La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Scopri la protezione autonoma da ransomware ONTAP

02/03/2026 Collaboratori

PDF

A partire da ONTAP 9.10.1, gli amministratori ONTAP possono abilitare Autonomous Ransomware Protection (ARP) per eseguire l'analisi del carico di lavoro in ambienti NAS (NFS e SMB) per rilevare e segnalare in modo proattivo attività anomale che potrebbero indicare un attacco ransomware. A partire da ONTAP 9.17.1, ARP supporta anche volumi di dispositivi a blocchi, inclusi volumi SAN contenenti LUN o namespace NVMe, oppure volumi NAS contenenti dischi virtuali da hypervisor come VMware.

ARP è integrato direttamente in ONTAP, garantendo controllo e coordinamento integrati con le altre funzionalità di ONTAP. ARP opera in tempo reale, elaborando i dati durante la scrittura o la lettura dal file system e rilevando e rispondendo rapidamente a potenziali attacchi ransomware.

ARP crea snapshot bloccati a intervalli regolari, oltre a quelli programmati, per una maggiore protezione. Gestisce in modo intelligente la durata di conservazione degli snapshot. Se non viene rilevata alcuna attività insolita, gli snapshot vengono rapidamente riciclati. Tuttavia, se viene rilevato un attacco, uno snapshot creato prima dell'inizio dell'attacco viene conservato per un periodo di tempo prolungato. Per ulteriori informazioni, comprese le modifiche aggiunte dalla versione ONTAP , vedere Snapshot ARP.

Licenze e abilitazione

Per utilizzare ARP è necessaria una licenza. Decidi se abilitare ARP per impostazione predefinita sui nuovi volumi o abilitarlo manualmente per volume.

Opzioni di licenza per ARP

Il supporto ARP è incluso con"Licenza ONTAP One" . Se non si dispone della licenza ONTAP One, sono disponibili altre licenze per l'uso ARP che variano a seconda della versione di ONTAP

Release di ONTAP Licenza

Release di ONTAP	Licenza
ONTAP 9.11.1 e versioni successive	`Anti_ransomware`
ONTAP 9.10.1	`MT_EK_MGMT` (Gestione chiavi multi-tenant)

ONTAP 9.11.1 e versioni successive

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (Gestione chiavi multi-tenant)

Se si esegue l'aggiornamento da ONTAP 9.10.1 a ONTAP 9.11.1 o versione successiva e ARP è già configurato sul sistema, non è necessario installare il nuovo Anti-ransomware licenza. Per le nuove configurazioni ARP, è richiesta la nuova licenza.
Se si passa da ONTAP 9.11.1 o versione successiva a ONTAP 9.10.1 e si è abilitato ARP con la licenza Anti_ransomware, verrà visualizzato un messaggio di avviso e potrebbe essere necessario riconfigurare ARP. "Scopri come ripristinare ARP" .

Opzioni di abilitazione per ARP

ARP fornisce opzioni di abilitazione flessibili a livello di cluster, SVM e volume, consentendo di configurare l'abilitazione automatica predefinita per i nuovi volumi o di abilitare ARP manualmente sui volumi esistenti, secondo necessità.

Abilitazione automatica predefinita sui nuovi volumi

A partire da ONTAP 9.18.1, ARP è abilitato automaticamente per impostazione predefinita su tutti i nuovi volumi per AFF serie A e AFF serie C, ASA e ASA r2. Questa abilitazione automatica predefinita di ARP non si applica a "volumi o configurazioni non supportate".

L'abilitazione predefinita di ARP sui nuovi volumi entra in vigore dopo un grace period di 12 ore a seguito di un aggiornamento o immediatamente per una nuova installazione di ONTAP 9.18.1, a condizione che in entrambi i casi sia installata una licenza ARP. È obbligatorio abilitare ARP manualmente sui volumi esistenti.

