Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Mettez en pause la protection anti-ransomware autonome de ONTAP pour exclure les événements de workloads de l'analyse

Contributeurs netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-barbe
PDF

Si vous attendez des événements inhabituels des charges de travail, vous pouvez suspendre et reprendre temporairement l'analyse ARP (autonome ransomware protection) à tout moment.

À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) de sorte que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour interrompre le protocole ARP.

"En savoir plus sur le MAV".

Description de la tâche

Pendant une pause ARP, ONTAP n'enregistre pas les événements ni les actions liés aux nouvelles écritures ; toutefois, l'analyse des journaux antérieurs se poursuit en arrière-plan.

Remarque N'utilisez pas la fonction de désactivation ARP pour interrompre l'analyse. Ceci désactive ARP sur le volume et toutes les informations existantes concernant le comportement de la charge de travail apprise sont perdues. Cela nécessiterait un redémarrage de la période d'apprentissage.
Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour interrompre le protocole ARP.

System Manager

  1. Sélectionnez stockage > volumes, puis sélectionnez le volume sur lequel vous souhaitez mettre en pause ARP.

  2. Dans l'onglet Sécurité de la vue d'ensemble des volumes, sélectionnez Suspendre l'anti-ransomware dans la case Anti-ransomware.

    Remarque À partir d' ONTAP 9.13.1, si vous utilisez MAV pour protéger les paramètres ARP, l'opération de pause vous invite à obtenir l'approbation d'un ou plusieurs administrateurs supplémentaires. "L'approbation doit être reçue de tous les administrateurs" associé au groupe d'approbation MAV, sinon l'opération échouera.

  3. Pour reprendre la surveillance, sélectionnez Reprendre l'anti-ransomware.

CLI

  1. Suspendre ARP sur un volume :

    security anti-ransomware volume pause -vserver <svm_name> -volume <vol_name>

  2. Pour reprendre le traitement, utilisez resume commande :

    security anti-ransomware volume resume -vserver <svm_name> -volume <vol_name>

    Pour en savoir plus, security anti-ransomware volume consultez le "Référence de commande ONTAP".

  3. Si vous utilisez MAV (disponible avec ARP à partir d' ONTAP 9.13.1) pour protéger les paramètres ARP, l'opération de pause vous invite à obtenir l'approbation d'un ou plusieurs administrateurs supplémentaires. L'approbation de tous les administrateurs associés au groupe d'approbation MAV est indispensable, faute de quoi l'opération échouera.

    Si vous utilisez MAV et qu'une opération de pause attendue nécessite des approbations supplémentaires, chaque approbateur de groupe MAV effectue les opérations suivantes :

    1. Afficher la demande :

      security multi-admin-verify request show

    2. Approuver la demande :

      security multi-admin-verify request approve -index[<number returned from show request>]

      La réponse du dernier approbateur de groupe indique que le volume a été modifié et que l'état du protocole ARP est mis en pause.

      Si vous utilisez MAV et que vous êtes un approbateur de groupe MAV, vous pouvez rejeter une demande d'opération de pause :

    security multi-admin-verify request veto -index[<number returned from show request>]

    +
    Pour en savoir plus, security multi-admin-verify request consultez le "Référence de commande ONTAP".