Attiva la protezione ransomware autonoma
A partire da ONTAP 9.10,1, puoi abilitare la protezione autonoma dal ransomware (ARP) su un volume esistente oppure creare un nuovo volume e abilitare l'ARP dall'inizio.
Se vuoi configurare il tuo cluster ONTAP in modo che tutti i nuovi volumi siano abilitati per impostazione predefinita per la protezione autonoma da ransomware (ARP), vedi questo "Procedura ARP correlata".
-
Per ONTAP 9.10,1 a 9.15.1 e ARP con FlexGroup Volumes per queste versioni di ONTAP, dovresti sempre abilitare ARP inizialmente in "modalità di apprendimento"modalità (o "dry-run"). Quando si attiva per la prima volta l'ARP in modalità di apprendimento, il sistema analizza il carico di lavoro per caratterizzare il comportamento normale. L'avvio in modalità attiva può causare un numero eccessivo di falsi positivi.
Si consiglia di far funzionare ARP in modalità di apprendimento per un minimo di 30 giorni. A partire da ONTAP 9.13,1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch, che potrebbe verificarsi prima di 30 giorni.
-
Per ONTAP 9.16,1 e versioni successive con FlexVol Volumes quando si attiva ARP, la protezione ARP/ai inizia immediatamente in modalità attiva. Non è richiesto alcun periodo di apprendimento.
Nei volumi esistenti, l'apprendimento e le modalità attive si applicano solo ai dati scritti di recente, non ai dati già esistenti nel volume. I dati esistenti non vengono sottoposti a scansione e analizzati, poiché le caratteristiche del traffico dati normale precedente vengono assunte in base ai nuovi dati dopo che il volume è stato abilitato per ARP. |
-
Devi avere una macchina virtuale per lo storage (SVM) abilitata per NFS o SMB (o entrambi).
-
licenza correttaDeve essere installato per la versione di ONTAP in uso.
-
È necessario disporre di un carico di lavoro NAS con i client configurati.
-
Il volume che si desidera impostare ARP deve essere protetto e avere un attivo "percorso di giunzione".
-
Il volume deve essere pieno al di sotto del 100%.
-
Si consiglia di configurare il sistema EMS per l'invio di notifiche e-mail, che includano avvisi relativi all'attività ARP. Per ulteriori informazioni, vedere "Configurare gli eventi EMS per l'invio di notifiche e-mail".
-
A partire da ONTAP 9.13.1, si consiglia di attivare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione ARP (Autonomous ransomware Protection). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".
Attiva ARP su un volume nuovo o esistente
È possibile attivare ARP utilizzando Gestione di sistema o l'interfaccia CLI di ONTAP.
-
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Se si utilizza ARP con ONTAP 9.15,1 o versioni precedenti o ONTAP 9.16,1 con FlexGroup Volumes, selezionare Enabled in learning-mode nella casella Anti-ransomware.
A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch. È possibile "Disattivare questa impostazione sulla VM di storage associata"controllare manualmente la modalità di apprendimento in modalità attiva. -
Se si utilizza ARP su volumi FlexVol con ONTAP 9.16,1 o versioni successive, la funzionalità ARP/ai non richiede un periodo di apprendimento e la modalità attiva è selezionata per impostazione predefinita.
-
-
È possibile verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Il processo di abilitazione dell'ARP con la CLI differisce se lo si attiva su un volume esistente rispetto a un nuovo volume.
-
Modifica un volume esistente per abilitare la protezione ransomware:
-
Per ONTAP 9.15,1 e versioni precedenti e ARP con volumi FlexGroup, impostare lo stato del volume su
dry-run
(modalità di apprendimento):security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>
-
Per ONTAP 9.16,1 e versioni successive con ARP/ai e volumi FlexVol, impostare lo stato del volume su
active
(modalità attiva):security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>
-
-
Se è stato eseguito l'aggiornamento a ONTAP 9.13,1 o versione successiva e lo stato predefinito ARP è
dry-run
, l'apprendimento adattivo viene attivato in modo che il passaggio allo stato attivo venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Verificare lo stato ARP del volume.
security anti-ransomware volume show
-
Creare un nuovo volume con ARP attivato prima di eseguire il provisioning dei dati:
-
Per ONTAP 9.15,1 e versioni precedenti e ARP con volumi FlexGroup, impostare lo stato su
dry-run
(modalità di apprendimento):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>
-
Per ONTAP 9.16,1 e versioni successive con ARP/ai e volumi FlexVol, impostare lo stato su
active
(modalità attiva):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>
-
-
Se è stato eseguito l'aggiornamento a ONTAP 9.13,1 o versione successiva e lo stato predefinito ARP è
dry-run
, l'apprendimento adattivo viene attivato in modo che il passaggio allo stato attivo venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Verificare lo stato ARP del volume.
security anti-ransomware volume show