Habilite la protección de ransomware autónoma
Sugerir cambios
PDF
A partir de ONTAP 9.10,1, puede habilitar la protección autónoma frente a ransomware (ARP) en un volumen existente o crear un volumen nuevo y habilitar ARP desde el principio.
Si desea configurar su clúster ONTAP para que todos los volúmenes nuevos se habiliten de forma predeterminada en Protección autónoma contra ransomware (ARP), consulte esto "Procedimiento ARP relacionado".
-
Para ONTAP 9.10,1 a 9.15.1 y ARP con volúmenes FlexGroup para estas versiones de ONTAP, siempre debe habilitar ARP inicialmente en "modo de aprendizaje" (o en modo “dry-run”). Cuando se activa ARP por primera vez en el modo de aprendizaje, el sistema analiza la carga de trabajo para caracterizar el comportamiento normal. Si se inicia en modo activo, se pueden producir demasiados informes de falsos positivos.
Se recomienda que deje que ARP se ejecute en modo de aprendizaje durante un mínimo de 30 días. A partir de ONTAP 9.13,1, ARP determina automáticamente el intervalo óptimo del período de aprendizaje y automatiza el switch, que podría ocurrir antes de 30 días.
-
Para ONTAP 9.16,1 y versiones posteriores con FlexVol Volumes cuando habilita ARP, la protección ARP/AI comienza inmediatamente en modo activo. No se requiere ningún período de aprendizaje.
|
En los volúmenes existentes, los modos de aprendizaje y activos solo se aplican a los datos recién escritos, no a los datos ya existentes en el volumen. Los datos existentes no se analizan y analizan, ya que se asumen las características del tráfico de datos normal anterior según los nuevos datos una vez habilitado para ARP el volumen. |
-
Debe tener una máquina virtual de almacenamiento (SVM) habilitada para NFS o SMB (o ambos).
-
licencia correctaSe debe instalar el para su versión de ONTAP.
-
Debe tener carga de trabajo NAS con clientes configurados.
-
El volumen en el que desea establecer ARP debe estar protegido y tener un "ruta de unión".
-
El volumen debe estar lleno por debajo del 100%.
-
Se recomienda configurar el sistema EMS para enviar notificaciones por correo electrónico, que incluirán avisos de actividad ARP. Para obtener más información, consulte "Configure eventos de EMS para que envíen notificaciones por correo electrónico".
-
A partir de ONTAP 9.13.1, se recomienda habilitar la verificación multiadministrador (MAV) para que se necesiten dos o más administradores de usuarios autenticados para la configuración de protección autónoma contra ransomware (ARP). Para obtener más información, consulte "Habilite la verificación multiadministradora".
Habilite ARP en un volumen nuevo o existente
Puede habilitar ARP mediante System Manager o la interfaz de línea de comandos de ONTAP.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
Si utiliza ARP con ONTAP 9.15,1 o anterior o ONTAP 9.16,1 con volúmenes FlexGroup, seleccione Habilitado en modo de aprendizaje en el cuadro Antiransomware.
A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo óptimo del período de aprendizaje y automatiza el switch. Puede "Deshabilite este ajuste en la máquina virtual de almacenamiento asociada" hacerlo si desea controlar manualmente la transición del modo de aprendizaje al modo activo. -
Si utiliza ARP en FlexVol Volumes con ONTAP 9.16,1 o posterior, la funcionalidad ARP/AI no requiere un período de aprendizaje y se selecciona el modo activo de forma predeterminada.
-
-
Puede verificar el estado ARP del volumen en la casilla Anti-ransomware.
Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.
El proceso para habilitar ARP con la CLI es diferente si la habilita en un volumen existente en lugar de en un volumen nuevo.
-
Modifique un volumen existente para habilitar la protección frente al ransomware:
-
Para ONTAP 9.15,1 y versiones anteriores y ARP con volúmenes FlexGroup, establezca el estado del volumen en
dry-run(modo de aprendizaje):security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name> -
Para ONTAP 9.16,1 y versiones posteriores con los volúmenes ARP/AI y FlexVol, establezca el estado del volumen en
active(modo activo):security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>
-
-
Si ha actualizado a ONTAP 9.13,1 o posterior y el estado predeterminado de ARP es
dry-run, el aprendizaje adaptativo está habilitado para que el cambio al estado activo se realice automáticamente. Si no desea que este comportamiento se habilite automáticamente, cambie la configuración en el nivel de SVM en todos los volúmenes asociados:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Verifique el estado ARP del volumen.
security anti-ransomware volume show
-
Cree un nuevo volumen con ARP habilitado antes de aprovisionar datos:
-
Para ONTAP 9.15,1 y versiones anteriores y ARP con volúmenes FlexGroup, establezca el estado en
dry-run(modo de aprendizaje):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name> -
Para ONTAP 9.16,1 y versiones posteriores con volúmenes ARP/AI y FlexVol, establezca el estado en
active(modo activo):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>
-
-
Si ha actualizado a ONTAP 9.13,1 o posterior y el estado predeterminado de ARP es
dry-run, el aprendizaje adaptativo está habilitado para que el cambio al estado activo se realice automáticamente. Si no desea que este comportamiento se habilite automáticamente, cambie la configuración en el nivel de SVM en todos los volúmenes asociados:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Verifique el estado ARP del volumen.
security anti-ransomware volume show