Durante il grace period, puoi "disattivare l'abilitazione predefinita per i nuovi volumi a livello di cluster utilizzando System Manager o la ONTAP CLI". Se non effettui l'opt-out, ARP viene automaticamente abilitato per tutti i nuovi volumi creati dopo la fine del grace period. Se le esigenze cambiano dopo il grace period, hai anche la flessibilità di attivare o disattivare l'abilitazione predefinita in qualsiasi momento.

Abilitazione manuale predefinita sui nuovi volumi

Se hai disabilitato l'abilitazione automatica predefinita di ARP a livello di cluster, puoi anche scegliere di "abilitare manualmente ARP per impostazione predefinita su tutti i nuovi volumi" a livello di SVM. Per ONTAP 9.17.1 e versioni precedenti, questo è l'unico modo per configurare ARP in modo che sia abilitato per impostazione predefinita sui nuovi volumi.

Abilitazione ARP su tutti o su specifici volumi esistenti

A partire dalla versione 9.18.1, è possibile abilitare manualmente ARP su tutti i volumi esistenti dal livello di cluster (selezionare Cluster > Security e Icona delle opzioni di menu nella sezione Anti-ransomware, quindi selezionare Abilita su tutti i volumi esistenti).

Se preferisci limitare l'abilitazione ARP a un volume specifico, puoi "abilitare ARP su base per-volume".

Strategia di protezione ransomware di ONTAP

Una protezione efficace contro il ransomware richiede che molti livelli di protezione lavorino insieme.

Mentre ONTAP include funzionalità come FPolicy, snapshot, SnapLock e Active IQ Digital Advisor (noto anche come Digital Advisor) per contribuire alla protezione dal ransomware, ARP fornisce un ulteriore livello di difesa.

Per saperne di più sulle altre funzionalità nel portfolio NetApp che salvaguardano contro il ransomware, vedere:

Cosa rileva ARP

ONTAP ARP è progettato per proteggere dagli attacchi denial-of-service, in cui l'aggressore trattiene i dati fino al pagamento di un riscatto. ARP offre il rilevamento del ransomware in tempo reale basato sui seguenti fattori:

Identificazione dei dati in arrivo come testo crittografato o normale.
Analisi che rilevano:
- Entropia: (utilizzata in NAS e SAN) Una valutazione della casualità dei dati in un file
- Tipi di estensione file: (utilizzato solo in NAS) Un'estensione file che non è conforme ai tipi di estensione previsti
- File IOPS: (utilizzato solo in NAS a partire da ONTAP 9.11.1) Un aumento dell'attività anomala del volume con crittografia dei dati

ARP rileva la diffusione della maggior parte degli attacchi ransomware dopo che è stato crittografato solo un numero limitato di file, risponde automaticamente per proteggere i dati e avvisa l'utente che si sta verificando un sospetto attacco.

Nessun sistema di rilevamento dei ransomware può garantire la sicurezza totale. ARP fornisce un ulteriore livello di difesa nel caso in cui il software antivirus non riesca a rilevare un'intrusione.

Scopri le modalità ARP

Dopo che ARP è abilitato per un volume, questo entra in un periodo di apprendimento per stabilire una linea di base. ARP analizza le metriche del sistema per sviluppare un profilo di avviso prima di passare alla modalità di rilevamento attivo. In modalità attiva, ARP monitora le attività anomale, adottando misure protettive e generando avvisi se rileva un comportamento anomalo.

Per ARP, i comportamenti della modalità di apprendimento e della modalità attiva variano in base alla versione ONTAP , al tipo di volume e al protocollo (NAS o SAN).

Ambienti NAS e tipi di modalità

La tabella seguente riassume le differenze tra ONTAP 9.10.1 e le versioni successive per gli ambienti NAS.

Nelle versioni con il precedente modello ARP, si consiglia un periodo di apprendimento prima di iniziare il monitoraggio attivo. Per ambienti NAS che supportanoARP/IA , non c'è un periodo di apprendimento e il monitoraggio attivo inizia immediatamente.

