Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktivieren Sie den autonomen ONTAP Ransomware-Schutz

Beitragende netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDFs

Ab ONTAP 9.10.1 können Sie den Autonomen Ransomware-Schutz (ARP) auf einem vorhandenen Volume aktivieren oder ein neues Volume erstellen und ARP von Anfang an aktivieren.

Wenn Sie Ihren ONTAP-Cluster so konfigurieren möchten, dass alle neuen Volumes standardmäßig für den Autonomen Ransomware-Schutz (ARP) aktiviert werden, finden Sie hier "Zugehörige ARP-Prozedur".

Über diese Aufgabe

  • (Nur NAS-Umgebungen) Für ONTAP 9.10.1 bis 9.15.1 oder ARP mit FlexGroup -Volumes Für diese Versionen von ONTAP sollten Sie ARP immer zunächst aktivieren in "Lernmodus" (oder „Trockenlauf“-Zustand). Wenn Sie ARP zum ersten Mal im Lernmodus aktivieren, analysiert das System die Arbeitslast, um das normale Verhalten zu bestimmen. Der Beginn im aktiven Modus kann zu übermäßig vielen falsch positiven Meldungen führen.

    Es wird empfohlen, ARP mindestens 30 Tage lang im Lernmodus laufen zu lassen. Ab ONTAP 9.13.1 ermittelt ARP automatisch das optimale Lernintervall und automatisiert den Wechsel, der möglicherweise schon vor Ablauf der 30 Tage erfolgt.

  • (Nur NAS-Umgebungen) Für ONTAP 9.16.1 und höher mit FlexVol -Volumes Wenn Sie ARP über System Manager oder die CLI aktivieren, ist der ARP/AI-Schutz sofort aktiviert. Es ist keine Einarbeitungszeit erforderlich.

  • (Nur SAN-Umgebungen) Für ONTAP 9.17.1 und höher mit FlexVol -Volumes Wenn Sie ARP über System Manager oder die CLI aktivieren, wird die ARP/AI-Funktionalität automatisch aktiviert. Nach der Aktivierung auf einem SAN-Volume "ARP/AI überwacht die Daten kontinuierlich während eines Evaluierungszeitraums" um zu bestimmen, ob die Workloads für ARP geeignet sind, und legt einen optimalen Verschlüsselungsschwellenwert für die Erkennung fest.

Bevor Sie beginnen

  • Sie müssen über eine Speicher-VM (SVM) mit aktivierten Protokollen verfügen:

    • NAS: NFS oder SMB (oder beides)

    • SAN: iSCSI, FC oder NVMe

  • Der "Korrekte Lizenz" muss für Ihre ONTAP Version installiert sein.

  • Sie müssen über eine NAS- oder SAN-Workload mit konfigurierten Clients verfügen.

  • (Nur NAS-Umgebungen) Das Volume, auf dem Sie ARP einrichten möchten, muss über eine aktive "Verbindungspfad" .

  • Das Volumen muss zu weniger als 100 % voll sein.

  • Es wird empfohlen, das EMS-System so zu konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, die Hinweise auf ARP-Aktivitäten enthalten. Weitere Informationen finden Sie unter "Konfigurieren Sie EMS-Ereignisse zum Senden von E-Mail-Benachrichtigungen".

  • Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".

Aktivieren Sie ARP auf einem neuen oder vorhandenen Volume

Sie können ARP mit System Manager oder der ONTAP CLI aktivieren.

System Manager
Schritte

  1. Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.

  2. Wählen Sie im Register Sicherheit der Übersicht Volumes Status aus, um von deaktiviert zu aktiviert zu wechseln.

    • (Nur NAS-Umgebungen) Wenn Sie ARP mit ONTAP 9.15.1 oder früher oder ONTAP 9.16.1 mit FlexGroup -Volumes verwenden, wählen Sie im Feld Anti-Ransomware die Option Im Lernmodus aktiviert aus.

      Hinweis Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch. Sie können "Deaktivieren Sie diese Einstellung auf der zugehörigen Speicher-VM"den Lernmodus manuell in den aktiven Modus wechseln.
    Hinweis In bestehenden Volumes gelten der Lern- und der aktiv-Modus nur für neu geschriebene Daten, nicht für bereits vorhandene Daten im Volume. Die vorhandenen Daten werden nicht gescannt und analysiert, da die Merkmale eines früheren normalen Datenverkehrs auf der Grundlage der neuen Daten angenommen werden, nachdem das Volume für ARP aktiviert wurde.

  3. Sie können den ARP-Status des Volumes im Feld Anti-Ransomware überprüfen.

    Um den ARP-Status für alle Volumes anzuzeigen: Wählen Sie im Bereich Volumes ein/Ausblenden und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.

CLI

Der Vorgang zum Aktivieren von ARP mit der CLI ist unterschiedlich, wenn Sie es auf einem vorhandenen oder einem neuen Volume aktivieren.

Aktivieren Sie ARP auf einem vorhandenen Volume

  1. Ändern Sie ein vorhandenes Volume, um einen Ransomware-Schutz zu ermöglichen:

    • Für NAS-Umgebungen ohne ARP/AI oder für FlexGroup -Volumes verwenden Sie dry-run Zustand, sodass neue Volumes im Lernmodus starten.

    • Für NAS-Umgebungen mit ONTAP 9.16.1 oder höher oder SAN-Umgebungen mit ONTAP 9.17.1 verwenden Sie enabled Zustand.

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      Erfahren Sie mehr über security anti-ransomware volume dry-run in der "ONTAP-Befehlsreferenz".

  2. Wenn Sie eine NAS-Umgebung auf ONTAP 9.13.1 bis ONTAP 9.15.1 aktualisiert haben und der Standardzustand ist dry-run (Lernmodus) ist adaptives Lernen aktiviert, so dass die Änderung an enabled Der Zustand (aktiver Modus) wird automatisch aktiviert. Wenn Sie dieses Verhalten nicht automatisch aktivieren möchten, ändern Sie die Einstellung auf SVM-Ebene auf allen zugehörigen Volumes:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Überprüfen Sie den ARP-Status des Volumes.

    security anti-ransomware volume show
Aktivieren Sie ARP auf einem neuen Volume

  1. Erstellen Sie ein neues Volume mit aktivierter ARP-Funktion vor der Datenbereitstellung:

    • Für NAS-Umgebungen ohne ARP/AI oder für FlexGroup -Volumes verwenden Sie dry-run Zustand, sodass neue Volumes im Lernmodus starten.

    • Für NAS-Umgebungen mit ONTAP 9.16.1 oder höher oder SAN-Umgebungen mit ONTAP 9.17.1 verwenden Sie enabled Zustand.

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. Wenn Sie eine NAS-Umgebung auf ONTAP 9.13.1 bis ONTAP 9.15.1 aktualisiert haben und der Standardzustand ist dry-run (Lernmodus) ist adaptives Lernen aktiviert, so dass die Änderung an enabled Der Zustand (aktiver Modus) wird automatisch aktiviert. Wenn Sie dieses Verhalten nicht automatisch aktivieren möchten, ändern Sie die Einstellung auf SVM-Ebene auf allen zugehörigen Volumes:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Vergewissern Sie sich, dass das Volume auf den Status gesetzt enabled ist.

    security anti-ransomware volume show

    Erfahren Sie mehr über security anti-ransomware volume show in der "ONTAP-Befehlsreferenz".

Verwandte Informationen