Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Abilita la protezione autonoma da ransomware ONTAP

Collaboratori netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

A partire da ONTAP 9.10,1, puoi abilitare la protezione autonoma dal ransomware (ARP) su un volume esistente oppure creare un nuovo volume e abilitare l'ARP dall'inizio.

Se vuoi configurare il tuo cluster ONTAP in modo che tutti i nuovi volumi siano abilitati per impostazione predefinita per la protezione autonoma da ransomware (ARP), vedi questo "Procedura ARP correlata".

A proposito di questa attività

  • *(Solo ambienti NAS) Per ONTAP 9.10.1 a 9.15.1 o ARP con volumi FlexGroup * Per queste versioni di ONTAP, è sempre necessario abilitare inizialmente ARP in "modalità di apprendimento" (o stato di "test"). Quando si attiva ARP per la prima volta in modalità di apprendimento, il sistema analizza il carico di lavoro per caratterizzare il comportamento normale. L' avvio in modalità attiva può portare a un numero eccessivo di segnalazioni di falsi positivi.

    Si consiglia di lasciare ARP in modalità di apprendimento per almeno 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima dei 30 giorni.

  • *(Solo per ambienti NAS) Per ONTAP 9.16.1 e versioni successive con volumi FlexVol * Quando si abilita ARP tramite System Manager o la CLI, la protezione ARP/AI viene abilitata e attivata immediatamente. Non è richiesto alcun periodo di apprendimento.

  • *(Solo ambienti SAN) Per ONTAP 9.17.1 e versioni successive con volumi FlexVol * Quando si abilita ARP tramite System Manager o la CLI, la funzionalità ARP/AI viene abilitata automaticamente. Una volta abilitata su un volume SAN, "ARP/AI monitora i dati in modo continuo durante un periodo di valutazione" per determinare se i carichi di lavoro sono adatti per ARP e imposta una soglia di crittografia ottimale per il rilevamento.

Prima di iniziare

  • È necessario disporre di una VM di archiviazione (SVM) con protocolli abilitati:

    • NAS: NFS o SMB (o entrambi)

    • SAN: iSCSI, FC o NVMe

  • IL "licenza corretta" deve essere installato per la tua versione ONTAP .

  • È necessario disporre di un carico di lavoro NAS o SAN con client configurati.

  • (Solo ambienti NAS) Il volume su cui si desidera impostare ARP deve avere un'impostazione attiva "percorso di giunzione" .

  • Il volume deve essere pieno al di sotto del 100%.

  • Si consiglia di configurare il sistema EMS per l'invio di notifiche e-mail, che includano avvisi relativi all'attività ARP. Per ulteriori informazioni, vedere "Configurare gli eventi EMS per l'invio di notifiche e-mail".

  • A partire da ONTAP 9.13.1, si consiglia di abilitare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione della protezione autonoma dal ransomware (ARP). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".

Attiva ARP su un volume nuovo o esistente

È possibile attivare ARP utilizzando Gestione di sistema o l'interfaccia CLI di ONTAP.

System Manager
Fasi

  1. Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.

  2. Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.

    • (Solo ambienti NAS) Se si utilizza ARP con ONTAP 9.15.1 o versione precedente oppure ONTAP 9.16.1 con volumi FlexGroup , selezionare Abilitato in modalità di apprendimento nella casella Anti-ransomware.

      Nota A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch. È possibile "Disattivare questa impostazione sulla VM di storage associata"controllare manualmente la modalità di apprendimento in modalità attiva.
    Nota Nei volumi esistenti, l'apprendimento e le modalità attive si applicano solo ai dati scritti di recente, non ai dati già esistenti nel volume. I dati esistenti non vengono sottoposti a scansione e analizzati, poiché le caratteristiche del traffico dati normale precedente vengono assunte in base ai nuovi dati dopo che il volume è stato abilitato per ARP.

  3. È possibile verificare lo stato ARP del volume nella casella Anti-ransomware.

    Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.

CLI

La procedura per abilitare ARP con la CLI è diversa a seconda che lo si abiliti su un volume esistente o su un nuovo volume.

Attivare ARP su un volume esistente

  1. Modifica un volume esistente per abilitare la protezione ransomware:

    • Per ambienti NAS senza ARP/AI o per volumi FlexGroup , utilizzare dry-run stato in modo che i nuovi volumi vengano avviati in modalità di apprendimento.

    • Per gli ambienti NAS che eseguono ONTAP 9.16.1 o versione successiva o ambienti SAN con ONTAP 9.17.1, utilizzare enabled stato.

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      Ulteriori informazioni su security anti-ransomware volume dry-run nella "Riferimento al comando ONTAP".

  2. Se hai aggiornato un ambiente NAS a ONTAP 9.13.1 tramite ONTAP 9.15.1 e lo stato predefinito è dry-run (modalità di apprendimento), l'apprendimento adattivo è abilitato in modo che il cambiamento in enabled Lo stato (modalità attiva) viene eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Verificare lo stato ARP del volume.

    security anti-ransomware volume show
Abilitare ARP su un nuovo volume

  1. Creare un nuovo volume con ARP attivato prima di eseguire il provisioning dei dati:

    • Per ambienti NAS senza ARP/AI o per volumi FlexGroup , utilizzare dry-run stato in modo che i nuovi volumi vengano avviati in modalità di apprendimento.

    • Per gli ambienti NAS che eseguono ONTAP 9.16.1 o versione successiva o ambienti SAN con ONTAP 9.17.1, utilizzare enabled stato.

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. Se hai aggiornato un ambiente NAS a ONTAP 9.13.1 tramite ONTAP 9.15.1 e lo stato predefinito è dry-run (modalità di apprendimento), l'apprendimento adattivo è abilitato in modo che il cambiamento in enabled Lo stato (modalità attiva) viene eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. Verificare che il volume sia impostato enabled sullo stato.

    security anti-ransomware volume show

    Ulteriori informazioni su security anti-ransomware volume show nella "Riferimento al comando ONTAP".

Informazioni correlate