Habilite la protección autónoma frente a ransomware de ONTAP
Sugerir cambios
PDF
A partir de ONTAP 9.10,1, puede habilitar la protección autónoma frente a ransomware (ARP) en un volumen existente o crear un volumen nuevo y habilitar ARP desde el principio.
Si desea configurar su clúster ONTAP para que todos los volúmenes nuevos se habiliten de forma predeterminada en Protección autónoma contra ransomware (ARP), consulte esto "Procedimiento ARP relacionado".
Para habilitar ARP, siga el procedimiento que corresponda a su entorno después deusted se asegura de que su entorno cumpla con ciertos requisitos :
Después de habilitar ARP, es posible que ARP entre en un período de transición dependiendo de su entorno y versión de ONTAP :
| Tipo de volumen | Versión de ONTAP | Comportamiento tras la habilitación |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1 y posteriores |
ARP/IA se activa inmediatamente sin necesidad de periodo de aprendizaje. |
ONTAP 9.13.1 a 9.17.1 |
ARP inicia en modo de aprendizaje durante 30 días |
|
NAS FlexVol |
ONTAP 9.16.1 y versiones posteriores |
ARP/IA se activa inmediatamente sin necesidad de periodo de aprendizaje. |
ONTAP 9.10.1 a 9.15.1 |
ARP inicia en modo de aprendizaje durante 30 días |
|
Volúmenes SAN |
ONTAP 9.17.1 y posteriores |
ARP/AI se activa de inmediato, iniciando un período de evaluación para establecer un umbral de alerta adecuado antes de pasar de un umbral conservador inicial. |
Antes de habilitar ARP, asegúrese de que su entorno tenga lo siguiente:
-
Una máquina virtual de almacenamiento (SVM) con el protocolo NFS o SMB (o ambos) habilitado.
-
Carga de trabajo NAS con clientes configurados.
-
Un activo"ruta de unión" para el volumen.
-
Una máquina virtual de almacenamiento (SVM) con protocolo iSCSI, FC o NVMe habilitado.
-
Carga de trabajo SAN con clientes configurados.
-
El"licencia correcta" para su versión de ONTAP .
-
(Recomendado) Verificación multiadministrador (MAV) habilitada (ONTAP 9.13.1 y posterior). Ver"Habilite la verificación multiadministradora" .
Habilitar ARP en volúmenes NAS FlexVol
Puede habilitar ARP en volúmenes NAS FlexVol utilizando System Manager o la CLI de ONTAP . El proceso varía según la versión de ONTAP .
A partir de ONTAP 9.16.1, ARP/AI se activa inmediatamente sin necesidad de un período de aprendizaje.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
Verifique el estado ARP del volumen en la casilla Antiransomware.
Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.
Habilitar ARP en un volumen existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crea un nuevo volumen con ARP habilitado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verificar el estado de ARP:
security anti-ransomware volume showObtenga más información sobre security anti-ransomware volume show en el "Referencia de comandos del ONTAP".
Para ONTAP 9.10.1 a 9.15.1, debe habilitar ARP inicialmente en"modo de aprendizaje" (o estado de "prueba en seco"). El sistema analiza la carga de trabajo para caracterizar el comportamiento normal. Comenzar en modo activo puede generar un exceso de informes de falsos positivos.
Se recomienda dejar que ARP se ejecute en modo de aprendizaje durante un mínimo de 30 días. A partir de ONTAP 9.13.1, ARP determina automáticamente el intervalo óptimo del periodo de aprendizaje y automatiza el cambio, que podría ocurrir antes de los 30 días.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
Seleccione Habilitado en modo de aprendizaje en la casilla Antiransomware.
Puede"Deshabilitar el aprendizaje automático a transiciones de modos activos en la máquina virtual de almacenamiento asociada." Si desea controlar manualmente la transición del modo de aprendizaje al modo activo.
