Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Conoce el periodo de evaluación de ONTAP ARP/AI para cargas de trabajo de dispositivos de bloque

Colaboradores netapp-dbagwell netapp-lenida
PDF

A partir de ONTAP 9.17.1, ARP/AI requiere un periodo de evaluación para determinar si los niveles de entropía de las cargas de trabajo de dispositivos de bloque son adecuados para la protección contra ransomware. Estas cargas de trabajo incluyen LUN de SAN y discos virtuales de hipervisor (por ejemplo, discos virtuales de VMware en almacenes de datos NFS y, a partir de ONTAP 9.17.1P5, discos virtuales de Hyper-V, KVM y OpenStack) almacenados en volúmenes ONTAP. Después de activar ARP en un volumen elegible, ARP/AI supervisa y protege activamente el volumen durante el periodo de evaluación mientras determina simultáneamente un umbral de cifrado óptimo. La detección y las alertas pueden producirse durante el periodo de evaluación utilizando un umbral conservador mientras se establecen los umbrales de referencia a lo largo de varios días. ARP distingue entre cargas de trabajo aptas y no aptas en el volumen evaluado y, si se determina que las cargas de trabajo son aptas para la protección, establece automáticamente un umbral de cifrado basado en las estadísticas del periodo de evaluación.

Cargas de trabajo compatibles y aplicabilidad de la evaluación

El periodo de evaluación de los dispositivos en bloque se aplica en los siguientes escenarios:

  • Volúmenes SAN

    • Cargas de trabajo basadas en LUN presentadas como dispositivos de bloque a hosts o hipervisores.

  • Volúmenes NAS que contienen discos virtuales de hipervisor detectados automáticamente por ONTAP

    • Los hipervisores compatibles incluyen VMware, Hyper-V, KVM y discos virtuales OpenStack almacenados en almacenes de datos NFS o SMB.

Dentro de estos volúmenes:

  • El periodo de evaluación es aplicable a ataques detectados basados en cambios de entropía dentro del sistema de archivos invitado del disco virtual (por ejemplo, ransomware operando sobre archivos dentro del guest OS mapeados a un LUN o disco virtual).

  • El periodo de evaluación no es aplicable a los ataques detectados basados en entropía y cambios de extensión de archivos realizados directamente en los archivos del disco virtual desde el host del hipervisor (por ejemplo, ransomware que opera directamente en .vmdk archivos desde un punto de montaje de datastore NFS ESXi). Estos ataques directos al disco utilizan una ruta de detección diferente que no depende del periodo de evaluación de dispositivo de bloque.

Compatibilidad de versiones para la detección de dispositivos de bloque e hipervisores

  • ONTAP 9.17.1

    • Presenta el periodo de evaluación de dispositivos de bloque para volúmenes SAN.

    • Permite la detección de ataques ARP/AI dentro de LUNs SAN y dentro de discos virtuales VMware almacenados en datastores NFS de ONTAP.

  • ONTAP 9.17.1P5 y posteriores

    • Amplía la detección de dispositivos de bloque ARP/AI a discos virtuales de hipervisor como Hyper-V, KVM y OpenStack.

    • Aplica la misma lógica de evaluación de dispositivos de bloque y umbrales a estas cargas de trabajo de hipervisor adicionales cuando son detectadas por ONTAP.

Comprender la evaluación de la entropía

Durante el periodo de evaluación, el sistema recopila continuamente estadísticas de cifrado en intervalos de 10 minutos de las cargas de trabajo de dispositivos de bloque e hipervisores compatibles. También se crean continuamente instantáneas periódicas de ARP cada cuatro horas. Si el porcentaje de cifrado dentro de un intervalo supera el umbral de cifrado óptimo identificado para este volumen, se activa una alerta, se crea una instantánea Anti_ransomware_attack_backup y se aumenta el tiempo de retención de instantáneas en cualquier instantánea periódica de ARP.

Confirmar que el periodo de evaluación está activo

Puede confirmar que la evaluación está activa ejecutando el siguiente comando y confirmando un estado de evaluation_period. Si un volumen no es elegible para evaluación, no se mostrará el estado de evaluación.

security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>

Ejemplo de respuesta:

Vserver Name                                : vs1
Volume Name                                 : v1
State                                       : enabled
Attack Probability                          : none
Attack Timeline                             : -
Number of Attacks                           : -
Attack Detected By                          : -
Block device detection status               : evaluation_period
Recopilación de datos del período de evaluación del monitor

Puede supervisar la detección de cifrado en tiempo real ejecutando el siguiente comando. Este comando devuelve un histograma que muestra la cantidad de datos en cada rango de porcentaje de cifrado. El histograma se actualiza cada 10 minutos.

security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time

Ejemplo de respuesta:

Vserver     Name              Entropy Range   Seen N Time     Data Written
----------  ----------------  --------------- --------------  -------------
vs0         lun1              0-5%            4               100MB
vs0         lun1              6-10%           10              900MB
vs0         lun1              11-15%          20              40MB
vs0         lun1              16-20%          10              70MB
vs0         lun1              21-25%          60              450MB
vs0         lun1              26-30%          4               100MB
vs0         lun1              31-35%          10              900MB
vs0         lun1              36-40%          20              40MB
vs0         lun1              41-45%          0               0
vs0         lun1              46-50%          0               0
vs0         lun1              51-55%          0               0
vs0         lun1              56-60%          0               0
vs0         lun1              61-65%          0               0
vs0         lun1              66-70%          0               0
vs0         lun1              71-75%          0               0
vs0         lun1              76-80%          0               0
vs0         lun1              81-85%          0               0
vs0         lun1              86-90%          0               0
vs0         lun1              91-95%          0               0
vs0         lun1              96-100%         0               0

20 entries were displayed.

Cargas de trabajo adecuadas y umbrales adaptativos

La evaluación finaliza con uno de los siguientes resultados tanto para cargas de trabajo SAN LUN como para discos virtuales de hipervisor evaluados mediante detección de dispositivos de bloque:

  • La carga de trabajo es adecuada para ARP. ARP establece automáticamente el umbral adaptativo por encima del 10 % del porcentaje máximo de cifrado observado durante el período de evaluación. ARP también continúa recopilando estadísticas y crea instantáneas periódicas de ARP.

  • La carga de trabajo no es adecuada para ARP. ARP establece automáticamente el umbral adaptativo al porcentaje máximo de cifrado observado durante el período de evaluación. ARP también continúa recopilando estadísticas y crea instantáneas periódicas de ARP, pero el sistema finalmente recomienda deshabilitar ARP en el volumen.

Determinar los resultados de la evaluación

Una vez finalizado el período de evaluación, ARP establece automáticamente el umbral adaptativo en función de los resultados de la evaluación.

Puede determinar los resultados de la evaluación ejecutando el siguiente comando. La idoneidad del volumen se indica en el Block device detection status campo:

security anti-ransomware volume show  -vserver <svm_name> -volume <volume_name>

Ejemplo de respuesta:

Vserver Name                               : vs1
Volume Name                                : v1
State                                      : enabled
Attack Probability                         : none
Attack Timeline                            : -
Number of Attacks                          : -
Attack Detected By                         : -
Block device detection status              : Active_suitable_workload

Block device evaluation start time :  5/16/2025 01:49:01

También puedes mostrar el valor umbral adoptado como resultado de la evaluación:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

Ejemplo de respuesta:

                                  Vserver Name : vs_1

                                   Volume Name : vm_2

Block Device Auto Learned Encryption Threshold : 10
...