Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Autonomer Schutz Vor Ransomware

Beitragende
PDFs

Ab ONTAP 9.10.1 kann der autonome Ransomware-Schutz (ARP) auf neuen oder bestehenden Volumes aktiviert werden. Sie aktivieren ARP zunächst im Lernmodus, in dem das System die Arbeitslast analysiert, um das normale Verhalten zu charakterisieren. Sie können ARP auf einem vorhandenen Volume aktivieren, oder Sie können ein neues Volume erstellen und ARP von Anfang an aktivieren.

Über diese Aufgabe

Sie sollten ARP zunächst immer im Lern- (oder Dry-Run-) Modus aktivieren. Wenn Sie im aktiven Modus beginnen, kann dies zu überhöhten falsch-positiven Berichten führen.

Es wird empfohlen, ARP mindestens 30 Tage im Lernmodus laufen zu lassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann. Weitere Informationen finden Sie unter "Lernen und aktive Modi".

Hinweis In bestehenden Volumes gelten der Lern- und der aktiv-Modus nur für neu geschriebene Daten, nicht für bereits vorhandene Daten im Volume. Die vorhandenen Daten werden nicht gescannt und analysiert, da die Merkmale eines früheren normalen Datenverkehrs auf der Grundlage der neuen Daten angenommen werden, nachdem das Volume für ARP aktiviert wurde.
Bevor Sie beginnen

  • Sie müssen eine Storage-VM (SVM) für NFS oder SMB (oder beides) aktivieren.

  • Der Korrekte Lizenz Muss für Ihre ONTAP-Version installiert sein.

  • Sie müssen NAS-Workloads und Clients konfiguriert haben.

  • Das Volumen, auf dem Sie ARP setzen möchten, muss geschützt sein und über einen aktiven verfügen "Verbindungspfad".

  • Das Volumen muss zu weniger als 100 % voll sein.

  • Es wird empfohlen, das EMS-System so zu konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, die Hinweise auf ARP-Aktivitäten enthalten. Weitere Informationen finden Sie unter "Konfigurieren Sie EMS-Ereignisse zum Senden von E-Mail-Benachrichtigungen".

  • Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".

Aktivieren Sie ARP

Sie können ARP mit System Manager oder der ONTAP CLI aktivieren.

System Manager
Schritte

  1. Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.

  2. Wählen Sie im Register Sicherheit der Volumes-Übersicht Status aus, um im Lernmodus im Feld Anti-Ransomware von deaktiviert zu aktiviert zu wechseln.

  3. Wenn der Lernzeitraum vorbei ist, schalten Sie ARP in den aktiven Modus um.

    Hinweis Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch. Das können Sie "Deaktivieren Sie diese Einstellung auf der zugehörigen Speicher-VM" Wenn Sie den Lernmodus manuell auf den aktiven Modus umschalten möchten.

    1. Wählen Sie Storage > Volumes und dann das Volume aus, das für den aktiven Modus bereit ist.

    2. Wählen Sie im Register Sicherheit der Übersicht Volumes im Feld Anti-Ransomware Switch in den aktiven Modus.

  4. Sie können den ARP-Status des Volumes im Feld Anti-Ransomware überprüfen.

    Um den ARP-Status für alle Volumes anzuzeigen, wählen Sie im Bereich Volumes ein/Ausblenden aus, und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.

CLI

Der Prozess der Aktivierung von ARP mit der CLI unterscheidet sich, wenn sie es auf einem vorhandenen Volume und nicht auf einem neuen Volume aktivieren.

Aktivieren Sie ARP auf einem vorhandenen Volume

  1. Ändern Sie ein vorhandenes Volume, um Ransomware-Schutz im Learning-Modus zu ermöglichen:

    security anti-ransomware volume dry-run -volume vol_name -vserver svm_name

    Wenn Sie ONTAP 9.13.1 oder höher ausführen, ist das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. Wenn der Lernzeitraum vorbei ist, ändern Sie das geschützte Volume, um in den aktiven Modus zu wechseln, falls nicht bereits automatisch ausgeführt:

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    Sie können auch mit dem Befehl „Volume ändern“ in den aktiven Modus wechseln:

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. Überprüfen Sie den ARP-Status des Volumes.

    security anti-ransomware volume show

Aktivieren Sie ARP auf einem neuen Volume

  1. Erstellen Sie ein neues Volume mit aktiviertem Ransomware-Schutz, bevor Sie Daten bereitstellen.

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name

    Wenn Sie ONTAP 9.13.1 oder höher ausführen, ist das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. Wenn der Lernzeitraum vorbei ist, ändern Sie das geschützte Volume, um in den aktiven Modus zu wechseln, falls nicht bereits automatisch ausgeführt:

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    Sie können auch mit dem Befehl „Volume ändern“ in den aktiven Modus wechseln:

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. Überprüfen Sie den ARP-Status des Volumes.

    security anti-ransomware volume show