Autonomer Schutz Vor Ransomware
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.10.1 kann der autonome Ransomware-Schutz (ARP) auf neuen oder bestehenden Volumes aktiviert werden. Sie aktivieren ARP zunächst im Lernmodus, in dem das System die Arbeitslast analysiert, um das normale Verhalten zu charakterisieren. Sie können ARP auf einem vorhandenen Volume aktivieren, oder Sie können ein neues Volume erstellen und ARP von Anfang an aktivieren.
Sie sollten ARP zunächst immer im Lern- (oder Dry-Run-) Modus aktivieren. Wenn Sie im aktiven Modus beginnen, kann dies zu überhöhten falsch-positiven Berichten führen.
Es wird empfohlen, ARP mindestens 30 Tage im Lernmodus laufen zu lassen. Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch, der vor 30 Tagen auftreten kann. Weitere Informationen finden Sie unter "Lernen und aktive Modi".
In bestehenden Volumes gelten der Lern- und der aktiv-Modus nur für neu geschriebene Daten, nicht für bereits vorhandene Daten im Volume. Die vorhandenen Daten werden nicht gescannt und analysiert, da die Merkmale eines früheren normalen Datenverkehrs auf der Grundlage der neuen Daten angenommen werden, nachdem das Volume für ARP aktiviert wurde. |
-
Sie müssen eine Storage-VM (SVM) für NFS oder SMB (oder beides) aktivieren.
-
Der Korrekte Lizenz Muss für Ihre ONTAP-Version installiert sein.
-
Sie müssen NAS-Workloads und Clients konfiguriert haben.
-
Das Volumen, auf dem Sie ARP setzen möchten, muss geschützt sein und über einen aktiven verfügen "Verbindungspfad".
-
Das Volumen muss zu weniger als 100 % voll sein.
-
Es wird empfohlen, das EMS-System so zu konfigurieren, dass E-Mail-Benachrichtigungen gesendet werden, die Hinweise auf ARP-Aktivitäten enthalten. Weitere Informationen finden Sie unter "Konfigurieren Sie EMS-Ereignisse zum Senden von E-Mail-Benachrichtigungen".
-
Ab ONTAP 9.13.1 wird empfohlen, die Multi-Admin-Verifizierung (MAV) zu aktivieren, sodass für die ARP-Konfiguration (Autonomous Ransomware Protection) mindestens zwei authentifizierte Benutzeradministratoren erforderlich sind. Weitere Informationen finden Sie unter "Aktivieren Sie die Verifizierung durch mehrere Administratoren".
Aktivieren Sie ARP
Sie können ARP mit System Manager oder der ONTAP CLI aktivieren.
-
Wählen Sie Storage > Volumes und dann das zu schützende Volume aus.
-
Wählen Sie im Register Sicherheit der Volumes-Übersicht Status aus, um im Lernmodus im Feld Anti-Ransomware von deaktiviert zu aktiviert zu wechseln.
-
Wenn der Lernzeitraum vorbei ist, schalten Sie ARP in den aktiven Modus um.
Ab ONTAP 9.13.1 bestimmt ARP automatisch das optimale Lernintervall und automatisiert den Switch. Das können Sie "Deaktivieren Sie diese Einstellung auf der zugehörigen Speicher-VM" Wenn Sie den Lernmodus manuell auf den aktiven Modus umschalten möchten. -
Wählen Sie Storage > Volumes und dann das Volume aus, das für den aktiven Modus bereit ist.
-
Wählen Sie im Register Sicherheit der Übersicht Volumes im Feld Anti-Ransomware Switch in den aktiven Modus.
-
-
Sie können den ARP-Status des Volumes im Feld Anti-Ransomware überprüfen.
Um den ARP-Status für alle Volumes anzuzeigen, wählen Sie im Bereich Volumes ein/Ausblenden aus, und stellen Sie dann sicher, dass der Status Anti-Ransomware aktiviert ist.
Der Prozess der Aktivierung von ARP mit der CLI unterscheidet sich, wenn sie es auf einem vorhandenen Volume und nicht auf einem neuen Volume aktivieren.
-
Ändern Sie ein vorhandenes Volume, um Ransomware-Schutz im Learning-Modus zu ermöglichen:
security anti-ransomware volume dry-run -volume vol_name -vserver svm_name
Wenn Sie ONTAP 9.13.1 oder höher ausführen, ist das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Wenn der Lernzeitraum vorbei ist, ändern Sie das geschützte Volume, um in den aktiven Modus zu wechseln, falls nicht bereits automatisch ausgeführt:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
Sie können auch mit dem Befehl „Volume ändern“ in den aktiven Modus wechseln:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
Überprüfen Sie den ARP-Status des Volumes.
security anti-ransomware volume show
-
Erstellen Sie ein neues Volume mit aktiviertem Ransomware-Schutz, bevor Sie Daten bereitstellen.
volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name
Wenn Sie ONTAP 9.13.1 oder höher ausführen, ist das adaptive Lernen aktiviert, sodass die Änderung des aktiven Status automatisch erfolgt. Wenn Sie nicht möchten, dass dieses Verhalten automatisch aktiviert wird, ändern Sie die Einstellung auf SVM-Ebene für alle zugehörigen Volumes:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Wenn der Lernzeitraum vorbei ist, ändern Sie das geschützte Volume, um in den aktiven Modus zu wechseln, falls nicht bereits automatisch ausgeführt:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
Sie können auch mit dem Befehl „Volume ändern“ in den aktiven Modus wechseln:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
Überprüfen Sie den ARP-Status des Volumes.
security anti-ransomware volume show