Ajustar la configuración para las instantáneas ARP generadas automáticamente
Sugerir cambios
PDF
A partir de ONTAP 9.11,1, puede usar la interfaz de línea de comandos para controlar la configuración de retención de las copias Snapshot de protección autónoma frente a ransomware (ARP) que se generan automáticamente en respuesta a ataques sospechosos de ransomware.
Solo puedes modificar las opciones de instantáneas ARP en un "nodo SVM" y no en otros tipos de SVM.
-
Mostrar todos los valores actuales de la instantánea ARP:
options -option-name arw* -
Mostrar la configuración actual de la instantánea ARP seleccionada:
options -option-name <arw_setting_name> -
Modificar la configuración de la instantánea ARP:
options -option-name <arw_setting_name> -option-value <arw_setting_value>Se pueden modificar los siguientes ajustes:
Algunos de los comandos descritos están obsoletos a partir de ONTAP 9.17.1. Los comandos introducidos en ONTAP 9.17.1 son compatibles con entornos NAS y SAN. Ajuste Descripción Versiones compatibles arw.snap.max.countEspecifica el número máximo de instantáneas ARP que pueden existir en un volumen en un momento dado. Las copias antiguas se eliminan para garantizar que el número total de instantáneas ARP se mantenga dentro del límite especificado.
ONTAP 9.11.1 y versiones posteriores
arw.snap.create.interval.hoursEspecifica el intervalo en horas entre instantáneas de ARP. Se crea una nueva instantánea de ARP cuando se sospecha un ataque basado en la entropía de datos y la instantánea de ARP creada más recientemente es anterior al intervalo especificado.
ONTAP 9.11.1 y versiones posteriores
arw.snap.normal.retain.interval.hoursEspecifica la duración, en horas, de la conservación de una instantánea de ARP. Cuando una instantánea de ARP alcanza el umbral de conservación, se elimina.
-
ONTAP 9.11.1 a ONTAP 9.16.1
-
Obsoleto en ONTAP 9.17.1 y versiones posteriores
arw.snap.max.retain.interval.daysEspecifica la duración máxima en días para la que se puede conservar una instantánea ARP. Cualquier instantánea de ARP anterior a esta duración se elimina cuando no se notifica ningún ataque en el volumen.
El intervalo de retención máximo para las instantáneas ARP se ignora si se detecta una amenaza moderada. La instantánea de ARP creada en respuesta a la amenaza se retiene hasta que haya respondido a la amenaza. Cuando se marca una amenaza como falso positivo, ONTAP eliminará las instantáneas ARP del volumen. -
ONTAP 9.11.1 a ONTAP 9.16.1
-
Obsoleto en ONTAP 9.17.1 y versiones posteriores
arw.snap.create.interval.hours.post.max.countEspecifica el intervalo en horas entre instantáneas ARP cuando el volumen ya contiene el número máximo de instantáneas ARP. Al alcanzar el número máximo, se elimina una instantánea ARP para dejar espacio para una nueva copia. Con esta opción, se puede reducir la velocidad de creación de la nueva instantánea ARP para conservar la copia anterior. Si el volumen ya contiene el número máximo de instantáneas ARP, se utiliza el intervalo especificado en esta opción para la siguiente creación de la instantánea ARP, en lugar de…
arw.snap.create.interval.hours.-
ONTAP 9.11.1 a 9.16.1
-
Obsoleto en ONTAP 9.17.1 y versiones posteriores
arw.snap.low.encryption.retain.duration.hoursEspecifica la duración de retención en horas para las instantáneas de ARP creadas durante períodos de baja actividad de cifrado.
-
ONTAP 9.17.1 y posteriores
arw.snap.new.extns.interval.hoursEspecifica el intervalo en horas entre las instantáneas ARP creadas al detectar una nueva extensión de archivo. Se crea una nueva instantánea ARP al detectar una nueva extensión de archivo; la instantánea anterior creada al detectar una nueva extensión de archivo es anterior a este intervalo especificado. En una carga de trabajo que crea nuevas extensiones de archivo con frecuencia, este intervalo ayuda a controlar la frecuencia de las instantáneas ARP. Esta opción existe independientemente de
arw.snap.create.interval.hours, que especifica el intervalo para las instantáneas ARP basadas en la entropía de datos.-
ONTAP 9.11.1 a ONTAP 9.16.1
-
Obsoleto en ONTAP 9.17.1 y versiones posteriores
arw.snap.retain.hours.after.clear.suspect.false.alertEspecifica el intervalo en horas en que se conserva una instantánea de ARP como medida de precaución después de que el administrador marque un incidente de ataque como falso positivo. Una vez transcurrido este periodo de retención preventiva, la instantánea puede eliminarse según la duración de retención estándar definida en las opciones.
