Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Pausa la protección autónoma frente a ransomware de ONTAP para excluir los eventos de cargas de trabajo del análisis

Colaboradores netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-barbe
PDF

Si espera eventos de carga de trabajo inusuales, puede suspender temporalmente y reanudar el análisis de la protección de ransomware autónoma (ARP) en cualquier momento.

A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para que se requieran dos o más administradores de usuarios autenticados para pausar ARP.

"Más información acerca de MAV".

Acerca de esta tarea

Durante una pausa ARP, ONTAP no registra eventos ni acciones para nuevas escrituras; sin embargo, el análisis continúa en segundo plano para los registros anteriores.

Nota No utilice la función de desactivación ARP para pausar el análisis. Al hacerlo, se deshabilita ARP en el volumen y se pierde toda la información existente acerca del comportamiento de la carga de trabajo adquirida. Esto requeriría un reinicio del período de aprendizaje.
Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para pausar ARP.

System Manager

  1. Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen donde desea pausar ARP.

  2. En la pestaña Seguridad de la descripción general de Volúmenes, seleccione Pausar anti-ransomware en el cuadro Anti-ransomware.

    Nota A partir de ONTAP 9.13.1, si utiliza MAV para proteger la configuración ARP, la operación de pausa le solicita que obtenga la aprobación de uno o más administradores adicionales. "La aprobación debe recibirse de todos los administradores" asociado con el grupo de aprobación MAV o la operación fracasará.

  3. Para reanudar la monitorización, seleccione Reanudar anti-ransomware.

CLI

  1. Poner en pausa ARP en un volumen:

    security anti-ransomware volume pause -vserver <svm_name> -volume <vol_name>

  2. Para reanudar el procesamiento, utilice resume el comando:

    security anti-ransomware volume resume -vserver <svm_name> -volume <vol_name>

    Obtenga más información sobre security anti-ransomware volume en el "Referencia de comandos del ONTAP".

  3. Si está utilizando MAV (disponible con ARP a partir de ONTAP 9.13.1) para proteger la configuración de ARP, la operación de pausa le solicita que obtenga la aprobación de uno o más administradores adicionales. Se debe obtener la aprobación de todos los administradores asociados con el grupo de aprobación MAV o la operación fallará.

    Si utiliza MAV y una operación de pausa esperada necesita aprobaciones adicionales, cada aprobador de grupo MAV realiza lo siguiente:

    1. Mostrar la solicitud:

      security multi-admin-verify request show

    2. Apruebe la solicitud:

      security multi-admin-verify request approve -index[<number returned from show request>]

      La respuesta del último aprobador de grupo indica que el volumen se ha modificado y que el estado de ARP está en pausa.

      Si utiliza MAV y es un aprobador de grupo MAV, puede rechazar una solicitud de operación de pausa:

    security multi-admin-verify request veto -index[<number returned from show request>]

    +
    Obtenga más información sobre security multi-admin-verify request en el "Referencia de comandos del ONTAP".