Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Ajuster les paramètres des instantanés ARP générés automatiquement

Contributeurs netapp-dbagwell netapp-aherbin netapp-aaron-holt
PDF

Depuis la version ONTAP 9.11.1, vous pouvez utiliser l'interface de ligne de commandes pour contrôler les paramètres de conservation des copies Snapshot ARP (Autonomous ransomware protection) qui sont générées automatiquement en réponse à des attaques de ransomware suspectées.

Avant de commencer

Vous ne pouvez modifier les options des snapshots ARP que sur un "nœud SVM" et pas sur d'autres types de SVM.

Étapes

  1. Afficher tous les paramètres de snapshot ARP actuels :

    options -option-name arw*

  2. Afficher les paramètres de snapshot ARP actuels sélectionnés :

    options -option-name <arw_setting_name>

  3. Modifier les paramètres de snapshot ARP :

    options -option-name <arw_setting_name> -option-value <arw_setting_value>

    Les paramètres suivants peuvent être modifiés :

    Remarque Certaines des commandes décrites sont obsolètes depuis ONTAP 9.17.1. Les commandes introduites dans ONTAP 9.17.1 prennent en charge les environnements NAS et SAN.
    Réglage Description Versions prises en charge

    arw.snap.max.count

    Spécifie le nombre maximal d'instantanés ARP pouvant exister dans un volume à un moment donné. Les copies plus anciennes sont supprimées afin de garantir que le nombre total d'instantanés ARP reste dans la limite spécifiée.

    ONTAP 9.11.1 et versions ultérieures

    arw.snap.create.interval.hours

    Spécifie l'intervalle (en heures) entre les snapshots ARP. Un nouveau snapshot ARP est créé lorsqu'une attaque par entropie des données est suspectée et que le snapshot ARP le plus récent est plus ancien que l'intervalle spécifié.

    ONTAP 9.11.1 et versions ultérieures

    arw.snap.normal.retain.interval.hours

    Spécifie la durée (en heures) de conservation d'un instantané ARP. Lorsqu'un instantané ARP atteint le seuil de conservation, il est supprimé.

    • ONTAP 9.11.1 à ONTAP 9.16.1

    • Obsolète dans ONTAP 9.17.1 et versions ultérieures

    arw.snap.max.retain.interval.days

    Spécifie la durée maximale en jours pour laquelle un instantané ARP peut être conservé. Tout snapshot ARP antérieur à cette durée est supprimé lorsqu'aucune attaque n'est signalée sur le volume.

    Remarque L'intervalle de rétention maximal pour les instantanés ARP est ignoré si une menace modérée est détectée. L'instantané ARP créé en réponse à la menace est conservé jusqu'à ce que vous ayez répondu à la menace. Lorsque vous marquez une menace comme un faux positif, ONTAP supprime les instantanés ARP du volume.

    • ONTAP 9.11.1 à ONTAP 9.16.1

    • Obsolète dans ONTAP 9.17.1 et versions ultérieures

    arw.snap.create.interval.hours.post.max.count

    Spécifie l'intervalle (en heures) entre les snapshots ARP lorsque le volume contient déjà le nombre maximal de snapshots ARP. Lorsque ce nombre maximal est atteint, un snapshot ARP est supprimé pour laisser la place à une nouvelle copie. Cette option permet de réduire la vitesse de création du nouveau snapshot ARP afin de conserver l'ancienne copie. Si le volume contient déjà le nombre maximal de snapshots ARP, l'intervalle spécifié dans cette option est utilisé pour la création du prochain snapshot ARP, au lieu de arw.snap.create.interval.hours .

    • ONTAP 9.11.1 à 9.16.1

    • Obsolète dans ONTAP 9.17.1 et versions ultérieures

    arw.snap.low.encryption.retain.duration.hours

    Spécifie la durée de conservation en heures des instantanés ARP créés pendant les périodes de faible activité de chiffrement.

    • ONTAP 9.17.1 et versions ultérieures

    arw.snap.new.extns.interval.hours

    Spécifie l'intervalle, en heures, entre les instantanés ARP créés lors de la détection d'une nouvelle extension de fichier. Un nouvel instantané ARP est créé lorsqu'une nouvelle extension de fichier est détectée ; l'instantané précédent, créé lors de l'observation d'une nouvelle extension de fichier, est antérieur à cet intervalle spécifié. Sur une charge de travail créant fréquemment de nouvelles extensions de fichier, cet intervalle permet de contrôler la fréquence des instantanés ARP. Cette option est disponible indépendamment de arw.snap.create.interval.hours , qui spécifie l'intervalle pour les instantanés ARP basés sur l'entropie des données.

