Aktivieren Sie den autonomen ONTAP Ransomware-Schutz
Änderungen vorschlagen
PDFs
Ab ONTAP 9.10.1 können Sie den Autonomen Ransomware-Schutz (ARP) auf einem vorhandenen Volume aktivieren oder ein neues Volume erstellen und ARP von Anfang an aktivieren.
Wenn Sie Ihren ONTAP-Cluster so konfigurieren möchten, dass alle neuen Volumes standardmäßig für den Autonomen Ransomware-Schutz (ARP) aktiviert werden, finden Sie hier "Zugehörige ARP-Prozedur".
Um ARP zu aktivieren, folgen Sie der für Ihre Umgebung passenden Vorgehensweise.Sie stellen sicher, dass Ihre Umgebung bestimmte Anforderungen erfüllt. :
Nach der Aktivierung von ARP kann ARP je nach Umgebung und ONTAP Version in eine Übergangsphase eintreten:
| Volume-Typ | ONTAP-Version | Verhalten nach der Aktivierung |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1 und höher |
ARP/KI ist sofort ohne Lernphase aktiv. |
ONTAP 9.13.1 bis 9.17.1 |
ARP startet im Lernmodus für 30 Tage |
|
NAS FlexVol |
ONTAP 9.16.1 und höher |
ARP/KI ist sofort ohne Lernphase aktiv. |
ONTAP 9.10.1 bis 9.15.1 |
ARP startet im Lernmodus für 30 Tage |
|
SAN Volumes |
ONTAP 9.17.1 und höher |
ARP/AI wird sofort aktiv und leitet eine Evaluierungsphase ein, um einen geeigneten Alarmschwellenwert festzulegen, bevor von einem anfänglich konservativen Schwellenwert umgeschaltet wird. |
Bevor Sie ARP aktivieren, stellen Sie sicher, dass Ihre Umgebung Folgendes aufweist:
-
Eine Storage-VM (SVM) mit aktiviertem NFS- oder SMB-Protokoll (oder beiden).
-
NAS-Workload mit konfigurierten Clients.
-
Ein aktiver"Verbindungspfad" für das Volumen.
-
Eine Storage-VM (SVM) mit aktiviertem iSCSI-, FC- oder NVMe-Protokoll.
-
SAN-Workload mit konfigurierten Clients.
-
Der"Korrekte Lizenz" für Ihre ONTAP Version.
-
(Empfohlen) Multi-Admin-Verifizierung (MAV) aktiviert (ONTAP 9.13.1 und höher). Sehen"Aktivieren Sie die Verifizierung durch mehrere Administratoren" .
ARP auf NAS FlexVol -Volumes aktivieren
Sie können ARP auf NAS FlexVol -Volumes mit dem System Manager oder der ONTAP CLI aktivieren. Der Ablauf variiert je nach Ihrer ONTAP Version.
Ab ONTAP 9.16.1 ist ARP/AI sofort aktiv, eine Lernphase ist nicht erforderlich.
-
Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
Überprüfen Sie den ARP-Status des Volumes im Anti-Ransomware-Feld.
Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
ARP auf einem vorhandenen Volume aktivieren:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Neues Volume mit aktiviertem ARP erstellen:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Überprüfen Sie den ARP-Status:
security anti-ransomware volume showErfahren Sie mehr über security anti-ransomware volume show in der "ONTAP-Befehlsreferenz".
Für ONTAP 9.10.1 bis 9.15.1 sollten Sie ARP zunächst aktivieren."Lernmodus" (oder "Trockenlauf"-Zustand). Das System analysiert die Arbeitslast, um das normale Verhalten zu charakterisieren. Der Beginn im aktiven Modus kann zu übermäßig vielen falsch positiven Meldungen führen.
Es wird empfohlen, ARP mindestens 30 Tage lang im Lernmodus laufen zu lassen. Ab ONTAP 9.13.1 ermittelt ARP automatisch das optimale Lernintervall und automatisiert den Wechsel, der möglicherweise schon vor Ablauf der 30 Tage erfolgt.
-
Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
Wählen Sie im Feld Anti-Ransomware die Option Im Lernmodus aktiviert.
Du kannst"Automatisches Lernen für Übergänge zwischen aktiven Modi auf der zugehörigen Speicher-VM deaktivieren" Wenn Sie den Übergang vom Lernmodus zum aktiven Modus manuell steuern möchten.
