöhten falsch-positiven Berichten führen.
Es wird empfohlen, ARP mindestens 30 Tage im Lernmodus laufen zu lassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann.
-
Für ONTAP 9.16.1 und höher mit FlexVol-Volumes Wenn Sie ARP aktivieren, beginnt der ARP/AI-Schutz sofort im aktiven Modus. Es ist kein Lernzeitraum erforderlich.
|
In bestehenden Volumes gelten der Lern- und der aktiv-Modus nur für neu geschriebene Daten, nicht für bereits vorhandene Daten im Volume. Die vorhandenen Daten werden nicht gescannt und analysiert, da die Merkmale eines früheren normalen Datenverkehrs auf der Grundlage der neuen Daten angenommen werden, nachdem das Volume für ARP aktiviert wurde. |
-
Sie müssen eine Storage-VM (SVM) für NFS oder SMB (oder beides) aktivieren.
-
Der Korrekte Lizenz muss für Ihre ONTAP-Version installiert sein.
-
Sie müssen NAS-Workloads und Clients konfiguriert haben.
-
Das Volumen, auf dem ARP eingestellt werden soll, muss geschützt sein und eine aktive haben"Verbindungspfad".
-
Das Volumen muss zu weniger als 100 % voll sein.
-
Es wird empfohlen, das EMS-System so zu konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, die Hinweise auf ARP-Aktivitäten enthalten. Weitere Informationen finden Sie unter "Konfigurieren Sie EMS-Ereignisse zum Senden von E-Mail-Benachrichtigungen".
-
Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".
Aktivieren Sie ARP auf einem neuen oder vorhandenen Volume
Sie können ARP mit System Manager oder der ONTAP CLI aktivieren.
-
Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
Wenn Sie ARP mit ONTAP 9.15.1 oder früher oder ONTAP 9.16.1 mit FlexGroup-Volumes verwenden, wählen Sie im Lernmodus * im Feld * Anti-Ransomware* * * aktiviert aus.
Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch. Sie können "Deaktivieren Sie diese Einstellung auf der zugehörigen Speicher-VM"den Lernmodus manuell in den aktiven Modus wechseln. -
Wenn Sie ARP auf FlexVol Volumes mit ONTAP 9.16.1 oder höher verwenden, erfordert die ARP/AI-Funktion keine Lernphase und der aktive Modus ist standardmäßig ausgewählt.
-
-
Sie können den ARP-Status des Volumes im Feld Anti-Ransomware überprüfen.
Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
Der Prozess der Aktivierung von ARP mit der CLI unterscheidet sich, wenn sie es auf einem vorhandenen Volume und nicht auf einem neuen Volume aktivieren.
-
Ändern Sie ein vorhandenes Volume, um einen Ransomware-Schutz zu ermöglichen:
-
Stellen Sie für ONTAP 9.15.1 und früher und für ARP mit FlexGroup-Volumes den Volume-Status auf (Lernmodus) ein
dry-run:security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name> -
Setzen Sie bei ONTAP 9.16.1 und höher mit ARP/AI- und FlexVol-Volumes den Volume-Status auf
active(aktiver Modus):security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>
-
-
Wenn Sie ein Upgrade auf ONTAP 9.13.1 oder höher durchgeführt haben und der ARP-Standardstatus lautet
dry-run, wird das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Überprüfen Sie den ARP-Status des Volumes.
security anti-ransomware volume show
-
Erstellen Sie ein neues Volume mit aktivierter ARP-Funktion vor der Datenbereitstellung:
-
Stellen Sie für ONTAP 9.15.1 und früher und ARP mit FlexGroup-Volumes den Status auf (Lernmodus) ein
dry-run:volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name> -
Setzen Sie bei ONTAP 9.16.1 und höher mit ARP/AI- und FlexVol-Volumes den Status auf
active(aktiver Modus):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>
-
-
Wenn Sie ein Upgrade auf ONTAP 9.13.1 oder höher durchgeführt haben und der ARP-Standardstatus lautet
dry-run, wird das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Überprüfen Sie den ARP-Status des Volumes.
security anti-ransomware volume show