Modalità Descrizione Tipi e versioni del volume

Apprendimento

Per alcune versioni di ONTAP e alcuni tipi di volume, ARP viene automaticamente impostato sulla modalità di apprendimento quando si abilita ARP. In modalità di apprendimento, il sistema ONTAP sviluppa un profilo di allerta basato sulle aree analitiche: entropia, tipi di estensione dei file e IOPS dei file.

Si consiglia di lasciare ARP in modalità di apprendimento per 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima di 30 giorni. Per le versioni precedenti a ONTAP 9.13.1, è possibile effettuare il passaggio manualmente.

A partire da ONTAP 9.16.1 per i volumi FlexVol , esiste solo la modalità attiva e la modalità di apprendimento viene automaticamente convertita in modalità attiva per tutti i volumi FlexVol aggiornati a questa versione o a una versione successiva.

Per ONTAP dalla versione 9.16.1 alla 9.17.1, i volumi FlexGroup non sono ancora supportati da ARP/AI e continuano a eseguire il vecchio modello ARP. Per questo motivo, per queste versioni con volumi FlexGroup è comunque consigliato un periodo di apprendimento.

A partire da ONTAP 9.18.1, per i volumi FlexVol e FlexGroup esiste solo la modalità attiva. Tutti i volumi aggiornati vengono automaticamente trasferiti in modalità attiva.

"Scopri di più sul passaggio dalla modalità di apprendimento a quella attiva" .

Il comando security anti-ransomware volume workload-behavior show mostra le estensioni di file rilevate nel volume. Se si esegue questo comando nelle prime fasi della modalità di apprendimento e viene visualizzata una rappresentazione accurata dei tipi di file, non utilizzare tali dati come base per passare alla modalità attiva, poiché ONTAP sta ancora raccogliendo altre metriche. Ulteriori informazioni su security anti-ransomware volume workload-behavior show nella "Riferimento al comando ONTAP".

Volumi FlexVol con ONTAP 9.10.1 a 9.15.1
Volumi FlexGroup con ONTAP 9.13.1 a ONTAP 9.17.1

Attivo

In modalità attiva, se un'estensione di file viene contrassegnata come anomala, è necessario valutare l'avviso. È possibile intervenire sull'avviso per proteggere i dati oppure contrassegnarlo come falso positivo. Contrassegnare un avviso come falso positivo aggiorna il profilo dell'avviso. Ad esempio, se l'avviso viene attivato da una nuova estensione di file e lo si contrassegna come falso positivo, non si riceverà alcun avviso la prossima volta che l'estensione del file verrà rilevata.

Tutte le versioni ONTAP supportate e i volumi FlexVol e FlexGroup

Ambienti SAN e tipi di modalità

Gli ambienti SAN utilizzano periodi di valutazione (simili alle modalità di apprendimento negli ambienti NAS) prima di passare automaticamente al rilevamento attivo. La tabella seguente riassume le modalità di valutazione e attiva.

Modalità Descrizione Tipi e versioni del volume

Modalità	Descrizione	Tipi e versioni del volume
Valutazione	Viene eseguito un periodo di valutazione da due a quattro settimane per determinare il comportamento di base della crittografia, mentre ARP/AI fornisce una protezione attiva immediata per i volumi SAN durante il periodo di valutazione. Il rilevamento e gli avvisi possono verificarsi mentre vengono stabilite le soglie di base. È possibile determinare se il periodo di valutazione è completo eseguendo il `security anti-ransomware volume show` comando e controllo `Block device detection status` . "Scopri di più sui volumi SAN e sul periodo di valutazione dell'entropia" .	Volumi FlexVol con ONTAP 9.17.1 e versioni successive
Attivo	Dopo il periodo di valutazione, è possibile determinare se la protezione ARP SAN è attiva eseguendo il comando `security anti-ransomware volume show` e verificando `Block device detection status`. `Active_suitable_workload` Indica che la quantità di entropia valutata può essere monitorata con successo. ARP regola automaticamente la soglia adattiva in base ai dati esaminati durante la valutazione.	Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Valutazione

Viene eseguito un periodo di valutazione da due a quattro settimane per determinare il comportamento di base della crittografia, mentre ARP/AI fornisce una protezione attiva immediata per i volumi SAN durante il periodo di valutazione. Il rilevamento e gli avvisi possono verificarsi mentre vengono stabilite le soglie di base. È possibile determinare se il periodo di valutazione è completo eseguendo il security anti-ransomware volume show comando e controllo Block device detection status .