En los volúmenes existentes, los modos de aprendizaje y activos solo se aplican a los datos recién escritos, no a los datos ya existentes en el volumen. Los datos existentes no se analizan y analizan, ya que se asumen las características del tráfico de datos normal anterior según los nuevos datos una vez habilitado para ARP el volumen. -
Verifique el estado ARP del volumen en la casilla Antiransomware.
Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.
Habilitar ARP en un volumen existente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Obtenga más información sobre security anti-ransomware volume dry-run en el "Referencia de comandos del ONTAP".
Crea un nuevo volumen con ARP habilitado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Desactivar el cambio automático (opcional):
Si actualizó a ONTAP 9.13.1 a través de ONTAP 9.15.1 y desea controlar manualmente el cambio del modo de aprendizaje al modo activo para todos los volúmenes asociados, puede hacerlo desde la SVM:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerificar el estado de ARP:
security anti-ransomware volume showHabilitar ARP en volúmenes NAS FlexGroup
Puede habilitar ARP en volúmenes NAS FlexGroup mediante System Manager o la CLI de ONTAP . El proceso varía según su versión de ONTAP .
A partir de ONTAP 9.18.1, ARP/AI se activa inmediatamente para los volúmenes FlexGroup sin necesidad de un período de aprendizaje.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen de FlexGroup que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
Verifique el estado ARP del volumen en la casilla Antiransomware.
Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.
Habilitar ARP en un volumen FlexGroup existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crea un nuevo volumen FlexGroup con ARP habilitado:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verificar el estado de ARP:
security anti-ransomware volume showPara ONTAP 9.13.1 a 9.17.1, los volúmenes FlexGroup comienzan en"modo de aprendizaje" . El sistema analiza la carga de trabajo para caracterizar el comportamiento normal.
Se recomienda dejar que ARP se ejecute en modo de aprendizaje durante un mínimo de 30 días. ARP determina automáticamente el intervalo óptimo del período de aprendizaje y automatiza el cambio, que podría ocurrir antes de 30 días.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen de FlexGroup que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
Seleccione Habilitado en modo de aprendizaje en la casilla Antiransomware.
Puede"Deshabilitar el aprendizaje automático a transiciones de modos activos" Si desea controlar manualmente la transición del modo de aprendizaje al modo activo. -
Verifique el estado ARP del volumen en la casilla Antiransomware.
Habilitar ARP en un volumen FlexGroup existente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Crea un nuevo volumen FlexGroup con ARP habilitado:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Desactivar el cambio automático (opcional):
Si desea controlar manualmente el cambio del modo de aprendizaje al modo activo:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerificar el estado de ARP:
security anti-ransomware volume showHabilitar ARP en volúmenes SAN
A partir de ONTAP 9.17.1, puede habilitar ARP en volúmenes SAN. La funcionalidad ARP/AI se habilita automáticamente e inmediatamente comienza a supervisar y proteger activamente los volúmenes SAN durante el proceso."período de evaluación" al mismo tiempo que determina si las cargas de trabajo son adecuadas para ARP y establece un umbral de cifrado óptimo para la detección.
Puede habilitar ARP en volúmenes SAN utilizando System Manager o la CLI de ONTAP .
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen SAN que desea proteger.
-
En la pestaña Seguridad de la vista general Volúmenes, selecciona Estado para cambiar de Deshabilitado a Activado.
-
ARP/AI entra automáticamente en el período de evaluación.
-
Verifique el estado de ARP y el estado de evaluación en la casilla Antiransomware.
Para mostrar el estado ARP para todos los volúmenes: En el panel Volúmenes, seleccione Mostrar/Ocultar y asegúrese de que el estado Anti-ransomware esté marcado.
Habilitar ARP en un volumen SAN existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crear un nuevo volumen SAN con ARP habilitado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledVerifique el estado y la evaluación del ARP:
security anti-ransomware volume showComprueba el Block device detection status campo para monitorear el progreso del período de evaluación.
Obtenga más información sobre security anti-ransomware volume show en el "Referencia de comandos del ONTAP".