Assurez la protection anti-ransomware autonome de ONTAP
Suggérer des modifications
PDF
Depuis la version ONTAP 9.10.1, vous pouvez activer la protection anti-ransomware autonome (ARP) sur un volume existant ou créer un volume et activer ARP dès le début.
Si vous souhaitez configurer votre cluster ONTAP de sorte que tous les nouveaux volumes soient activés par défaut pour la protection anti-ransomware autonome (ARP), consultez cette "Procédure ARP associée".
Pour activer ARP, suivez la procédure correspondant à votre environnement aprèsvous vous assurez que votre environnement répond à certaines exigences :
Après l'activation d'ARP, celui-ci peut entrer dans une période de transition en fonction de votre environnement et de votre version ONTAP :
| Type de volume | Version ONTAP | Comportement après activation |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1 et versions ultérieures |
ARP/AI est immédiatement actif, sans période d'apprentissage. |
ONTAP 9.13.1 à 9.17.1 |
ARP démarre en mode apprentissage pendant 30 jours |
|
NAS FlexVol |
ONTAP 9.16.1 et versions ultérieures |
ARP/AI est immédiatement actif, sans période d'apprentissage. |
ONTAP 9.10.1 à 9.15.1 |
ARP démarre en mode apprentissage pendant 30 jours |
|
Volumes SAN |
ONTAP 9.17.1 et versions ultérieures |
Le système ARP/AI est immédiatement actif, lançant une période d'évaluation pour établir un seuil d'alerte approprié avant de passer d'un seuil initial conservateur. |
Avant d'activer ARP, assurez-vous que votre environnement dispose des éléments suivants :
-
Une machine virtuelle de stockage (SVM) avec le protocole NFS ou SMB (ou les deux) activé.
-
Charge de travail NAS avec clients configurés.
-
Un actif"chemin de jonction" pour le volume.
-
Une machine virtuelle de stockage (SVM) avec le protocole iSCSI, FC ou NVMe activé.
-
Charge de travail SAN avec clients configurés.
-
Le"licence correcte" pour votre version ONTAP .
-
(Recommandé) Vérification multi-administrateur (MAV) activée (ONTAP 9.13.1 et versions ultérieures). Voir"Activez la vérification multiadministrateur" .
Activer ARP sur les volumes NAS FlexVol
Vous pouvez activer ARP sur les volumes NAS FlexVol à l'aide de System Manager ou de l'interface de ligne de commande ONTAP . Le processus diffère selon votre version ONTAP .
À partir d' ONTAP 9.16.1, ARP/AI est actif immédiatement sans période d'apprentissage requise.
-
Sélectionnez stockage > volumes, puis sélectionnez le volume à protéger.
-
Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.
-
Vérifiez l'état ARP du volume dans la boîte Anti-ransomware.
Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.
Activer ARP sur un volume existant :
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Créer un nouveau volume avec ARP activé :
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Vérifier l'état ARP :
security anti-ransomware volume showPour en savoir plus, security anti-ransomware volume show consultez le "Référence de commande ONTAP".
Pour ONTAP 9.10.1 à 9.15.1, vous devez activer ARP initialement dans"mode d'apprentissage" (ou état de « répétition à blanc »). Le système analyse la charge de travail afin de caractériser le comportement normal. Démarrer en mode actif peut entraîner un nombre excessif de faux positifs.
Il est recommandé de laisser ARP s'exécuter en mode d'apprentissage pendant au moins 30 jours. À partir d' ONTAP 9.13.1, ARP détermine automatiquement l'intervalle optimal de la période d'apprentissage et automatise le basculement, qui peut intervenir avant 30 jours.
-
Sélectionnez stockage > volumes, puis sélectionnez le volume à protéger.
-
Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.
-
Sélectionnez Activé en mode d'apprentissage dans la case Anti-ransomware.
Tu peux"Désactiver l'apprentissage automatique des transitions de modes actifs sur la machine virtuelle de stockage associée" si vous souhaitez contrôler manuellement la transition du mode d'apprentissage au mode actif.