"Scopri di più sui volumi SAN e sul periodo di valutazione dell'entropia" .

Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Attivo

Dopo il periodo di valutazione, è possibile determinare se la protezione ARP SAN è attiva eseguendo il comando security anti-ransomware volume show e verificando Block device detection status. Active_suitable_workload Indica che la quantità di entropia valutata può essere monitorata con successo. ARP regola automaticamente la soglia adattiva in base ai dati esaminati durante la valutazione.

Volumi FlexVol con ONTAP 9.17.1 e versioni successive

Valutazione delle minacce e istantanee ARP

ARP valuta la probabilità di minaccia in base ai dati in ingresso confrontati con le analisi apprese. Quando ARP rileva un'anomalia, viene assegnata una misurazione. ARP potrebbe assegnare uno Snapshot al momento del rilevamento o a intervalli regolari.

Soglie ARP

Basso: Il primo rilevamento di un'anomalia nel volume (ad esempio, nel volume viene osservata una nuova estensione del file). Questo livello di rilevamento è disponibile solo nelle versioni precedenti a ONTAP 9.16,1 che non dispongono di ARP/ai.
- A partire da ONTAP 9.11.1, è possibile "personalizzare i parametri di rilevamento per ARP" .
- In ONTAP 9.10.1, la soglia per l'escalation a moderate è di 100 o più file.
Moderato: viene rilevata un'entropia elevata o vengono osservati più file con la stessa estensione mai vista prima. Questo è il livello di rilevamento di base in ONTAP 9.16.1 e versioni successive con ARP/AI.

La minaccia passa a moderata dopo che ONTAP esegue un report analitico per determinare se l'anomalia corrisponde a un profilo ransomware. Quando la probabilità di attacco è moderata, ONTAP genera una notifica EMS che richiede di valutare la minaccia. ONTAP non invia avvisi su minacce di basso livello; tuttavia, a partire da ONTAP 9.14.1 è possibile "modificare le impostazioni di avviso predefinite". "Rispondere ad attività anomale" .

È possibile visualizzare informazioni sulle minacce moderate nella sezione Eventi di System Manager o con il security anti-ransomware volume show comando. Gli eventi a basso rischio possono essere visualizzati anche utilizzando il security anti-ransomware volume show comando nelle versioni precedenti a ONTAP 9.16.1 che non dispongono di ARP/ai. Ulteriori informazioni su security anti-ransomware volume show nella "Riferimento al comando ONTAP".

Snapshot ARP

ARP crea un'istantanea quando vengono rilevati i primi segnali di un attacco. Viene quindi condotta un'analisi dettagliata per confermare o respingere il potenziale attacco. Poiché gli snapshot ARP vengono creati in modo proattivo, ancor prima che un attacco sia completamente confermato, potrebbero anche essere generati a intervalli regolari per determinate applicazioni legittime. La presenza di questi snapshot non deve essere considerata un'anomalia. Se un attacco viene confermato, la probabilità di attacco aumenta a Moderate e viene generata una notifica di attacco.

A partire da ONTAP 9.17.1, gli snapshot ARP vengono generati a intervalli regolari sia per i volumi NAS che SAN, nonché in risposta ad anomalie rilevate. ONTAP antepone un nome allo snapshot ARP per renderlo facilmente identificabile.

A partire da ONTAP 9.11.1, è possibile modificare le impostazioni di conservazione. Per ulteriori informazioni, consultare "Modificare le opzioni per le istantanee" .

La tabella seguente riassume le differenze degli snapshot ARP in base alla versione.

