Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erfahren Sie mehr über den ONTAP ARP/AI-Evaluierungszeitraum für Blockgeräte-Workloads

Beitragende netapp-dbagwell netapp-lenida
Änderungen vorschlagen
PDFs

Ab ONTAP 9.17.1 benötigt ARP/AI eine Evaluierungsphase, um festzustellen, ob die Entropiewerte von Blockgeräte-Workloads für den Schutz vor Ransomware geeignet sind. Zu diesen Workloads gehören SAN-LUNs und virtuelle Hypervisor-Festplatten (zum Beispiel VMware-Festplatten in NFS-Datenspeichern und ab ONTAP 9.17.1P5 Hyper-V, KVM und OpenStack virtuelle Festplatten), die in ONTAP-Volumes gespeichert sind. Nachdem ARP auf einem geeigneten Volume aktiviert wurde, überwacht und schützt ARP/AI das Volume während der Evaluierungsphase aktiv und ermittelt gleichzeitig einen optimalen Verschlüsselungsschwellenwert. Erkennungen und Warnungen können während der Evaluierungsphase mit einem konservativen Schwellenwert erfolgen, während die Basisschwellenwerte im Laufe mehrerer Tage festgelegt werden. ARP unterscheidet zwischen geeigneten und ungeeigneten Workloads im evaluierten Volume und legt, falls die Workloads als schutzfähig eingestuft werden, automatisch einen Verschlüsselungsschwellenwert basierend auf Statistiken der Evaluierungsphase fest.

Unterstützte Workloads und Anwendbarkeit der Evaluierung

Die Evaluierungsfrist für Blockgeräte gilt in den folgenden Szenarien:

  • SAN-Volumes

    • LUN-basierte Workloads, die Hosts oder Hypervisoren als Blockgeräte bereitgestellt werden.

  • NAS-Volumes, die virtuelle Hypervisor-Festplatten enthalten, werden von ONTAP automatisch erkannt

    • Unterstützte Hypervisoren sind VMware, Hyper-V, KVM und OpenStack-virtuelle Festplatten, die in NFS- oder SMB-Datenspeichern gespeichert sind.

Innerhalb dieser Volumes:

  • Der Auswertungszeitraum ist anwendbar auf Angriffe, die anhand von Entropieänderungen innerhalb des Gastdateisystems der virtuellen Festplatte erkannt werden (zum Beispiel Ransomware, die auf Dateien innerhalb des Gastbetriebssystems operiert, die einer LUN oder virtuellen Festplatte zugeordnet sind).

  • Der Auswertungszeitraum ist nicht anwendbar auf Angriffe, die anhand von Entropie- und Dateierweiterungsänderungen erkannt werden, die direkt an den virtuellen Festplattendateien vom Hypervisor-Host vorgenommen werden (zum Beispiel Ransomware, die direkt auf .vmdk Dateien von einem ESXi NFS-Datenspeicher-Mountpunkt arbeitet). Diese Direct-to-Disk-Angriffe verwenden einen anderen Erkennungspfad, der nicht vom Auswertungszeitraum für Blockgeräte abhängt.

Versionsunterstützung für Blockgeräte- und Hypervisor-Erkennung

  • ONTAP 9.17.1

    • Führt die Blockgeräte-Evaluierungsperiode für SAN-Volumes ein.

    • Ermöglicht die Erkennung von ARP/AI-Angriffen innerhalb von SAN LUNs und innerhalb von VMware-Virtual-Disks, die in ONTAP NFS-Datenspeichern gespeichert sind.

  • ONTAP 9.17.1P5 und höher

    • Erweitert die ARP/AI-Blockgeräteerkennung auf virtuelle Hypervisor-Festplatten wie Hyper-V, KVM und OpenStack.

    • Wendet die gleiche Logik und die gleichen Schwellenwerte für die Auswertung von Blockgeräten auf diese zusätzlichen Hypervisor-Workloads an, wenn sie von ONTAP erkannt werden.

Entropiebewertung verstehen

Während der Evaluierungsphase sammelt das System kontinuierlich Verschlüsselungsstatistiken in 10-Minuten-Intervallen von unterstützten Blockgeräte- und Hypervisor-Workloads. ARP-Periodensnapshots werden ebenfalls kontinuierlich alle vier Stunden erstellt. Wenn der Verschlüsselungsprozentsatz innerhalb eines Intervalls den für dieses Volume identifizierten optimalen Verschlüsselungsschwellenwert überschreitet, wird eine Warnung ausgelöst, ein Anti_ransomware_attack_backup Snapshot erstellt und die Aufbewahrungszeit bei allen periodischen ARP-Snapshots erhöht.