In bestehenden Volumes gelten der Lern- und der aktiv-Modus nur für neu geschriebene Daten, nicht für bereits vorhandene Daten im Volume. Die vorhandenen Daten werden nicht gescannt und analysiert, da die Merkmale eines früheren normalen Datenverkehrs auf der Grundlage der neuen Daten angenommen werden, nachdem das Volume für ARP aktiviert wurde. -
Überprüfen Sie den ARP-Status des Volumes im Anti-Ransomware-Feld.
Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
ARP auf einem vorhandenen Volume aktivieren:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Erfahren Sie mehr über security anti-ransomware volume dry-run in der "ONTAP-Befehlsreferenz".
Neues Volume mit aktiviertem ARP erstellen:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Automatische Umschaltung deaktivieren (optional):
Wenn Sie ein Upgrade von ONTAP 9.13.1 auf ONTAP 9.15.1 durchgeführt haben und den Switch für alle zugehörigen Volumes manuell vom Lern- in den Aktivmodus umschalten möchten, können Sie dies über die SVM tun:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseÜberprüfen Sie den ARP-Status:
security anti-ransomware volume showARP auf NAS FlexGroup -Volumes aktivieren
Sie können ARP auf NAS FlexGroup -Volumes mit dem System Manager oder der ONTAP CLI aktivieren. Der Ablauf variiert je nach Ihrer ONTAP Version.
Ab ONTAP 9.18.1 ist ARP/AI für FlexGroup -Volumes sofort aktiv, ohne dass eine Lernphase erforderlich ist.
-
Wählen Sie Speicher > Volumes und anschließend das FlexGroup -Volume aus, das Sie schützen möchten.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
Überprüfen Sie den ARP-Status des Volumes im Anti-Ransomware-Feld.
Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
ARP auf einem vorhandenen FlexGroup Volume aktivieren:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Erstellen Sie ein neues FlexGroup Volume mit aktiviertem ARP:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Überprüfen Sie den ARP-Status:
security anti-ransomware volume showBei ONTAP 9.13.1 bis 9.17.1 beginnen FlexGroup -Volumes in"Lernmodus" Die Das System analysiert die Arbeitslast, um das normale Verhalten zu charakterisieren.
Es wird empfohlen, ARP mindestens 30 Tage lang im Lernmodus laufen zu lassen. ARP ermittelt automatisch das optimale Lernintervall und automatisiert den Wechsel, der auch vor Ablauf von 30 Tagen erfolgen kann.
-
Wählen Sie Speicher > Volumes und anschließend das FlexGroup -Volume aus, das Sie schützen möchten.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
Wählen Sie im Feld Anti-Ransomware die Option Im Lernmodus aktiviert.
Du kannst"Automatische Lernübergänge zwischen aktiven Modi deaktivieren" Wenn Sie den Übergang vom Lernmodus zum aktiven Modus manuell steuern möchten. -
Überprüfen Sie den ARP-Status des Volumes im Anti-Ransomware-Feld.
ARP auf einem vorhandenen FlexGroup Volume aktivieren:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Erstellen Sie ein neues FlexGroup Volume mit aktiviertem ARP:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Automatische Umschaltung deaktivieren (optional):
Wenn Sie den Schalter vom Lern- in den Aktivmodus manuell steuern möchten:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseÜberprüfen Sie den ARP-Status:
security anti-ransomware volume showARP auf SAN-Volumes aktivieren
Ab ONTAP 9.17.1 können Sie ARP auf SAN-Volumes aktivieren. Die ARP/AI-Funktionalität wird automatisch aktiviert und beginnt sofort mit der aktiven Überwachung und dem Schutz von SAN-Volumes während des"Evaluierungszeitraum" gleichzeitig wird ermittelt, ob die Arbeitslasten für ARP geeignet sind, und ein optimaler Verschlüsselungsschwellenwert für die Erkennung festgelegt.
Sie können ARP auf SAN-Volumes mit dem System Manager oder der ONTAP CLI aktivieren.
-
Wählen Sie Speicher > Volumes und anschließend das SAN-Volume aus, das Sie schützen möchten.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.
-
ARP/AI tritt automatisch in die Evaluierungsphase ein.
-
Überprüfen Sie den ARP-Status und den Auswertungsstatus im Anti-Ransomware-Feld.
Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
ARP auf einem vorhandenen SAN-Volume aktivieren:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Erstellen Sie ein neues SAN-Volume mit aktiviertem ARP:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledÜberprüfen Sie den ARP-Status und den Auswertungsstatus:
security anti-ransomware volume showÜberprüfen Sie die Block device detection status Feld zur Überwachung des Fortschritts im Evaluierungszeitraum.
Erfahren Sie mehr über security anti-ransomware volume show in der "ONTAP-Befehlsreferenz".