Dans les volumes existants, les modes d'apprentissage et actif s'appliquent uniquement aux données nouvellement écrites, et non aux données existantes du volume. Les données existantes ne sont pas analysées et analysées, car les caractéristiques du trafic de données normal antérieur sont présumées basées sur les nouvelles données une fois que le volume est activé pour ARP. -
Vérifiez l'état ARP du volume dans la boîte Anti-ransomware.
Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.
Activer ARP sur un volume existant :
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Pour en savoir plus, security anti-ransomware volume dry-run consultez le "Référence de commande ONTAP".
Créer un nouveau volume avec ARP activé :
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Désactiver la commutation automatique (facultatif) :
Si vous avez effectué une mise à niveau vers ONTAP 9.13.1 via ONTAP 9.15.1 et que vous souhaitez contrôler manuellement le passage du mode d'apprentissage au mode actif pour tous les volumes associés, vous pouvez le faire à partir du SVM :
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVérifier l'état ARP :
security anti-ransomware volume showActiver ARP sur les volumes NAS FlexGroup
Vous pouvez activer ARP sur les volumes NAS FlexGroup à l'aide de System Manager ou de l'interface de ligne de commande ONTAP . Le processus diffère selon votre version ONTAP .
À partir d' ONTAP 9.18.1, ARP/AI est immédiatement actif pour les volumes FlexGroup sans période d'apprentissage requise.
-
Sélectionnez Stockage > Volumes, puis sélectionnez le volume FlexGroup que vous souhaitez protéger.
-
Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.
-
Vérifiez l'état ARP du volume dans la boîte Anti-ransomware.
Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.
Activer ARP sur un volume FlexGroup existant :
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Créez un nouveau volume FlexGroup avec ARP activé :
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Vérifier l'état ARP :
security anti-ransomware volume showPour ONTAP 9.13.1 à 9.17.1, les volumes FlexGroup commencent dans"mode d'apprentissage" . Le système analyse la charge de travail afin de caractériser le comportement normal.
Il est recommandé de laisser ARP s'exécuter en mode d'apprentissage pendant au moins 30 jours. ARP détermine automatiquement l'intervalle optimal de période d'apprentissage et automatise le basculement, qui peut se produire avant 30 jours.
-
Sélectionnez Stockage > Volumes, puis sélectionnez le volume FlexGroup que vous souhaitez protéger.
-
Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.
-
Sélectionnez Activé en mode d'apprentissage dans la case Anti-ransomware.
Tu peux"désactiver l'apprentissage automatique des transitions vers les modes actifs" si vous souhaitez contrôler manuellement la transition du mode d'apprentissage au mode actif. -
Vérifiez l'état ARP du volume dans la boîte Anti-ransomware.
Activer ARP sur un volume FlexGroup existant :
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Créez un nouveau volume FlexGroup avec ARP activé :
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Désactiver la commutation automatique (facultatif) :
Si vous souhaitez contrôler manuellement le passage du mode d'apprentissage au mode actif :
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVérifier l'état ARP :
security anti-ransomware volume showActiver ARP sur les volumes SAN
À partir d' ONTAP 9.17.1, vous pouvez activer ARP sur les volumes SAN. La fonctionnalité ARP/AI est automatiquement activée et commence immédiatement à surveiller et à protéger activement les volumes SAN pendant la"période d'évaluation" tout en déterminant simultanément si les charges de travail sont adaptées à ARP et en définissant un seuil de chiffrement optimal pour la détection.
Vous pouvez activer ARP sur les volumes SAN à l'aide de System Manager ou de l'interface de ligne de commande ONTAP .
-
Sélectionnez Stockage > Volumes, puis sélectionnez le volume SAN que vous souhaitez protéger.
-
Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.
-
ARP/AI entre automatiquement en période d'évaluation.
-
Vérifiez l'état ARP et le statut d'évaluation dans la boîte Anti-ransomware.
Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.
Activer ARP sur un volume SAN existant :
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Créer un nouveau volume SAN avec ARP activé :
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledVérifiez l'état et le statut d'évaluation de l'ARP :
security anti-ransomware volume showVérifiez le Block device detection status terrain pour suivre l'avancement de la période d'évaluation.
Pour en savoir plus, security anti-ransomware volume show consultez le "Référence de commande ONTAP".