Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información sobre la protección autónoma frente a ransomware de ONTAP

02/03/2026 Colaboradores

PDF

A partir de ONTAP 9.10.1, los administradores de ONTAP pueden habilitar la Protección Autónoma contra Ransomware (ARP) para realizar análisis de carga de trabajo en entornos NAS (NFS y SMB) con el fin de detectar y advertir proactivamente sobre actividad anormal que podría indicar un ataque de ransomware. A partir de ONTAP 9.17.1, ARP también admite volúmenes de dispositivos de bloque, incluidos volúmenes SAN que contienen LUN o espacios de nombres NVMe, o volúmenes NAS que contienen discos virtuales de hipervisores como VMware.

ARP está integrado directamente en ONTAP, lo que garantiza un control y una coordinación integrados con las demás funciones de ONTAP. ARP opera en tiempo real, procesando datos a medida que se escriben o leen en el sistema de archivos, y detectando y respondiendo rápidamente a posibles ataques de ransomware.

ARP crea instantáneas bloqueadas a intervalos regulares junto con las programadas para mayor protección. Administra de forma inteligente el tiempo que se conservan las instantáneas. Si no se detecta ninguna actividad inusual, las instantáneas se reciclan rápidamente. Sin embargo, si se detecta un ataque, se conserva una instantánea creada antes del inicio del ataque durante un período prolongado. Para obtener más información, incluidos los cambios agregados por la versión de ONTAP , consulte Instantáneas de ARP.

Licencias y habilitación

Necesitas una licencia para usar ARP. Decide si quieres habilitar ARP por defecto en los nuevos volúmenes o habilitarlo manualmente por volumen.

Opciones de licencia para ARP

El soporte ARP está incluido con el"Licencia ONTAP One" . Si no tiene la licencia de ONTAP One, hay otras licencias disponibles para el uso de ARP que varían según su versión de ONTAP

Lanzamientos de ONTAP Licencia

Lanzamientos de ONTAP	Licencia
ONTAP 9.11.1 y versiones posteriores	`Anti_ransomware`
ONTAP 9.10.1	`MT_EK_MGMT` (Gestión de claves multiinquilino)

ONTAP 9.11.1 y versiones posteriores

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Gestión de claves multiinquilino)

Si está actualizando de ONTAP 9.10.1 a ONTAP 9.11.1 o posterior y ARP ya está configurado en su sistema, no necesita instalar el nuevo Anti-ransomware Licencia. Para nuevas configuraciones de ARP, se requiere la nueva licencia.
Si está volviendo de ONTAP 9.11.1 o posterior a ONTAP 9.10.1 y ha habilitado ARP con la licencia Anti_ransomware, verá un mensaje de advertencia y es posible que deba reconfigurar ARP. "Aprenda sobre cómo revertir ARP" .

Opciones de habilitación para ARP

ARP proporciona opciones flexibles de habilitación a nivel de clúster, SVM y volumen, lo que te permite configurar la habilitación automática predeterminada para nuevos volúmenes o habilitar ARP manualmente en volúmenes existentes según lo necesites.

Activación automática predeterminada en nuevos volúmenes

A partir de ONTAP 9.18.1, ARP se habilita automáticamente por defecto en todos los volúmenes nuevos para AFF serie A y AFF serie C, ASA y ASA r2. Esta habilitación automática de ARP por defecto no se aplica a "volúmenes o configuraciones no compatibles".

La habilitación predeterminada de ARP en volúmenes nuevos entra en vigor después de un periodo de gracia de 12 horas tras una actualización o inmediatamente para una nueva instalación de ONTAP 9.18.1, siempre que se haya instalado una licencia de ARP en cualquiera de los casos. Debes habilitar ARP manualmente en los volúmenes existentes.

