Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activation de la protection autonome contre les ransomwares

Contributeurs
PDF

Depuis la version ONTAP 9.10.1, vous pouvez activer la protection anti-ransomware autonome (ARP) sur un volume existant ou créer un volume et activer ARP dès le début.

Si vous souhaitez configurer votre cluster ONTAP de sorte que tous les nouveaux volumes soient activés par défaut pour la protection anti-ransomware autonome (ARP), consultez cette "Procédure ARP associée".

Description de la tâche

  • Pour ONTAP 9.10.1 à 9.15.1 et ARP avec volumes FlexGroup pour ces versions de ONTAP, vous devez toujours activer ARP initialement en "mode d'apprentissage"mode (ou "DRY-run"). Lorsque vous activez pour la première fois ARP en mode d'apprentissage, le système analyse la charge de travail pour caractériser le comportement normal. Le démarrage en mode actif peut entraîner des rapports faux positifs excessifs.

    Il est recommandé de laisser ARP fonctionner en mode d'apprentissage pendant au moins 30 jours. À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur, qui peut se produire avant 30 jours.

  • Pour ONTAP 9.16.1 et versions ultérieures avec les volumes FlexVol lorsque vous activez ARP, la protection ARP/ai commence immédiatement en mode actif. Aucune période d'apprentissage n'est requise.

Remarque Dans les volumes existants, les modes d'apprentissage et actif s'appliquent uniquement aux données nouvellement écrites, et non aux données existantes du volume. Les données existantes ne sont pas analysées et analysées, car les caractéristiques du trafic de données normal antérieur sont présumées basées sur les nouvelles données une fois que le volume est activé pour ARP.
Avant de commencer

  • Une VM de stockage (SVM) doit être activée pour NFS ou SMB (ou les deux).

  • Le licence correcte doit être installé pour votre version ONTAP.

  • Vous devez avoir une charge de travail NAS avec des clients configurés.

  • Le volume sur lequel vous souhaitez définir ARP doit être protégé et avoir un actif "chemin de jonction".

  • Le volume doit être rempli à moins de 100 %.

  • Il est recommandé de configurer le système EMS pour envoyer des notifications par e-mail, qui incluront des notifications d'activité ARP. Pour plus d'informations, voir "Configurez les événements EMS pour envoyer des notifications par e-mail".

  • À partir de la version ONTAP 9.13.1, il est recommandé d'activer la vérification multiadministrateur afin que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour la configuration ARP (Autonomous ransomware protection). Pour plus d'informations, voir "Activez la vérification multiadministrateur".

Activez ARP sur un volume nouveau ou existant

Vous pouvez activer le protocole ARP à l'aide de System Manager ou de l'interface de ligne de commande ONTAP.

System Manager
Étapes

  1. Sélectionnez stockage > volumes, puis sélectionnez le volume à protéger.

  2. Dans l'onglet sécurité de la vue d'ensemble volumes, sélectionnez État pour passer de Désactivé à activé.

    • Si vous utilisez ARP avec ONTAP 9.15.1 ou une version antérieure ou ONTAP 9.16.1 avec des volumes FlexGroup, sélectionnez activé en mode apprentissage dans la zone anti-ransomware.

      Remarque À partir de ONTAP 9.13.1, ARP détermine automatiquement la période d'apprentissage optimale et automatise le commutateur. Vous pouvez "Désactivez ce paramètre sur la machine virtuelle de stockage associée"contrôler manuellement la transition du mode d'apprentissage au mode actif.

    • Si vous utilisez ARP sur des volumes FlexVol avec ONTAP 9.16.1 ou une version ultérieure, la fonctionnalité ARP/ai ne nécessite pas de période d'apprentissage et le mode actif est sélectionné par défaut.

  3. Vous pouvez vérifier l'état ARP du volume dans la zone anti-ransomware.

    Pour afficher l'état ARP de tous les volumes : dans le volet volumes, sélectionnez Afficher/Masquer, puis assurez-vous que l'état anti-ransomware est vérifié.

CLI

Le processus d'activation de ARP avec l'interface de ligne de commande diffère si vous l'activez sur un volume existant par rapport à un nouveau volume.

Activez ARP sur un volume existant

  1. Modifiez un volume pour activer la protection contre les ransomware :

    • Pour ONTAP 9.15.1 et versions antérieures et ARP avec volumes FlexGroup, définissez l'état du volume sur dry-run (mode d'apprentissage) :

      security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

    • Pour ONTAP 9.16.1 et versions ultérieures avec des volumes ARP/ai et FlexVol, définissez l'état du volume sur active (mode actif) :

      security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>

  2. Si vous avez mis à niveau vers ONTAP 9.13.1 ou une version ultérieure et que l'état ARP par défaut est dry-run, l'apprentissage adaptatif est activé de sorte que le changement d'état actif soit effectué automatiquement. Si vous ne souhaitez pas que ce comportement soit automatiquement activé, modifier le paramètre au niveau du SVM sur tous les volumes associés :

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Vérifiez l'état ARP du volume.

    security anti-ransomware volume show

Activez ARP sur un nouveau volume

  1. Créez un nouveau volume avec ARP activé avant le provisionnement des données :

    • Pour ONTAP 9.15.1 et versions antérieures et ARP avec volumes FlexGroup, définissez l'état sur dry-run (mode d'apprentissage) :

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

    • Pour ONTAP 9.16.1 et versions ultérieures avec des volumes ARP/ai et FlexVol, définissez l'état sur active (mode actif) :

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>

  2. Si vous avez mis à niveau vers ONTAP 9.13.1 ou une version ultérieure et que l'état ARP par défaut est dry-run, l'apprentissage adaptatif est activé de sorte que le changement d'état actif soit effectué automatiquement. Si vous ne souhaitez pas que ce comportement soit automatiquement activé, modifier le paramètre au niveau du SVM sur tous les volumes associés :

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Vérifiez l'état ARP du volume.

    security anti-ransomware volume show

Informations associées