Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activation de la protection autonome contre les ransomwares

Contributeurs

Depuis ONTAP 9.10.1, la protection autonome contre les ransomwares (ARP) peut être activée sur les volumes nouveaux ou existants. Vous commencez par activer ARP en mode d'apprentissage, dans lequel le système analyse la charge de travail pour caractériser le comportement normal. Vous pouvez activer ARP sur un volume existant ou créer un nouveau volume et activer ARP depuis le début.

Description de la tâche

Vous devez toujours activer le protocole ARP au départ en mode d'apprentissage (ou d'exécution à sec). Le démarrage en mode actif peut entraîner des rapports faux positifs excessifs.

Il est recommandé de laisser ARP fonctionner en mode d'apprentissage pendant au moins 30 jours. À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur, qui peut se produire avant 30 jours. Pour plus d'informations, voir "Modes d'apprentissage et actifs".

Remarque Dans les volumes existants, les modes d'apprentissage et actif s'appliquent uniquement aux données nouvellement écrites, et non aux données existantes du volume. Les données existantes ne sont pas analysées et analysées, car les caractéristiques du trafic de données normal antérieur sont présumées basées sur les nouvelles données une fois que le volume est activé pour ARP.
Avant de commencer
  • Une VM de stockage doit être activée pour NFS ou SMB (ou les deux).

  • Le licence correcte Doit être installé pour votre version ONTAP.

  • Vous devez avoir une charge de travail NAS avec des clients configurés.

  • Le volume sur lequel vous souhaitez définir ARP doit être protégé doit avoir un actif "chemin de jonction".

  • Le volume doit être rempli à moins de 100 %.

  • Il est recommandé de configurer le système EMS pour envoyer des notifications par e-mail, qui incluront des notifications d'activité ARP. Pour plus d'informations, voir "Configurez les événements EMS pour envoyer des notifications par e-mail".

  • À partir de la version ONTAP 9.13.1, il est recommandé d'activer la vérification multiadministrateur afin que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour la configuration ARP (Autonomous ransomware protection). Pour plus d'informations, voir "Activez la vérification multiadministrateur".

Exemple 1. Étapes
System Manager
  1. Sélectionnez stockage > volumes, puis sélectionnez le volume à protéger.

  2. Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé en mode apprentissage dans la zone anti-ransomware.

  3. Lorsque la période d'apprentissage est terminée, passez ARP en mode actif.

    Remarque À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur. C'est possible "Désactivez ce paramètre sur la machine virtuelle de stockage associée" si vous souhaitez contrôler manuellement le mode d'apprentissage en mode actif.
    1. Sélectionnez stockage > volumes, puis sélectionnez le volume prêt pour le mode actif.

    2. Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez basculer en mode actif dans la zone anti-ransomware.

  4. Vous pouvez vérifier l'état ARP du volume dans la zone anti-ransomware.

    Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.

CLI
Activez ARP sur un volume existant
  1. Modifiez un volume existant pour activer la protection par ransomware en mode d'apprentissage :

    security anti-ransomware volume dry-run -volume vol_name -vserver svm_name

    Vous pouvez également activer la protection contre les ransomware à l'aide du volume modify commande :

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state dry-run

    Si vous avez mis à niveau vers ONTAP 9.13.1 ou une version ultérieure, l'apprentissage adaptatif est activé de sorte que le changement d'état actif s'effectue automatiquement. Si vous ne souhaitez pas que ce comportement soit automatiquement activé, modifier le paramètre au niveau du SVM sur tous les volumes associés :

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. Lorsque la période d'apprentissage est terminée, modifiez le volume protégé pour passer en mode actif si ce n'est pas déjà fait automatiquement :

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    Vous pouvez également passer en mode actif à l'aide de la commande modifier le volume :

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. Vérifiez l'état ARP du volume.

    security anti-ransomware volume show

Activez ARP sur un nouveau volume
  1. Créez un volume avec la protection anti-ransomware activée avant le provisionnement des données.

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name

    Si vous avez mis à niveau vers ONTAP 9.13.1 ou une version ultérieure, l'apprentissage adaptatif est activé de sorte que le changement d'état actif s'effectue automatiquement. Si vous ne souhaitez pas que ce comportement soit automatiquement activé, modifier le paramètre au niveau du SVM sur tous les volumes associés :

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. Lorsque la période d'apprentissage est terminée, modifiez le volume protégé pour passer en mode actif si ce n'est pas déjà fait automatiquement :

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    Vous pouvez également passer en mode actif à l'aide de la commande modifier le volume :

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. Vérifiez l'état ARP du volume.

    security anti-ransomware volume show