Durante el periodo de gracia, puedes "desactivar la activación por defecto para nuevos volúmenes a nivel de clúster usando System Manager o la ONTAP CLI". Si no te excluyes, ARP se habilita automáticamente para todos los nuevos volúmenes creados después del final del periodo de gracia. Si las necesidades cambian después del periodo de gracia, también tienes la flexibilidad de activar o desactivar la habilitación por defecto en cualquier momento.

Activación manual predeterminada en nuevos volúmenes

Si desactivaste la activación automática por defecto de ARP a nivel de clúster, también puedes elegir "habilitar manualmente ARP de forma predeterminada en todos los volúmenes nuevos" a nivel de SVM. Para ONTAP 9.17.1 y versiones anteriores, esta es la única forma de configurar ARP para que se active por defecto en los nuevos volúmenes.

Habilitación de ARP en todos o en volúmenes existentes específicos

A partir de 9.18.1, puedes habilitar manualmente ARP en todos los volúmenes existentes desde el nivel de clúster (selecciona Cluster > Security y Icono de opciones de menú en la sección Anti-ransomware, luego selecciona Enable on all existing volumes).

Si prefieres limitar la activación de ARP a un volumen específico, puedes "habilitar ARP por volumen".

Estrategia de protección contra ransomware ONTAP

La protección eficaz contra el ransomware requiere muchas capas de protección que trabajen juntas.

Mientras que ONTAP incluye funciones como FPolicy, snapshots, SnapLock, y Active IQ Digital Advisor (también conocido como Digital Advisor) para ayudar a proteger frente al ransomware, ARP proporciona una capa adicional de defensa.

Para obtener más información sobre otras funciones en el portafolio de NetApp que protegen contra el ransomware, consulta:

Lo que ARP detecta

ONTAP ARP está diseñado para proteger contra ataques de denegación de servicio donde el atacante retiene datos hasta que se paga un rescate. ARP ofrece detección de ransomware en tiempo real basándose en lo siguiente:

Identificación de datos entrantes como texto cifrado o simple.
Análisis que detectan:
- Entropía: (Utilizada en NAS y SAN) Una evaluación de la aleatoriedad de los datos en un archivo
- Tipos de extensión de archivo: (Se usa solo en NAS) Una extensión de archivo que no se ajusta a los tipos de extensión esperados
- IOPS de archivo: (Se utiliza solo en NAS a partir de ONTAP 9.11.1) Un aumento en la actividad de volumen anormal con cifrado de datos

ARP detecta la propagación de la mayoría de los ataques de ransomware después de que solo se cifra una pequeña cantidad de archivos, responde automáticamente para proteger los datos y le alerta de que está ocurriendo un ataque sospechoso.

Ningún sistema de detección de ransomware puede garantizar una seguridad completa. ARP proporciona una capa adicional de defensa si el software antivirus no detecta una intrusión.

Conozca los modos ARP

Una vez que se habilita ARP para un volumen, este ingresa en un período de aprendizaje para establecer una línea de base. ARP analiza las métricas del sistema para desarrollar un perfil de alerta antes de pasar al modo de detección activa. En el modo activo, ARP monitorea la actividad anormal, tomando acciones de protección y generando alertas si detecta un comportamiento anormal.

Para ARP, los comportamientos del modo de aprendizaje y del modo activo difieren según la versión de ONTAP , el tipo de volumen y el protocolo (NAS o SAN).

Entornos NAS y tipos de modos

La siguiente tabla resume las diferencias entre ONTAP 9.10.1 y versiones posteriores para entornos NAS.

En las versiones con el modelo ARP anterior, se recomienda un período de aprendizaje antes de que comience la monitorización activa. Para entornos NAS que admitenARP/IA No hay período de aprendizaje y el monitoreo activo comienza de inmediato.

Modo Descripción Tipos y versiones de volúmenes

Aprendiendo

Para ciertas versiones de ONTAP y ciertos tipos de volumen, ARP se configura automáticamente en modo de aprendizaje cuando se habilita ARP. En este modo, el sistema ONTAP genera un perfil de alerta basado en las áreas analíticas: entropía, tipos de extensión de archivo e IOPS de archivo.

