Einstellungen für automatisch generierte ARP-Snapshots anpassen
Änderungen vorschlagen
PDFs
Ab ONTAP 9.11.1 können Sie die CLI verwenden, um die Aufbewahrungseinstellungen für ARP-Snapshots (Autonomous Ransomware Protection) zu steuern, die als Reaktion auf vermutete Ransomware-Angriffe automatisch generiert werden.
Sie können ARP-Snapshot-Optionen nur auf einem "Knoten-SVM" und nicht auf anderen SVM-Typen.
-
Zeigt alle aktuellen ARP-Snapshot-Einstellungen an:
options -option-name arw* -
Ausgewählte aktuelle ARP-Snapshot-Einstellungen anzeigen:
options -option-name <arw_setting_name> -
Ändern der ARP-Snapshot-Einstellungen:
options -option-name <arw_setting_name> -option-value <arw_setting_value>Die folgenden Einstellungen können geändert werden:
Einige der beschriebenen Befehle sind ab ONTAP 9.17.1 veraltet. Die in ONTAP 9.17.1 eingeführten Befehle unterstützen sowohl NAS- als auch SAN-Umgebungen. Einstellung Beschreibung Unterstützte Versionen arw.snap.max.countGibt die maximale Anzahl von ARP-Snapshots an, die gleichzeitig in einem Volume vorhanden sein können. Ältere Kopien werden gelöscht, um sicherzustellen, dass die Gesamtzahl der ARP-Snapshots innerhalb dieses Grenzwerts liegt.
ONTAP 9.11.1 und höher
arw.snap.create.interval.hoursGibt das Intervall in Stunden zwischen ARP-Snapshots an. Ein neuer ARP-Snapshot wird erstellt, wenn ein datenentropiebasierter Angriff vermutet wird und der zuletzt erstellte ARP-Snapshot älter als das angegebene Intervall ist.
ONTAP 9.11.1 und höher
arw.snap.normal.retain.interval.hoursGibt die Dauer in Stunden an, für die ein ARP-Snapshot aufbewahrt wird. Wenn ein ARP-Snapshot den Aufbewahrungsschwellenwert erreicht, wird er gelöscht.
-
ONTAP 9.11.1 bis ONTAP 9.16.1
-
Veraltet in ONTAP 9.17.1 und höher
arw.snap.max.retain.interval.daysGibt die maximale Dauer in Tagen an, für die ein ARP-Snapshot beibehalten werden kann. Jeder ARP-Snapshot, der älter als diese Dauer ist, wird gelöscht, wenn kein Angriff auf dem Volume gemeldet wird.
Das maximale Aufbewahrungsintervall für ARP-Snapshots wird ignoriert, wenn eine mäßige Bedrohung erkannt wird. Der als Antwort auf die Bedrohung erstellte ARP-Snapshot wird beibehalten, bis Sie auf die Bedrohung reagiert haben. Wenn Sie eine Bedrohung als „falsch positiv“ markieren, löscht ONTAP die ARP-Schnappschüsse für das Volume. -
ONTAP 9.11.1 bis ONTAP 9.16.1
-
Veraltet in ONTAP 9.17.1 und höher
arw.snap.create.interval.hours.post.max.countGibt das Intervall in Stunden zwischen ARP-Snapshots an, wenn das Volume bereits die maximale Anzahl an ARP-Snapshots enthält. Sobald die maximale Anzahl erreicht ist, wird ein ARP-Snapshot gelöscht, um Platz für eine neue Kopie zu schaffen. Mit dieser Option kann die Geschwindigkeit der Erstellung neuer ARP-Snapshots reduziert werden, um die ältere Kopie beizubehalten. Wenn das Volume bereits die maximale Anzahl an ARP-Snapshots enthält, wird für die nächste ARP-Snapshot-Erstellung das in dieser Option angegebene Intervall verwendet, anstatt
arw.snap.create.interval.hours.-
ONTAP 9.11.1 bis 9.16.1
-
Veraltet in ONTAP 9.17.1 und höher
arw.snap.low.encryption.retain.duration.hoursGibt die Aufbewahrungsdauer in Stunden für ARP-Snapshots an, die während Zeiten geringer Verschlüsselungsaktivität erstellt wurden.
-
ONTAP 9.17.1 und höher
arw.snap.new.extns.interval.hoursGibt das Intervall in Stunden zwischen den ARP-Snapshots an, die beim Erkennen einer neuen Dateierweiterung erstellt werden. Ein neuer ARP-Snapshot wird erstellt, wenn eine neue Dateierweiterung erkannt wird; der vorherige Snapshot, der beim Erkennen einer neuen Dateierweiterung erstellt wurde, ist älter als das angegebene Intervall. Bei einer Arbeitslast, die häufig neue Dateierweiterungen erstellt, hilft dieses Intervall, die Häufigkeit der ARP-Snapshots zu steuern. Diese Option existiert unabhängig von
arw.snap.create.interval.hours, das das Intervall für auf Datenentropie basierende ARP-Snapshots angibt.-
ONTAP 9.11.1 bis ONTAP 9.16.1
-
Veraltet in ONTAP 9.17.1 und höher
arw.snap.retain.hours.after.clear.suspect.false.alertGibt das Intervall in Stunden an, in dem ein ARP-Snapshot vorsorglich aufbewahrt wird, nachdem ein Angriffsvorfall vom Administrator als falsch positiv markiert wurde. Nach Ablauf dieser Aufbewahrungsfrist kann der Snapshot gemäß der in den Optionen definierten Standardaufbewahrungsdauer gelöscht werden.