    • ONTAP 9.11.1 à ONTAP 9.16.1

    • Obsolète dans ONTAP 9.17.1 et versions ultérieures

    arw.snap.retain.hours.after.clear.suspect.false.alert

    Spécifie l'intervalle (en heures) pendant lequel un instantané ARP est conservé par précaution après qu'un incident d'attaque a été signalé comme faux positif par l'administrateur. Après l'expiration de cette période de conservation préventive, l'instantané peut être supprimé selon la durée de conservation standard définie par les options. arw.snap.normal.retain.interval.hours et arw.snap.max.retain.interval.days .

    • ONTAP 9.16.1 et versions ultérieures

    arw.snap.retain.hours.after.clear.suspect.real.attack

    Spécifie l'intervalle (en heures) pendant lequel un instantané ARP est conservé par précaution après qu'une attaque a été signalée comme réelle par l'administrateur. Après l'expiration de cette période de conservation préventive, l'instantané peut être supprimé selon la durée de conservation standard définie par les options. arw.snap.normal.retain.interval.hours et arw.snap.max.retain.interval.days .

    • ONTAP 9.16.1 et versions ultérieures

    arw.snap.surge.interval.days

    Spécifie l'intervalle en jours entre les snapshots ARP créés en réponse aux pics d'E/S. ONTAP crée une copie de surtension de snapshot ARP lorsqu'il y a une surtension dans le trafic d'E/S et que le dernier instantané ARP créé est plus ancien que cet intervalle spécifié. Cette option spécifie également la période de rétention in Day pour un instantané de surtension ARP.

    ONTAP 9.11.1 et versions ultérieures

    arw.high.encryption.alert.enabled

    Active les alertes pour les niveaux de chiffrement élevés. Lorsque cette option est activée, on (par défaut), ONTAP envoie une alerte lorsque le pourcentage de chiffrement dépasse le seuil spécifié dans arw.high.encryption.percentage.threshold .

    ONTAP 9.17.1 et versions ultérieures

    arw.high.encryption.percentage.threshold

    Spécifie le pourcentage maximal de chiffrement d'un volume. Si le pourcentage de chiffrement dépasse ce seuil, ONTAP traite l'augmentation comme une attaque et crée un snapshot ARP. arw.high.encryption.alert.enabled doit être réglé sur on pour que cette option prenne effet.

    ONTAP 9.17.1 et versions ultérieures

    arw.snap.high.encryption.retain.duration.hours

    Spécifie l'intervalle de durée de conservation en heures pour les instantanés créés lors d'un événement de seuil de chiffrement élevé.

    ONTAP 9.17.1 et versions ultérieures

  4. Si vous utilisez ARP avec un environnement SAN, vous pouvez également modifier les paramètres de période d'évaluation suivants :

    Réglage Description Versions prises en charge

    arw.block_device.auto.learn.threshold.min_value

    Spécifie la valeur de pourcentage du seuil de chiffrement minimum pendant la phase d'apprentissage automatique de l'évaluation pour les périphériques de bloc.

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.auto.learn.threshold.max_value

    Spécifie la valeur de pourcentage du seuil de chiffrement maximal pendant la phase d'apprentissage automatique de l'évaluation pour les périphériques de bloc.

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.evaluation.phase.min_hours

    Spécifie l'intervalle minimum en heures pendant lequel la phase d'évaluation doit s'exécuter avant que le seuil de chiffrement ne soit défini.

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.evaluation.phase.max_hours

    Spécifie l'intervalle maximal en heures pendant lequel la phase d'évaluation doit s'exécuter avant que le seuil de chiffrement ne soit défini.

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.evaluation.phase.min_data_ingest_size_GB

    Spécifie la quantité minimale de données en Go qui doivent être ingérées pendant la phase d'évaluation avant que le seuil de chiffrement ne soit défini.

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.evaluation.phase.alert.enabled

    Indique si les alertes sont activées pour la phase d'évaluation d'ARP sur les périphériques de type bloc. La valeur par défaut est True .

    ONTAP 9.17.1 et versions ultérieures

    arw.block_device.evaluation.phase.alert.threshold

    Spécifie le pourcentage de seuil pendant la phase d'évaluation d'ARP sur les périphériques de type bloc. Si le pourcentage de chiffrement dépasse ce seuil, une alerte est déclenchée.

    ONTAP 9.17.1 et versions ultérieures
Informations associées