Se recomienda dejar ARP en modo de aprendizaje durante 30 días. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo de aprendizaje óptimo y automatiza el cambio, que podría ocurrir antes de los 30 días. Para versiones anteriores a ONTAP 9.13.1, puede realizar el cambio manualmente.

A partir de ONTAP 9.16.1 para volúmenes FlexVol , solo existe el modo activo y el modo de aprendizaje se cambia automáticamente al modo activo para cualquier volumen FlexVol actualizado a esta versión o posterior.

Para ONTAP 9.16.1 a 9.17.1, los volúmenes FlexGroup aún no son compatibles con ARP/AI y continúan ejecutando el modelo ARP anterior. Por este motivo, se sigue recomendando un período de aprendizaje para estas versiones con volúmenes FlexGroup .

A partir de ONTAP 9.18.1, solo existe el modo activo para los volúmenes FlexVol y FlexGroup . Los volúmenes actualizados pasan automáticamente al modo activo.

"Obtenga más información sobre cómo cambiar del modo de aprendizaje al modo activo" .

El comando security anti-ransomware volume workload-behavior show muestra las extensiones de archivo que se han detectado en el volumen. Si ejecuta este comando al principio del modo de aprendizaje y muestra una representación precisa de los tipos de archivo, no debe utilizar esos datos como base para moverse al modo activo, ya que ONTAP sigue recopilando otras métricas. Obtenga más información sobre security anti-ransomware volume workload-behavior show en el "Referencia de comandos del ONTAP".

Volúmenes FlexVol con ONTAP 9.10.1 a 9.15.1
Volúmenes FlexGroup con ONTAP 9.13.1 a ONTAP 9.17.1

Activo

En el modo activo, si una extensión de archivo se marca como anormal, debe evaluar la alerta. Puede actuar en consecuencia para proteger sus datos o marcarla como falso positivo. Al marcar una alerta como falso positivo, se actualiza el perfil de alertas. Por ejemplo, si la alerta se activa por una nueva extensión de archivo y la marca como falso positivo, no recibirá una alerta la próxima vez que se detecte la extensión de archivo.

Todas las versiones de ONTAP compatibles y los volúmenes FlexVol y FlexGroup

Entornos SAN y tipos de modos

Los entornos SAN utilizan periodos de evaluación (similares a los modos de aprendizaje en entornos NAS) antes de pasar automáticamente a la detección activa. La siguiente tabla resume los modos de evaluación y activo.

Modo Descripción Tipos y versiones de volúmenes

Modo	Descripción	Tipos y versiones de volúmenes
Evaluación	Se realiza un período de evaluación de dos a cuatro semanas para determinar el comportamiento de cifrado de referencia, mientras que ARP/AI proporciona protección activa inmediata para los volúmenes SAN durante el período de evaluación. La detección y las alertas pueden producirse mientras se establecen los umbrales de referencia. Puedes determinar si el período de evaluación ha finalizado ejecutando la siguiente fórmula: `security anti-ransomware volume show` comando y verificación `Block device detection status` . "Obtenga más información sobre los volúmenes SAN y el período de evaluación de entropía" .	Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores
Activo	Después del período de evaluación, puede determinar si la protección ARP SAN está activa ejecutando el `security anti-ransomware volume show` comando y comprobación `Block device detection status` . Un estado de `Active_suitable_workload` Indica que la cantidad de entropía evaluada se puede monitorear correctamente. ARP ajusta automáticamente el umbral adaptativo según los datos revisados durante la evaluación.	Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Evaluación

Se realiza un período de evaluación de dos a cuatro semanas para determinar el comportamiento de cifrado de referencia, mientras que ARP/AI proporciona protección activa inmediata para los volúmenes SAN durante el período de evaluación. La detección y las alertas pueden producirse mientras se establecen los umbrales de referencia. Puedes determinar si el período de evaluación ha finalizado ejecutando la siguiente fórmula: security anti-ransomware volume show comando y verificación Block device detection status .