Bestätigen Sie, dass der Testzeitraum aktiv ist

Sie können bestätigen, dass die Auswertung aktiv ist, indem Sie den folgenden Befehl ausführen und einen Status von evaluation_period. Wenn ein Band nicht zur Evaluierung berechtigt ist, wird der Evaluierungsstatus nicht angezeigt.

security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>

Beispielantwort:

Vserver Name                                : vs1
Volume Name                                 : v1
State                                       : enabled
Attack Probability                          : none
Attack Timeline                             : -
Number of Attacks                           : -
Attack Detected By                          : -
Block device detection status               : evaluation_period
Überwachen der Datenerfassung im Auswertungszeitraum

Sie können die Verschlüsselungserkennung in Echtzeit überwachen, indem Sie den folgenden Befehl ausführen. Der Befehl gibt ein Histogramm zurück, das die Datenmenge in jedem Verschlüsselungsprozentbereich anzeigt. Das Histogramm wird alle 10 Minuten aktualisiert.

security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time

Beispielantwort:

Vserver     Name              Entropy Range   Seen N Time     Data Written
----------  ----------------  --------------- --------------  -------------
vs0         lun1              0-5%            4               100MB
vs0         lun1              6-10%           10              900MB
vs0         lun1              11-15%          20              40MB
vs0         lun1              16-20%          10              70MB
vs0         lun1              21-25%          60              450MB
vs0         lun1              26-30%          4               100MB
vs0         lun1              31-35%          10              900MB
vs0         lun1              36-40%          20              40MB
vs0         lun1              41-45%          0               0
vs0         lun1              46-50%          0               0
vs0         lun1              51-55%          0               0
vs0         lun1              56-60%          0               0
vs0         lun1              61-65%          0               0
vs0         lun1              66-70%          0               0
vs0         lun1              71-75%          0               0
vs0         lun1              76-80%          0               0
vs0         lun1              81-85%          0               0
vs0         lun1              86-90%          0               0
vs0         lun1              91-95%          0               0
vs0         lun1              96-100%         0               0

20 entries were displayed.

Geeignete Arbeitslasten und adaptive Schwellenwerte

Die Auswertung endet mit einem der folgenden Ergebnisse sowohl für SAN LUN-Workloads als auch für Hypervisor-Virtual-Disks, die mittels Blockgeräteerkennung ausgewertet wurden:

  • *Die Arbeitslast ist für ARP geeignet. * ARP setzt den adaptiven Schwellenwert automatisch auf über 10 % des im Evaluierungszeitraum beobachteten maximalen Verschlüsselungsgrads. ARP sammelt außerdem fortlaufend Statistiken und erstellt regelmäßig ARP-Snapshots.

  • Die Arbeitslast ist für ARP ungeeignet. ARP setzt den adaptiven Schwellenwert automatisch auf den maximalen Verschlüsselungsgrad, der während des Evaluierungszeitraums erreicht wurde. ARP sammelt weiterhin Statistiken und erstellt regelmäßig ARP-Snapshots. Das System empfiehlt jedoch, ARP auf dem Volume zu deaktivieren.

Evaluierungsergebnisse ermitteln

Nach Ablauf des Evaluierungszeitraums legt ARP den adaptiven Schwellenwert automatisch basierend auf den Evaluierungsergebnissen fest.

Sie können die Ergebnisse der Auswertung mit dem folgenden Befehl ermitteln. Die Eignung des Volumens wird in der Block device detection status Feld:

security anti-ransomware volume show  -vserver <svm_name> -volume <volume_name>

Beispielantwort:

Vserver Name                               : vs1
Volume Name                                : v1
State                                      : enabled
Attack Probability                         : none
Attack Timeline                            : -
Number of Attacks                          : -
Attack Detected By                         : -
Block device detection status              : Active_suitable_workload

Block device evaluation start time :  5/16/2025 01:49:01

Sie können sich außerdem die Wertschwelle anzeigen lassen, die als Ergebnis der Auswertung angenommen wurde:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

Beispielantwort:

                                  Vserver Name : vs_1

                                   Volume Name : vm_2

Block Device Auto Learned Encryption Threshold : 10
...