Abilita la protezione autonoma da ransomware ONTAP
Suggerisci modifiche
PDF
A partire da ONTAP 9.10,1, puoi abilitare la protezione autonoma dal ransomware (ARP) su un volume esistente oppure creare un nuovo volume e abilitare l'ARP dall'inizio.
Se vuoi configurare il tuo cluster ONTAP in modo che tutti i nuovi volumi siano abilitati per impostazione predefinita per la protezione autonoma da ransomware (ARP), vedi questo "Procedura ARP correlata".
-
Per ONTAP 9.10,1 a 9.15.1 e ARP con FlexGroup Volumes per queste versioni di ONTAP, dovresti sempre abilitare ARP inizialmente in "modalità di apprendimento"modalità (o "dry-run"). Quando si attiva per la prima volta l'ARP in modalità di apprendimento, il sistema analizza il carico di lavoro per caratterizzare il comportamento normale. L'avvio in modalità attiva può causare un numero eccessivo di falsi positivi.
Si consiglia di far funzionare ARP in modalità di apprendimento per un minimo di 30 giorni. A partire da ONTAP 9.13,1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch, che potrebbe verificarsi prima di 30 giorni.
-
Per ONTAP 9.16.1 e versioni successive con FlexVol Volumes quando si attiva ARP, la protezione ARP/ai è attivata e attiva immediatamente. Non è richiesto alcun periodo di apprendimento.
-
Devi avere una macchina virtuale per lo storage (SVM) abilitata per NFS o SMB (o entrambi).
-
licenza correttaDeve essere installato per la versione di ONTAP in uso.
-
È necessario disporre di un carico di lavoro NAS con i client configurati.
-
Il volume che si desidera impostare ARP deve essere protetto e avere un attivo "percorso di giunzione".
-
Il volume deve essere pieno al di sotto del 100%.
-
Si consiglia di configurare il sistema EMS per l'invio di notifiche e-mail, che includano avvisi relativi all'attività ARP. Per ulteriori informazioni, vedere "Configurare gli eventi EMS per l'invio di notifiche e-mail".
-
A partire da ONTAP 9.13.1, si consiglia di abilitare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione della protezione autonoma dal ransomware (ARP). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".
Attiva ARP su un volume nuovo o esistente
È possibile attivare ARP utilizzando Gestione di sistema o l'interfaccia CLI di ONTAP.
-
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Se si utilizza ARP con ONTAP 9.15,1 o versioni precedenti o ONTAP 9.16,1 con FlexGroup Volumes, selezionare Enabled in learning-mode nella casella Anti-ransomware.
A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch. È possibile "Disattivare questa impostazione sulla VM di storage associata"controllare manualmente la modalità di apprendimento in modalità attiva.
Nei volumi esistenti, l'apprendimento e le modalità attive si applicano solo ai dati scritti di recente, non ai dati già esistenti nel volume. I dati esistenti non vengono sottoposti a scansione e analizzati, poiché le caratteristiche del traffico dati normale precedente vengono assunte in base ai nuovi dati dopo che il volume è stato abilitato per ARP. -
Se si utilizza ARP su volumi FlexVol con ONTAP 9.16.1 o versione successiva, la funzionalità ARP/ai è attivata e attiva immediatamente. Non è richiesto alcun periodo di apprendimento.
-
-
È possibile verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Il processo di abilitazione dell'ARP con la CLI differisce se lo si attiva su un volume esistente rispetto a un nuovo volume.
-
Modifica un volume esistente per abilitare la protezione ransomware:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Per ONTAP 9.15.1 e versioni precedenti e FlexGroup Volumes, nuovi volumi iniziano in modalità di apprendimento. Per ONTAP 9.16.1 e versioni successive con FlexVol Volumes, ARP/ai viene attivato immediatamente. In entrambi i casi, utilizzare
dry-runcome valore. -
Se è stato eseguito l'aggiornamento a ONTAP 9.13.1 tramite ONTAP 9.15.1 e lo stato predefinito è
dry-run, l'apprendimento adattivo viene attivato in modo che il passaggio alloactivestato venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Verificare lo stato ARP del volume.
security anti-ransomware volume show
-
Creare un nuovo volume con ARP attivato prima di eseguire il provisioning dei dati:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Per ONTAP 9.15.1 e versioni precedenti e FlexGroup Volumes, nuovi volumi iniziano in modalità di apprendimento. Per ONTAP 9.16.1 e versioni successive con FlexVol Volumes, ARP/ai viene attivato immediatamente. In entrambi i casi, utilizzare
dry-runcome valore. -
Se è stato eseguito l'aggiornamento a ONTAP 9.13.1 tramite ONTAP 9.15.1 e lo stato predefinito è
dry-run, l'apprendimento adattivo viene attivato in modo che il passaggio alloactivestato venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false -
Verificare che il volume sia impostato
enabledsullo stato.security anti-ransomware volume show