"Obtenga más información sobre los volúmenes SAN y el período de evaluación de entropía" .

Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Activo

Después del período de evaluación, puede determinar si la protección ARP SAN está activa ejecutando el security anti-ransomware volume show comando y comprobación Block device detection status . Un estado de Active_suitable_workload Indica que la cantidad de entropía evaluada se puede monitorear correctamente. ARP ajusta automáticamente el umbral adaptativo según los datos revisados durante la evaluación.

Volúmenes FlexVol con ONTAP 9.17.1 y versiones posteriores

Evaluación de amenazas e instantáneas ARP

ARP evalúa la probabilidad de amenaza basándose en los datos entrantes medidos según los análisis aprendidos. Cuando ARP detecta una anomalía, se asigna una medida. ARP podría asignar una instantánea en el momento de la detección o a intervalos regulares.

Umbrales ARP

Bajo: La detección más temprana de una anormalidad en el volumen (por ejemplo, se observa una nueva extensión de archivo en el volumen). Este nivel de detección solo está disponible en versiones anteriores a ONTAP 9.16,1 que no tienen ARP/AI.
- A partir de ONTAP 9.11.1, puede "Personalizar los parámetros de detección para ARP" .
- En ONTAP 9.10.1, el umbral para escalar a moderado es de 100 archivos o más.
Moderado: Se detecta alta entropía o se observan varios archivos con la misma extensión nunca antes vista. Este es el nivel de detección base en ONTAP 9.16.1 y versiones posteriores con ARP/AI.

La amenaza se intensifica a moderada después de que ONTAP genere un informe analítico que determina si la anomalía coincide con un perfil de ransomware. Cuando la probabilidad de ataque es moderada, ONTAP genera una notificación EMS que le solicita que evalúe la amenaza. ONTAP no envía alertas sobre amenazas bajas; sin embargo, a partir de ONTAP 9.14.1, puede… "modificar la configuración de alerta predeterminada" . Para obtener más información, consulte "Responda a actividades anormales" .

Puede ver información sobre amenazas moderadas en la sección Eventos de System Manager o con security anti-ransomware volume show el comando. Los eventos de amenaza baja también se pueden ver con el security anti-ransomware volume show comando en versiones anteriores a ONTAP 9.16.1 que no tienen ARP/AI. Obtenga más información sobre security anti-ransomware volume show en el "Referencia de comandos del ONTAP".

Instantáneas de ARP

ARP crea una instantánea cuando se detectan los primeros signos de un ataque. Posteriormente, se realiza un análisis detallado para confirmar o descartar el posible ataque. Dado que las instantáneas ARP se crean de forma proactiva incluso antes de que se confirme por completo un ataque, también podrían generarse a intervalos regulares para ciertas aplicaciones legítimas. La presencia de estas instantáneas no debe considerarse una anomalía. Si se confirma un ataque, la probabilidad del ataque se incrementa a Moderate y se genera una notificación de ataque.

A partir de ONTAP 9.17.1, se generan instantáneas de ARP a intervalos regulares para los volúmenes NAS y SAN, así como en respuesta a anomalías detectadas. ONTAP antepone un nombre a la instantánea ARP para facilitar su identificación.

A partir de ONTAP 9.11.1, puede modificar la configuración de retención. Para obtener más información, consulte "Modifique las opciones de snapshots" .

La siguiente tabla resume las diferencias de instantáneas ARP por versión.

