Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Découvrez la période d'évaluation ONTAP ARP/AI pour les charges de travail sur périphériques de stockage par blocs

Contributeurs netapp-dbagwell netapp-lenida
PDF

À partir d'ONTAP 9.17.1, ARP/AI requiert une période d'évaluation pour déterminer si les niveaux d'entropie des charges de travail sur périphériques de stockage par blocs sont adaptés à la protection contre les ransomwares. Ces charges de travail incluent les LUN SAN et les disques virtuels d'hyperviseur (par exemple, les disques virtuels VMware dans les datastores NFS et, à partir d'ONTAP 9.17.1P5, les disques virtuels Hyper-V, KVM et OpenStack) stockés dans les volumes ONTAP. Après activation d'ARP sur un volume éligible, ARP/AI surveille et protège activement le volume pendant la période d'évaluation tout en déterminant simultanément un seuil de chiffrement optimal. La détection et les alertes peuvent survenir pendant la période d'évaluation en utilisant un seuil conservateur, tandis que les seuils de référence sont établis sur plusieurs jours. ARP distingue les charges de travail adaptées des charges de travail inadaptées dans le volume évalué et, si les charges de travail sont jugées adaptées à la protection, définit automatiquement un seuil de chiffrement basé sur les statistiques de la période d'évaluation.

Charges de travail prises en charge et applicabilité de l'évaluation

La période d'évaluation des dispositifs de stockage par blocs s'applique dans les scénarios suivants :

  • Volumes SAN

    • Charges de travail basées sur LUN présentées comme des périphériques de blocs aux hôtes ou aux hyperviseurs.

  • Volumes NAS contenant des disques virtuels d'hyperviseur automatiquement détectés par ONTAP

    • Les hyperviseurs pris en charge incluent VMware, Hyper-V, KVM et OpenStack virtual disks stockés dans des banques de données NFS ou SMB.

Dans ces volumes :

  • La période d'évaluation est applicable aux attaques détectées sur la base de changements d'entropie à l'intérieur du système de fichiers invité du disque virtuel (par exemple, ransomware opérant sur des fichiers au sein du système d'exploitation invité mappé sur un LUN ou un disque virtuel).

  • La période d'évaluation aux attaques détectées sur la base de l'entropie et des modifications d'extension de fichiers effectuées directement sur les fichiers de disque virtuel depuis l'hôte hyperviseur (par exemple, un ransomware opérant directement sur .vmdk les fichiers à partir d'un point de montage de datastore NFS ESXi). Ces attaques directes sur disque utilisent un chemin de détection différent qui ne dépend pas de la période d'évaluation des périphériques de blocs.

Prise en charge des versions pour la détection des périphériques de bloc et des hyperviseurs

  • ONTAP 9.17.1

    • Introduit la période d'évaluation des périphériques de stockage par blocs pour les volumes SAN.

    • Permet la détection des attaques ARP/AI à l'intérieur des LUN SAN et des disques virtuels VMware stockés dans les datastores NFS ONTAP.

  • ONTAP 9.17.1P5 et versions ultérieures

    • Étend la détection des périphériques de bloc ARP/AI aux disques virtuels d'hyperviseur tels que Hyper-V, KVM et OpenStack.

    • Applique la même logique d'évaluation des périphériques de stockage par blocs et les mêmes seuils à ces charges de travail supplémentaires de l'hyperviseur lorsqu'elles sont détectées par ONTAP.

Comprendre l'évaluation de l'entropie

Durant la période d'évaluation, le système collecte en continu des statistiques de chiffrement à des intervalles de 10 minutes à partir des charges de travail de périphériques de bloc et d'hyperviseur pris en charge. Des instantanés ARP périodiques sont également créés en continu toutes les quatre heures. Si le pourcentage de chiffrement au cours d'un intervalle dépasse le seuil optimal de chiffrement identifié pour ce volume, une alerte est déclenchée, un Anti_ransomware_attack_backup instantané est créé et la durée de conservation des instantanés ARP périodiques est augmentée.