Funzione	ONTAP 9.17.1 e versioni successive	ONTAP 9.16.1 e precedenti
Trigger di creazione	Gli snapshot vengono creati a intervalli fissi di 4 ore, indipendentemente da qualsiasi trigger specifico Conferma di un attacco In base al tipo di trigger viene creato uno snapshot "periodico" o "di attacco".	Viene rilevata un'elevata entropia È stata rilevata una nuova estensione di file (9.15.1 e precedenti) È stato rilevato un aumento delle operazioni sui file (9.15.1 e precedenti) L'intervallo di creazione degli snapshot si basa sul tipo di trigger.
Convenzione sui nomi anteposti	"Backup periodico anti-ransomware" "Backup anti-attacco anti-ransomware"	"Backup anti-ransomware"
Comportamento di eliminazione	Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore	Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore
Numero massimo di snapshot	"Limite configurabile di sei snapshot"	"Limite configurabile di sei snapshot"
Periodo di conservazione	Normalmente gli snapshot vengono conservati per 12 ore. Volumi NAS: se un attacco viene confermato dall'analisi dei file, gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto). Archivi dati di volumi SAN o VM: se un attacco viene confermato dall'analisi dell'entropia dei blocchi, gli snapshot creati prima dell'attacco vengono conservati per 10 giorni (configurabile).	Determinato in base alle condizioni di attivazione (non fisso) Gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).
Azione chiaramente sospetta	Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma: 24 ore per la conservazione dei falsi positivi 7 giorni per la conservazione dei veri positivi	Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma: 24 ore per la conservazione dei falsi positivi 7 giorni per la conservazione dei veri positivi Questo comportamento di conservazione precauzionale non esisteva prima di ONTAP 9.16.1
Tempo di scadenza	Per tutti gli snapshot è impostato un tempo di scadenza	Nessuno

Funzione

ONTAP 9.17.1 e versioni successive

ONTAP 9.16.1 e precedenti

Trigger di creazione

Gli snapshot vengono creati a intervalli fissi di 4 ore, indipendentemente da qualsiasi trigger specifico
Conferma di un attacco

In base al tipo di trigger viene creato uno snapshot "periodico" o "di attacco".

Viene rilevata un'elevata entropia
È stata rilevata una nuova estensione di file (9.15.1 e precedenti)
È stato rilevato un aumento delle operazioni sui file (9.15.1 e precedenti)

L'intervallo di creazione degli snapshot si basa sul tipo di trigger.

Convenzione sui nomi anteposti

"Backup periodico anti-ransomware" "Backup anti-attacco anti-ransomware"

"Backup anti-ransomware"

Comportamento di eliminazione

Lo snapshot ARP è bloccato e non può essere eliminato dall'amministratore

Numero massimo di snapshot

"Limite configurabile di sei snapshot"

Periodo di conservazione

Normalmente gli snapshot vengono conservati per 12 ore.

Volumi NAS: se un attacco viene confermato dall'analisi dei file, gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).
Archivi dati di volumi SAN o VM: se un attacco viene confermato dall'analisi dell'entropia dei blocchi, gli snapshot creati prima dell'attacco vengono conservati per 10 giorni (configurabile).

Determinato in base alle condizioni di attivazione (non fisso)
Gli snapshot creati prima dell'attacco vengono conservati finché l'amministratore non contrassegna l'attacco come vero o falso positivo (chiaro-sospetto).

Azione chiaramente sospetta

Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma:

24 ore per la conservazione dei falsi positivi
7 giorni per la conservazione dei veri positivi

Gli amministratori possono eseguire un'azione di cancellazione del sospetto che imposta la conservazione in base alla conferma:

24 ore per la conservazione dei falsi positivi
7 giorni per la conservazione dei veri positivi

Questo comportamento di conservazione precauzionale non esisteva prima di ONTAP 9.16.1

Tempo di scadenza

Per tutti gli snapshot è impostato un tempo di scadenza

Nessuno

Come ripristinare i dati in ONTAP dopo un attacco ransomware

ARP si basa sulla comprovata tecnologia ONTAP di protezione dei dati e disaster recovery per rispondere agli attacchi ransomware. ARP crea snapshot bloccati quando vengono rilevati i primi segnali di un attacco. È necessario innanzitutto verificare se l'attacco è reale o un falso positivo. Se l'attacco viene confermato, il volume può essere ripristinato utilizzando lo snapshot ARP.