Función	ONTAP 9.17.1 y posteriores	ONTAP 9.16.1 y anteriores
Desencadenante de creación	Las instantáneas se crean a intervalos fijos de 4 horas, independientemente de cualquier desencadenante específico. Confirmación de un ataque Se crea una instantánea "periódica" o "de ataque" según el tipo de disparador.	Se detecta alta entropía Se detectó una nueva extensión de archivo (9.15.1 y anteriores) Se detecta un aumento repentino de operaciones de archivos (9.15.1 y anteriores) El intervalo de creación de instantáneas se basa en el tipo de disparador.
Convención de nombres prefijados	Copia de seguridad periódica anti-ransomware	Copia de seguridad anti-ransomware
Comportamiento de eliminación	La instantánea ARP está bloqueada y el administrador no puede eliminarla	La instantánea ARP está bloqueada y el administrador no puede eliminarla
Número máximo de instantáneas	"Límite configurable de seis instantáneas"	"Límite configurable de seis instantáneas"
Periodo de conservación	Las instantáneas normalmente se conservan durante 12 horas. Volúmenes NAS: si se confirma un ataque mediante el análisis de archivos, se conservan las instantáneas creadas antes del ataque hasta que el administrador marque el ataque como verdadero o falso positivo (sospechoso claro). Almacenes de datos de volumen SAN o de máquina virtual: si se confirma un ataque mediante un análisis de entropía de bloques, las instantáneas creadas antes del ataque se conservan durante 10 días (configurable).	Determinado en función de las condiciones de activación (no fijo) Las instantáneas creadas antes del ataque se conservan hasta que el administrador marca el ataque como verdadero o falso positivo (sospechoso claro).
Acción claramente sospechosa	Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación: 24 horas para retención de falsos positivos 7 días para una retención verdaderamente positiva	Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación: 24 horas para retención de falsos positivos 7 días para una retención verdaderamente positiva Este comportamiento de retención preventiva no existía antes de ONTAP 9.16.1
Tiempo de expiración	Se establece un tiempo de expiración para todas las instantáneas	Ninguno

Función

ONTAP 9.17.1 y posteriores

ONTAP 9.16.1 y anteriores

Desencadenante de creación

Las instantáneas se crean a intervalos fijos de 4 horas, independientemente de cualquier desencadenante específico.
Confirmación de un ataque

Se crea una instantánea "periódica" o "de ataque" según el tipo de disparador.

Se detecta alta entropía
Se detectó una nueva extensión de archivo (9.15.1 y anteriores)
Se detecta un aumento repentino de operaciones de archivos (9.15.1 y anteriores)

El intervalo de creación de instantáneas se basa en el tipo de disparador.

Convención de nombres prefijados

Copia de seguridad periódica anti-ransomware

Copia de seguridad anti-ransomware

Comportamiento de eliminación

La instantánea ARP está bloqueada y el administrador no puede eliminarla

Número máximo de instantáneas

"Límite configurable de seis instantáneas"

Periodo de conservación

Las instantáneas normalmente se conservan durante 12 horas.

Volúmenes NAS: si se confirma un ataque mediante el análisis de archivos, se conservan las instantáneas creadas antes del ataque hasta que el administrador marque el ataque como verdadero o falso positivo (sospechoso claro).
Almacenes de datos de volumen SAN o de máquina virtual: si se confirma un ataque mediante un análisis de entropía de bloques, las instantáneas creadas antes del ataque se conservan durante 10 días (configurable).

Determinado en función de las condiciones de activación (no fijo)
Las instantáneas creadas antes del ataque se conservan hasta que el administrador marca el ataque como verdadero o falso positivo (sospechoso claro).

Acción claramente sospechosa

Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación:

24 horas para retención de falsos positivos
7 días para una retención verdaderamente positiva

Los administradores pueden realizar una acción de sospecha clara que establece la retención en función de la confirmación:

24 horas para retención de falsos positivos
7 días para una retención verdaderamente positiva

Este comportamiento de retención preventiva no existía antes de ONTAP 9.16.1

Tiempo de expiración

Se establece un tiempo de expiración para todas las instantáneas

Ninguno

Cómo recuperar los datos en ONTAP después de un ataque de ransomware

ARP se basa en la tecnología probada de protección de datos y recuperación ante desastres de ONTAP para responder a ataques de ransomware. ARP crea instantáneas bloqueadas cuando se detectan los primeros signos de un ataque. Primero deberá confirmar si el ataque es real o un falso positivo. Si confirma el ataque, el volumen se puede restaurar mediante la instantánea de ARP.

