Detenga la protección de ransomware autónoma para excluir eventos de carga de trabajo del análisis
Si espera eventos de carga de trabajo inusuales, puede suspender temporalmente y reanudar el análisis de la protección de ransomware autónoma (ARP) en cualquier momento.
A partir de ONTAP 9.13.1, puede habilitar la verificación multiadministrador (MAV) para que se requieran dos o más administradores de usuarios autenticados para pausar ARP.
Durante una pausa de ARP, no se registran eventos ni se realiza ninguna acción para las nuevas escrituras. No obstante, la operación de análisis continúa para registros anteriores en segundo plano.
No utilice la función de desactivación ARP para pausar el análisis. Al hacerlo, se deshabilita ARP en el volumen y se pierde toda la información existente acerca del comportamiento de la carga de trabajo adquirida. Esto requeriría un reinicio del período de aprendizaje. |
Puede usar System Manager o la interfaz de línea de comandos de ONTAP para pausar ARP.
-
Seleccione Almacenamiento > Volúmenes y, a continuación, seleccione el volumen donde desea pausar ARP.
-
En la pestaña Seguridad de la vista general de volúmenes, selecciona Pausa anti-ransomware en la casilla Anti-ransomware.
A partir de ONTAP 9.13.1, si utiliza MAV para proteger la configuración ARP, la operación de pausa le solicita la aprobación de uno o más administradores adicionales. "La aprobación debe recibirse de todos los administradores" Asociado al grupo de aprobación MAV o la operación fallará.
-
Poner en pausa ARP en un volumen:
security anti-ransomware volume pause -vserver svm_name -volume vol_name
-
Para reanudar el procesamiento, utilice
resume
comando:security anti-ransomware volume resume -vserver svm_name -volume vol_name
-
Si está utilizando MAV (disponible con ARP a partir de ONTAP 9.13,1) para proteger la configuración ARP, la operación de pausa le solicitará que obtenga la aprobación de uno o más administradores adicionales. Se debe recibir la aprobación de todos los administradores asociados al grupo de aprobación MAV o la operación fallará.
Si utiliza MAV y una operación de pausa esperada necesita aprobaciones adicionales, cada aprobador de grupo MAV realiza lo siguiente:
-
Mostrar la solicitud:
security multi-admin-verify request show
-
Apruebe la solicitud:
security multi-admin-verify request approve -index[number returned from show request]
La respuesta del último aprobador de grupo indica que el volumen se ha modificado y que el estado de ARP está en pausa.
Si utiliza MAV y es un aprobador de grupo MAV, puede rechazar una solicitud de operación de pausa:
security multi-admin-verify request veto -index[number returned from show request]
-