arw.snap.normal.retain.interval.hoursyarw.snap.max.retain.interval.days.-
ONTAP 9.16.1 y versiones posteriores
arw.snap.retain.hours.after.clear.suspect.real.attackEspecifica el intervalo en horas en que se conserva una instantánea de ARP como medida de precaución después de que el administrador marque un incidente de ataque como un ataque real. Una vez transcurrido este periodo de retención preventiva, la instantánea puede eliminarse según la duración de retención estándar definida en las opciones.
arw.snap.normal.retain.interval.hoursyarw.snap.max.retain.interval.days.-
ONTAP 9.16.1 y versiones posteriores
arw.snap.surge.interval.daysEspecifica el intervalo in days entre las instantáneas ARP creadas en respuesta a los picos de E/S. ONTAP crea una copia de exceso de snapshots de ARP cuando hay un aumento en el tráfico de E/S y la última instantánea de ARP creada es más antigua que este intervalo especificado. Esta opción también especifica el período de retención in day para una instantánea de sobrecarga ARP.
ONTAP 9.11.1 y versiones posteriores
arw.high.encryption.alert.enabledHabilita alertas para niveles altos de cifrado. Cuando esta opción está configurada en
on(predeterminado), ONTAP envía una alerta cuando el porcentaje de cifrado excede el umbral especificado enarw.high.encryption.percentage.threshold.ONTAP 9.17.1 y posteriores
arw.high.encryption.percentage.thresholdEspecifica el porcentaje máximo de cifrado para un volumen. Si el porcentaje de cifrado supera este umbral, ONTAP considera el aumento como un ataque y crea una instantánea ARP.
arw.high.encryption.alert.enableddebe configurarse enonpara que esta opción tenga efecto.ONTAP 9.17.1 y posteriores
arw.snap.high.encryption.retain.duration.hoursEspecifica el intervalo de duración de retención en horas para las instantáneas creadas durante un evento de umbral de cifrado alto.
ONTAP 9.17.1 y posteriores
-
-
Si utiliza ARP con un entorno SAN, también puede modificar las siguientes configuraciones del período de evaluación:
Ajuste Descripción Versiones compatibles arw.block_device.auto.learn.threshold.min_valueEspecifica el valor porcentual del umbral de cifrado mínimo durante la fase de aprendizaje automático de la evaluación para dispositivos de bloque.
ONTAP 9.17.1 y posteriores
arw.block_device.auto.learn.threshold.max_valueEspecifica el valor porcentual del umbral de cifrado máximo durante la fase de aprendizaje automático de la evaluación para dispositivos de bloque.
ONTAP 9.17.1 y posteriores
arw.block_device.evaluation.phase.min_hoursEspecifica el intervalo mínimo en horas que debe ejecutarse la fase de evaluación antes de que se establezca el umbral de cifrado.
ONTAP 9.17.1 y posteriores
arw.block_device.evaluation.phase.max_hoursEspecifica el intervalo máximo en horas que debe ejecutarse la fase de evaluación antes de que se establezca el umbral de cifrado.
ONTAP 9.17.1 y posteriores
arw.block_device.evaluation.phase.min_data_ingest_size_GBEspecifica la cantidad mínima de datos en GB que se deben ingerir durante la fase de evaluación antes de que se establezca el umbral de cifrado.
ONTAP 9.17.1 y posteriores
arw.block_device.evaluation.phase.alert.enabledEspecifica si se habilitan las alertas para la fase de evaluación de ARP en dispositivos de bloque. El valor predeterminado es
True.ONTAP 9.17.1 y posteriores
arw.block_device.evaluation.phase.alert.thresholdEspecifica el porcentaje de umbral durante la fase de evaluación de ARP en dispositivos de bloque. Si el porcentaje de cifrado supera este umbral, se activa una alerta.
ONTAP 9.17.1 y posteriores