Las instantáneas bloqueadas no se pueden eliminar por medios normales. Sin embargo, si más tarde decide marcar el ataque como un falso positivo, ONTAP elimina la copia bloqueada.

Puede recuperar archivos afectados desde instantáneas seleccionadas en lugar de revertir todo el volumen.

Consulte los siguientes temas para obtener más información sobre cómo responder a un ataque y recuperar datos:

Protección con verificación multiadministrador para ARP

A partir de ONTAP 9.13.1, se recomienda habilitar la verificación multiadministrador (MAV) para que se necesiten dos o más administradores de usuarios autenticados para la configuración de protección autónoma contra ransomware (ARP). Para obtener más información, consulte "Habilite la verificación multiadministradora".

Protección autónoma frente a ransomware con inteligencia artificial (ARP/AI)

A partir de ONTAP 9.16.1, ARP mejora la ciberresiliencia mediante la adopción de un modelo de aprendizaje automático para el análisis antiransomware que detecta formas de ransomware en constante evolución con una precisión del 99 % en entornos NAS. El modelo de aprendizaje automático de ARP se entrena previamente con un gran conjunto de datos de archivos, tanto antes como después de un ataque simulado de ransomware. Este entrenamiento, que requiere muchos recursos, se realiza fuera de ONTAP utilizando conjuntos de datos de investigación forense de código abierto para entrenar el modelo. Los datos del cliente no se utilizan en todo el proceso de modelado y no existen problemas de privacidad. El modelo preentrenado resultante de este entrenamiento se incluye en ONTAP . Este modelo no es accesible ni modificable a través de la CLI ni la API de ONTAP .

Transición inmediata a la protección activa para ARP/AI

Con ARP/AI, no hayperíodo de aprendizaje . ARP/AI se activa inmediatamente después de la instalación o actualización para los siguientes tipos de volúmenes compatibles:

Volúmenes NAS FlexVol con ONTAP 9.16.1 y versiones posteriores
Volúmenes NAS FlexGroup con ONTAP 9.18.1 y versiones posteriores
Volúmenes SAN con ONTAP 9.17.1 y versiones posteriores (activos inmediatamente, incluso durante el"período de evaluación" )

Para los volúmenes existentes y nuevos con funcionalidad ARP ya habilitada, la protección ARP/AI se activará automáticamente después de actualizar su clúster a una versión de ONTAP compatible con ARP/AI.

Actualizaciones automáticas ARP/AI

Para mantener la protección actualizada contra las últimas amenazas de ransomware, ARP/AI ofrece actualizaciones automáticas frecuentes que se realizan fuera de los plazos habituales de actualización y lanzamiento de ONTAP . Si tiene "actualizaciones automáticas activadas" También podrá empezar a recibir actualizaciones de seguridad automáticas de ARP/AI tras seleccionar las actualizaciones automáticas para los archivos de seguridad. También puede optar por… "realizar estas actualizaciones manualmente" y controlar cuándo se producen las actualizaciones.

A partir de ONTAP 9.16,1, las actualizaciones de seguridad para ARP/AI están disponibles con System Manager, además de las actualizaciones del sistema y del firmware.

