Mettez en pause la protection autonome contre les ransomwares pour exclure les événements des charges de travail de l'analyse
Si vous attendez des événements inhabituels des charges de travail, vous pouvez suspendre et reprendre temporairement l'analyse ARP (autonome ransomware protection) à tout moment.
À partir de ONTAP 9.13.1, vous pouvez activer la vérification multiadministrateur (MAV) de sorte que deux administrateurs d'utilisateurs authentifiés ou plus soient requis pour interrompre le protocole ARP.
Lors d'une pause ARP, aucun événement n'est enregistré et aucune action n'est en cours pour les nouvelles écritures. Toutefois, le processus d'analytique continue pour les journaux précédents en arrière-plan.
N'utilisez pas la fonction de désactivation ARP pour interrompre l'analyse. Ceci désactive ARP sur le volume et toutes les informations existantes concernant le comportement de la charge de travail apprise sont perdues. Cela nécessiterait un redémarrage de la période d'apprentissage. |
Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour interrompre le protocole ARP.
-
Sélectionnez stockage > volumes, puis sélectionnez le volume sur lequel vous souhaitez mettre en pause ARP.
-
Dans l'onglet sécurité de la vue d'ensemble des volumes, sélectionnez Pause anti-ransomware dans la zone anti-ransomware.
À partir de ONTAP 9.13.1, si vous utilisez MAV pour protéger vos paramètres ARP, l'opération de pause vous invite à obtenir l'approbation d'un ou de plusieurs administrateurs supplémentaires. "L'approbation doit être reçue de tous les administrateurs" Associé au groupe d'approbation MAV ou l'opération échouera.
-
Suspendre ARP sur un volume :
security anti-ransomware volume pause -vserver svm_name -volume vol_name
-
Pour reprendre le traitement, utilisez
resume
commande :security anti-ransomware volume resume -vserver svm_name -volume vol_name
-
Si vous utilisez MAV (disponible avec ARP à partir de ONTAP 9.13.1) pour protéger vos paramètres ARP, l'opération de pause vous invite à obtenir l'approbation d'un ou de plusieurs administrateurs supplémentaires. L'approbation doit être reçue de tous les administrateurs associés au groupe d'approbation MAV, faute de quoi l'opération échouera.
Si vous utilisez MAV et qu'une opération de pause attendue nécessite des approbations supplémentaires, chaque approbateur de groupe MAV effectue les opérations suivantes :
-
Afficher la demande :
security multi-admin-verify request show
-
Approuver la demande :
security multi-admin-verify request approve -index[number returned from show request]
La réponse du dernier approbateur de groupe indique que le volume a été modifié et que l'état du protocole ARP est mis en pause.
Si vous utilisez MAV et que vous êtes un approbateur de groupe MAV, vous pouvez rejeter une demande d'opération de pause :
security multi-admin-verify request veto -index[number returned from show request]
-