arw.snap.normal.retain.interval.hoursUndarw.snap.max.retain.interval.days.-
ONTAP 9.16.1 und höher
arw.snap.retain.hours.after.clear.suspect.real.attackGibt das Intervall in Stunden an, in dem ein ARP-Snapshot vorsorglich aufbewahrt wird, nachdem ein Angriff vom Administrator als echter Angriff markiert wurde. Nach Ablauf dieser Aufbewahrungsfrist kann der Snapshot gemäß der in den Optionen definierten Standardaufbewahrungsdauer gelöscht werden.
arw.snap.normal.retain.interval.hoursUndarw.snap.max.retain.interval.days.-
ONTAP 9.16.1 und höher
arw.snap.surge.interval.daysGibt das Intervall in Tagen zwischen ARP-Snapshots an, die als Reaktion auf I/O-Überspannungen erstellt wurden. ONTAP erzeugt eine ARP-Snapshot Überspannungskopie, wenn es einen Anstieg des IO-Verkehrs gibt und der letzte erstellte ARP-Snapshot ist älter als dieses angegebene Intervall. Mit dieser Option wird auch die Aufbewahrungsfrist in Tag für einen ARP-Überspannungsabschuss festgelegt.
ONTAP 9.11.1 und höher
arw.high.encryption.alert.enabledAktiviert Warnmeldungen bei hohen Verschlüsselungsstufen. Wenn diese Option auf
on(Standard) sendet ONTAP eine Warnung, wenn der Prozentsatz der Verschlüsselung den inarw.high.encryption.percentage.threshold.ONTAP 9.17.1 und höher
arw.high.encryption.percentage.thresholdGibt den maximalen Verschlüsselungsgrad für ein Volume an. Überschreitet der Verschlüsselungsgrad diesen Schwellenwert, behandelt ONTAP die Erhöhung als Angriff und erstellt einen ARP-Snapshot.
arw.high.encryption.alert.enabledmuss eingestellt werden aufondamit diese Option wirksam wird.ONTAP 9.17.1 und höher
arw.snap.high.encryption.retain.duration.hoursGibt das Aufbewahrungsdauerintervall in Stunden für Snapshots an, die während eines Ereignisses mit hohem Verschlüsselungsschwellenwert erstellt wurden.
ONTAP 9.17.1 und höher
-
-
Wenn Sie ARP mit einer SAN-Umgebung verwenden, können Sie auch die folgenden Einstellungen für den Evaluierungszeitraum ändern:
Einstellung Beschreibung Unterstützte Versionen arw.block_device.auto.learn.threshold.min_valueGibt den minimalen Prozentwert für den Verschlüsselungsschwellenwert während der automatischen Lernphase der Auswertung für Blockgeräte an.
ONTAP 9.17.1 und höher
arw.block_device.auto.learn.threshold.max_valueGibt den maximalen Prozentwert für den Verschlüsselungsschwellenwert während der automatischen Lernphase der Auswertung für Blockgeräte an.
ONTAP 9.17.1 und höher
arw.block_device.evaluation.phase.min_hoursGibt das Mindestintervall in Stunden an, in dem die Auswertungsphase ausgeführt werden muss, bevor der Verschlüsselungsschwellenwert festgelegt wird.
ONTAP 9.17.1 und höher
arw.block_device.evaluation.phase.max_hoursGibt das maximale Intervall in Stunden an, das die Auswertungsphase ausgeführt werden muss, bevor der Verschlüsselungsschwellenwert festgelegt wird.
ONTAP 9.17.1 und höher
arw.block_device.evaluation.phase.min_data_ingest_size_GBGibt die Mindestmenge an Daten in GB an, die während der Evaluierungsphase aufgenommen werden muss, bevor der Verschlüsselungsschwellenwert festgelegt wird.
ONTAP 9.17.1 und höher
arw.block_device.evaluation.phase.alert.enabledGibt an, ob Warnmeldungen für die Evaluierungsphase von ARP auf Blockgeräten aktiviert sind. Der Standardwert ist
True.ONTAP 9.17.1 und höher
arw.block_device.evaluation.phase.alert.thresholdGibt den Schwellenwertprozentsatz während der ARP-Evaluierungsphase auf Blockgeräten an. Wenn der Verschlüsselungsprozentsatz diesen Schwellenwert überschreitet, wird eine Warnung ausgelöst.
ONTAP 9.17.1 und höher