"Obtenga más información sobre las actualizaciones ARP/AI"

Diferencias entre los modelos ARP/AI y ARP de un vistazo

Función	ARP	ARP/IA
Versiones de ONTAP	ONTAP 9.10.1-9.15.1	ONTAP 9.16.1 y posteriores; 9.15.1 (tech preview)
Método de detección	Analiza la actividad de archivos, la entropía de datos y los tipos de extensión de archivos	Modelo de IA/aprendizaje automático entrenado en grandes conjuntos de datos forenses; analiza la entropía y el comportamiento de los archivos
Período de aprendizaje	Requiere un modo de aprendizaje de 30 días para volúmenes NAS FlexVol (conmutación automática disponible en 9.13.1 y versiones posteriores)	Sin periodo de aprendizaje; activo inmediatamente al habilitarlo
Compatibilidad con tipos de volumen	FlexVol: 9.10.1 y posteriores FlexGroup: 9.13.1 y posteriores SAN: no compatible	FlexVol: 9.16.1 y posteriores FlexGroup: 9.18.1 y posteriores SAN: 9.17.1 y posteriores (con periodo de evaluación)
Creación de instantánea	Desencadenado por alta entropía, nuevas extensiones de archivo o aumentos en las operaciones de archivos	Creado a intervalos fijos de 4 horas y al confirmarse el ataque
Retención de instantáneas	Retenido hasta que el administrador elimine la actividad sospechosa	12 horas por defecto; ampliado según la confirmación del ataque (24 horas para falso positivo, 7 días para positivo confirmado)
Actualizaciones	Lógica de detección estática (actualizada solo con las actualizaciones de ONTAP)	Actualizaciones de seguridad automáticas independientes de las versiones de ONTAP
Despliegue	Activación manual por volumen o configuración predeterminada a nivel de SVM	Habilitación manual por volumen o configuración predeterminada a nivel de SVM; habilitación predeterminada en todos los volúmenes nuevos a nivel de clúster para sistemas compatibles en 9.18.1 y versiones posteriores
Periodo de evaluación	No aplicable	Necesario para volúmenes SAN (2-4 semanas) para establecer umbrales de cifrado de referencia

Función

ARP

ARP/IA

Versiones de ONTAP

ONTAP 9.10.1-9.15.1

ONTAP 9.16.1 y posteriores; 9.15.1 (tech preview)

Método de detección

Analiza la actividad de archivos, la entropía de datos y los tipos de extensión de archivos

Modelo de IA/aprendizaje automático entrenado en grandes conjuntos de datos forenses; analiza la entropía y el comportamiento de los archivos

Período de aprendizaje

Requiere un modo de aprendizaje de 30 días para volúmenes NAS FlexVol (conmutación automática disponible en 9.13.1 y versiones posteriores)

Sin periodo de aprendizaje; activo inmediatamente al habilitarlo

Compatibilidad con tipos de volumen

FlexVol: 9.10.1 y posteriores
FlexGroup: 9.13.1 y posteriores
SAN: no compatible

FlexVol: 9.16.1 y posteriores
FlexGroup: 9.18.1 y posteriores
SAN: 9.17.1 y posteriores (con periodo de evaluación)

Creación de instantánea

Desencadenado por alta entropía, nuevas extensiones de archivo o aumentos en las operaciones de archivos

Creado a intervalos fijos de 4 horas y al confirmarse el ataque

Retención de instantáneas

Retenido hasta que el administrador elimine la actividad sospechosa

12 horas por defecto; ampliado según la confirmación del ataque (24 horas para falso positivo, 7 días para positivo confirmado)

Actualizaciones

Lógica de detección estática (actualizada solo con las actualizaciones de ONTAP)

Actualizaciones de seguridad automáticas independientes de las versiones de ONTAP

Despliegue

Activación manual por volumen o configuración predeterminada a nivel de SVM

Habilitación manual por volumen o configuración predeterminada a nivel de SVM; habilitación predeterminada en todos los volúmenes nuevos a nivel de clúster para sistemas compatibles en 9.18.1 y versiones posteriores

Periodo de evaluación

No aplicable

Necesario para volúmenes SAN (2-4 semanas) para establecer umbrales de cifrado de referencia

Información relacionada

"Referencia de comandos del ONTAP"