Gli snapshot bloccati non possono essere eliminati con i normali metodi. Tuttavia, se in seguito si decide di contrassegnare l'attacco come falso positivo, ONTAP elimina la copia bloccata.

È possibile recuperare i file interessati da snapshot selezionati anziché ripristinare l'intero volume.

Per ulteriori informazioni su come rispondere a un attacco e recuperare i dati, consultare i seguenti argomenti:

Protezione di verifica multi-admin per ARP

A partire da ONTAP 9.13.1, si consiglia di abilitare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione della protezione autonoma dal ransomware (ARP). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".

Protezione autonoma dal ransomware con intelligenza artificiale (ARP/ai)

A partire da ONTAP 9.16.1, ARP migliora la resilienza informatica adottando un modello di apprendimento automatico per l'analisi anti-ransomware che rileva forme di ransomware in continua evoluzione con una precisione del 99% negli ambienti NAS. Il modello di apprendimento automatico di ARP è pre-addestrato su un ampio set di dati di file sia prima che dopo un attacco ransomware simulato. Questa formazione, che richiede molte risorse, viene eseguita esternamente a ONTAP utilizzando set di dati di ricerca forense open source per addestrare il modello. I dati dei clienti non vengono utilizzati durante l'intera pipeline di modellazione e non sussistono problemi di privacy. Il modello pre-addestrato risultante da questa formazione è incluso nella confezione di ONTAP. Questo modello non è accessibile né modificabile tramite l'interfaccia a riga ONTAP comando o l'API ONTAP .

Transizione immediata alla protezione attiva per ARP/AI

Con ARP/AI, non c'èperiodo di apprendimento . ARP/AI è attivo immediatamente dopo l'installazione o l'aggiornamento per i seguenti tipi di volume supportati:

Volumi NAS FlexVol con ONTAP 9.16.1 e versioni successive
Volumi NAS FlexGroup con ONTAP 9.18.1 e versioni successive
Volumi SAN con ONTAP 9.17.1 e versioni successive (attivi immediatamente, anche durante la"periodo di valutazione" )

Per i volumi nuovi ed esistenti con funzionalità ARP già abilitata, la protezione ARP/AI sarà attivata automaticamente dopo l'aggiornamento del cluster a una versione ONTAP supportata da ARP/AI.

Aggiornamenti automatici ARP/ai

Per mantenere una protezione aggiornata contro le ultime minacce ransomware, ARP/AI offre frequenti aggiornamenti automatici che si verificano al di fuori delle normali cadenze di aggiornamento e rilascio ONTAP . Se hai "aggiornamenti automatici abilitati" Potrai quindi iniziare a ricevere aggiornamenti di sicurezza automatici per ARP/AI dopo aver selezionato gli aggiornamenti automatici per i file di sicurezza. Puoi anche scegliere di "effettuare manualmente questi aggiornamenti" e controllare quando vengono effettuati gli aggiornamenti.

A partire da ONTAP 9.16,1, gli aggiornamenti per la protezione per ARP/ai sono disponibili tramite Gestione sistema oltre agli aggiornamenti del sistema e del firmware.

