Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite la protección autónoma frente a ransomware de ONTAP

Colaboradores netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

A partir de ONTAP 9.10,1, puede habilitar la protección autónoma frente a ransomware (ARP) en un volumen existente o crear un volumen nuevo y habilitar ARP desde el principio.

Si desea configurar su clúster ONTAP para que todos los volúmenes nuevos se habiliten de forma predeterminada en Protección autónoma contra ransomware (ARP), consulte esto "Procedimiento ARP relacionado".

Acerca de esta tarea

  • *(Solo entornos NAS) Para ONTAP 9.10.1 a 9.15.1 o ARP con volúmenes FlexGroup * Para estas versiones de ONTAP, siempre debe habilitar ARP inicialmente en "modo de aprendizaje" (o estado de "ejecución en seco"). Al activar ARP por primera vez en modo de aprendizaje, el sistema analiza la carga de trabajo para caracterizar el comportamiento normal. Comenzar en modo activo puede generar un exceso de informes de falsos positivos.

    Se recomienda dejar que ARP se ejecute en modo de aprendizaje durante un mínimo de 30 días. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo óptimo del periodo de aprendizaje y automatiza el cambio, que podría ocurrir antes de los 30 días.

  • *(Solo entornos NAS) Para ONTAP 9.16.1 y versiones posteriores con volúmenes FlexVol * Al habilitar ARP mediante el Administrador del Sistema o la CLI, la protección ARP/AI se habilita y activa inmediatamente. No se requiere un periodo de aprendizaje.

  • *(Solo entornos SAN) Para ONTAP 9.17.1 y versiones posteriores con volúmenes FlexVol * Al habilitar ARP mediante el Administrador del sistema o la CLI, la funcionalidad ARP/AI se habilita automáticamente. Una vez habilitada en un volumen SAN, "ARP/AI monitorea los datos continuamente durante un período de evaluación" para determinar si las cargas de trabajo son adecuadas para ARP y establece un umbral de cifrado óptimo para la detección.

Antes de empezar

  • Debe tener una máquina virtual de almacenamiento (SVM) con protocolos habilitados:

    • NAS: NFS o SMB (o ambos)

    • SAN: iSCSI, FC o NVMe

  • El "licencia correcta" Debe estar instalado para su versión de ONTAP .

  • Debe tener una carga de trabajo NAS o SAN con clientes configurados.

  • (Solo entornos NAS) El volumen en el que desea configurar ARP debe tener un disco duro activo. "ruta de unión" .

  • El volumen debe estar lleno por debajo del 100%.

  • Se recomienda configurar el sistema EMS para enviar notificaciones por correo electrónico, que incluirán avisos de actividad ARP. Para obtener más información, consulte "Configure eventos de EMS para que envíen notificaciones por correo electrónico".

  • A partir de ONTAP 9.13.1, se recomienda habilitar la verificación multiadministrador (MAV) para que se necesiten dos o más administradores de usuarios autenticados para la configuración de protección autónoma contra ransomware (ARP). Para obtener más información, consulte "Habilite la verificación multiadministradora".

Habilite ARP en un volumen nuevo o existente

Puede habilitar ARP mediante System Manager o la interfaz de línea de comandos de ONTAP.

System Manager
Pasos

  1. Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen que desea proteger.

  2. En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.

    • (Solo entornos NAS) Si está usando ARP con ONTAP 9.15.1 o anterior o ONTAP 9.16.1 con volúmenes FlexGroup , seleccione Habilitado en modo de aprendizaje en el cuadro Anti-ransomware.

      Nota A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo óptimo del período de aprendizaje y automatiza el switch. Puede "Deshabilite este ajuste en la máquina virtual de almacenamiento asociada" hacerlo si desea controlar manualmente la transición del modo de aprendizaje al modo activo.
    Nota En los volúmenes existentes, los modos de aprendizaje y activos solo se aplican a los datos recién escritos, no a los datos ya existentes en el volumen. Los datos existentes no se analizan y analizan, ya que se asumen las características del tráfico de datos normal anterior según los nuevos datos una vez habilitado para ARP el volumen.

  3. Puede verificar el estado ARP del volumen en la casilla Anti-ransomware.

    Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.

CLI

El proceso para habilitar ARP con la CLI difiere si lo habilita en un volumen existente o en un volumen nuevo.

Habilite ARP en un volumen existente

  1. Modifique un volumen existente para habilitar la protección frente al ransomware:

    • Para entornos NAS sin ARP/AI o para volúmenes FlexGroup , utilice dry-run Estado para que los nuevos volúmenes comiencen en modo de aprendizaje.

    • Para entornos NAS que ejecutan ONTAP 9.16.1 o posterior o entornos SAN con ONTAP 9.17.1, utilice enabled estado.

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      Obtenga más información sobre security anti-ransomware volume dry-run en el "Referencia de comandos del ONTAP".

  2. Si actualizó un entorno NAS a ONTAP 9.13.1 a través de ONTAP 9.15.1 y el estado predeterminado es dry-run (modo de aprendizaje), se habilita el aprendizaje adaptativo para que el cambio a enabled El estado (modo activo) se activa automáticamente. Si no desea que este comportamiento se active automáticamente, cambie la configuración a nivel de SVM en todos los volúmenes asociados:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Verifique el estado ARP del volumen.

    security anti-ransomware volume show
Habilite ARP en un nuevo volumen

  1. Cree un nuevo volumen con ARP habilitado antes de aprovisionar datos:

    • Para entornos NAS sin ARP/AI o para volúmenes FlexGroup , utilice dry-run Estado para que los nuevos volúmenes comiencen en modo de aprendizaje.

    • Para entornos NAS que ejecutan ONTAP 9.16.1 o posterior o entornos SAN con ONTAP 9.17.1, utilice enabled estado.

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. Si actualizó un entorno NAS a ONTAP 9.13.1 a través de ONTAP 9.15.1 y el estado predeterminado es dry-run (modo de aprendizaje), se habilita el aprendizaje adaptativo para que el cambio a enabled El estado (modo activo) se activa automáticamente. Si no desea que este comportamiento se active automáticamente, cambie la configuración a nivel de SVM en todos los volúmenes asociados:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Compruebe que el volumen esté configurado en enabled el estado.

    security anti-ransomware volume show

    Obtenga más información sobre security anti-ransomware volume show en el "Referencia de comandos del ONTAP".

Información relacionada