Confirmer que la période d'évaluation est active

Vous pouvez confirmer que l'analyse est active en exécutant la commande suivante et en confirmant un état de evaluation_period. Si un volume n’est pas éligible à l’évaluation, le statut d’évaluation ne sera pas affiché.

security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>

Exemple de réponse :

Vserver Name                                : vs1
Volume Name                                 : v1
State                                       : enabled
Attack Probability                          : none
Attack Timeline                             : -
Number of Attacks                           : -
Attack Detected By                          : -
Block device detection status               : evaluation_period
Collecte des données de la période d'évaluation du moniteur

Vous pouvez surveiller la détection du chiffrement en temps réel en exécutant la commande suivante. Cette commande renvoie un histogramme indiquant la quantité de données dans chaque plage de pourcentage de chiffrement. L'histogramme est mis à jour toutes les 10 minutes.

security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time

Exemple de réponse :

Vserver     Name              Entropy Range   Seen N Time     Data Written
----------  ----------------  --------------- --------------  -------------
vs0         lun1              0-5%            4               100MB
vs0         lun1              6-10%           10              900MB
vs0         lun1              11-15%          20              40MB
vs0         lun1              16-20%          10              70MB
vs0         lun1              21-25%          60              450MB
vs0         lun1              26-30%          4               100MB
vs0         lun1              31-35%          10              900MB
vs0         lun1              36-40%          20              40MB
vs0         lun1              41-45%          0               0
vs0         lun1              46-50%          0               0
vs0         lun1              51-55%          0               0
vs0         lun1              56-60%          0               0
vs0         lun1              61-65%          0               0
vs0         lun1              66-70%          0               0
vs0         lun1              71-75%          0               0
vs0         lun1              76-80%          0               0
vs0         lun1              81-85%          0               0
vs0         lun1              86-90%          0               0
vs0         lun1              91-95%          0               0
vs0         lun1              96-100%         0               0

20 entries were displayed.

Charges de travail adaptées et seuils adaptatifs

L'évaluation se termine par l'un des résultats suivants pour les charges de travail SAN LUN et les disques virtuels d'hyperviseur évalués par détection de périphériques de stockage par blocs :

  • La charge de travail est compatible avec ARP. ARP définit automatiquement le seuil adaptatif à plus de 10 % du pourcentage de chiffrement maximal observé pendant la période d'évaluation. ARP continue également la collecte de statistiques et crée des instantanés ARP périodiques.

  • La charge de travail n'est pas adaptée à ARP. ARP définit automatiquement le seuil adaptatif sur le pourcentage de chiffrement maximal observé pendant la période d'évaluation. ARP continue également de collecter des statistiques et de créer des instantanés ARP périodiques, mais le système recommande finalement de désactiver ARP sur le volume.

Déterminer les résultats de l'évaluation

Une fois la période d’évaluation terminée, ARP définit automatiquement le seuil adaptatif en fonction des résultats de l’évaluation.

Vous pouvez déterminer les résultats de l'évaluation en exécutant la commande suivante. L'adéquation du volume est indiquée dans le Block device detection status champ:

security anti-ransomware volume show  -vserver <svm_name> -volume <volume_name>

Exemple de réponse :

Vserver Name                               : vs1
Volume Name                                : v1
State                                      : enabled
Attack Probability                         : none
Attack Timeline                            : -
Number of Attacks                          : -
Attack Detected By                         : -
Block device detection status              : Active_suitable_workload

Block device evaluation start time :  5/16/2025 01:49:01

Vous pouvez également afficher le seuil de valeur adopté à la suite de l'évaluation :

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

Exemple de réponse :

                                  Vserver Name : vs_1

                                   Volume Name : vm_2

Block Device Auto Learned Encryption Threshold : 10
...