"Ulteriori informazioni sugli aggiornamenti ARP/ai"

Differenze tra ARP/AI e i modelli ARP in sintesi

Funzione	ARP	ARP/IA
Versioni ONTAP	ONTAP 9.10.1-9.15.1	ONTAP 9.16.1 e versioni successive; 9.15.1 (tech preview)
Metodo di rilevamento	Analizza l'attività dei file, l'entropia dei dati e i tipi di estensione dei file	Modello di intelligenza artificiale/apprendimento automatico addestrato su grandi set di dati forensi; analizza l'entropia e il comportamento dei file
Periodo di apprendimento	Richiede la modalità di apprendimento di 30 giorni per i volumi NAS FlexVol (commutazione automatica disponibile in 9.13.1 e versioni successive)	Nessun periodo di apprendimento; attivo immediatamente dopo l'abilitazione
Supporto del tipo di volume	FlexVol: 9.10.1 e versioni successive FlexGroup: 9.13.1 e versioni successive SAN: Non supportato	FlexVol: 9.16.1 e versioni successive FlexGroup: 9.18.1 e versioni successive SAN: 9.17.1 e versioni successive (con evaluation period)
Creazione di Snapshot	Attivato da elevata entropia, nuove estensioni di file o picchi di operazioni sui file	Creato a intervalli fissi di 4 ore e alla conferma dell'attacco
Conservazione degli snapshot	Conservato finché l'amministratore non cancella l'attività sospetta	Predefinito a 12 ore; esteso in base alla conferma dell'attacco (24 ore per falso positivo, 7 giorni per positivo confermato)
Aggiornamenti	Logica di rilevamento statico (aggiornata solo con gli aggiornamenti ONTAP)	Aggiornamenti di sicurezza automatici indipendenti dalle release ONTAP
Distribuzione	Abilitazione manuale per volume o impostazione predefinita a livello SVM	Abilitazione manuale per volume o impostazione predefinita a livello SVM; abilitazione predefinita su tutti i nuovi volumi a livello di cluster per i sistemi supportati in 9.18.1 e versioni successive
Periodo di valutazione	Non applicabile	Necessario per i volumi SAN (2-4 settimane) per stabilire le soglie di crittografia di base

Funzione

ARP

ARP/IA

Versioni ONTAP

ONTAP 9.10.1-9.15.1

ONTAP 9.16.1 e versioni successive; 9.15.1 (tech preview)

Metodo di rilevamento

Analizza l'attività dei file, l'entropia dei dati e i tipi di estensione dei file

Modello di intelligenza artificiale/apprendimento automatico addestrato su grandi set di dati forensi; analizza l'entropia e il comportamento dei file

Periodo di apprendimento

Richiede la modalità di apprendimento di 30 giorni per i volumi NAS FlexVol (commutazione automatica disponibile in 9.13.1 e versioni successive)

Nessun periodo di apprendimento; attivo immediatamente dopo l'abilitazione

Supporto del tipo di volume

FlexVol: 9.10.1 e versioni successive
FlexGroup: 9.13.1 e versioni successive
SAN: Non supportato

FlexVol: 9.16.1 e versioni successive
FlexGroup: 9.18.1 e versioni successive
SAN: 9.17.1 e versioni successive (con evaluation period)

Creazione di Snapshot

Attivato da elevata entropia, nuove estensioni di file o picchi di operazioni sui file

Creato a intervalli fissi di 4 ore e alla conferma dell'attacco

Conservazione degli snapshot

Conservato finché l'amministratore non cancella l'attività sospetta

Predefinito a 12 ore; esteso in base alla conferma dell'attacco (24 ore per falso positivo, 7 giorni per positivo confermato)

Aggiornamenti

Logica di rilevamento statico (aggiornata solo con gli aggiornamenti ONTAP)

Aggiornamenti di sicurezza automatici indipendenti dalle release ONTAP

Distribuzione

Abilitazione manuale per volume o impostazione predefinita a livello SVM

Abilitazione manuale per volume o impostazione predefinita a livello SVM; abilitazione predefinita su tutti i nuovi volumi a livello di cluster per i sistemi supportati in 9.18.1 e versioni successive

Periodo di valutazione

Non applicabile

Necessario per i volumi SAN (2-4 settimane) per stabilire le soglie di crittografia di base

Informazioni correlate

"Riferimento al comando ONTAP"