Abilita la protezione autonoma da ransomware ONTAP
Suggerisci modifiche
PDF
A partire da ONTAP 9.10,1, puoi abilitare la protezione autonoma dal ransomware (ARP) su un volume esistente oppure creare un nuovo volume e abilitare l'ARP dall'inizio.
Se vuoi configurare il tuo cluster ONTAP in modo che tutti i nuovi volumi siano abilitati per impostazione predefinita per la protezione autonoma da ransomware (ARP), vedi questo "Procedura ARP correlata".
Per abilitare ARP, seguire la procedura corrispondente al proprio ambiente dopoti assicuri che il tuo ambiente soddisfi determinati requisiti :
Dopo aver abilitato ARP, ARP potrebbe entrare in un periodo di transizione a seconda dell'ambiente e della versione ONTAP :
| Tipo di volume | Versione di ONTAP | Comportamento dopo l'abilitazione |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1 e versioni successive |
ARP/AI è attivo immediatamente senza periodo di apprendimento |
ONTAP 9.13.1 a 9.17.1 |
ARP inizia in modalità di apprendimento per 30 giorni |
|
NAS FlexVol |
ONTAP 9.16.1 e versioni successive |
ARP/AI è attivo immediatamente senza periodo di apprendimento |
ONTAP 9.10.1 a 9.15.1 |
ARP inizia in modalità di apprendimento per 30 giorni |
|
Volumi SAN |
ONTAP 9.17.1 e versioni successive |
ARP/AI si attiva immediatamente, avviando un periodo di valutazione per stabilire una soglia di allerta adeguata prima di passare da una soglia conservativa iniziale. |
Prima di abilitare ARP, assicurati che il tuo ambiente abbia quanto segue:
-
Una VM di archiviazione (SVM) con protocollo NFS o SMB (o entrambi) abilitato.
-
Carico di lavoro NAS con client configurati.
-
Un attivo"percorso di giunzione" per il volume.
-
Una VM di archiviazione (SVM) con protocollo iSCSI, FC o NVMe abilitato.
-
Carico di lavoro SAN con client configurati.
-
IL"licenza corretta" per la tua versione ONTAP .
-
(Consigliato) Verifica multi-amministratore (MAV) abilitata (ONTAP 9.13.1 e versioni successive). Vedere"Attiva la verifica multi-admin" .
Abilita ARP sui volumi NAS FlexVol
È possibile abilitare ARP sui volumi NAS FlexVol utilizzando System Manager o ONTAP CLI. La procedura varia in base alla versione ONTAP .
A partire da ONTAP 9.16.1, ARP/AI è attivo immediatamente, senza alcun periodo di apprendimento richiesto.
-
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Abilita ARP su un volume esistente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crea un nuovo volume con ARP abilitato:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verifica lo stato ARP:
security anti-ransomware volume showUlteriori informazioni su security anti-ransomware volume show nella "Riferimento al comando ONTAP".
Per ONTAP 9.10.1 a 9.15.1, dovresti abilitare inizialmente ARP in"modalità di apprendimento" (o stato di "prova a secco"). Il sistema analizza il carico di lavoro per caratterizzare il comportamento normale. avvio in modalità attiva può portare a un numero eccessivo di segnalazioni di falsi positivi.
Si consiglia di lasciare ARP in modalità di apprendimento per almeno 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima dei 30 giorni.
-
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Selezionare Abilitato in modalità di apprendimento nella casella Anti-ransomware.
Puoi"disabilitare l'apprendimento automatico delle transizioni di modalità attive sulla VM di archiviazione associata" se si desidera controllare manualmente la transizione dalla modalità di apprendimento a quella attiva.
Nei volumi esistenti, l'apprendimento e le modalità attive si applicano solo ai dati scritti di recente, non ai dati già esistenti nel volume. I dati esistenti non vengono sottoposti a scansione e analizzati, poiché le caratteristiche del traffico dati normale precedente vengono assunte in base ai nuovi dati dopo che il volume è stato abilitato per ARP. -
Verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Abilita ARP su un volume esistente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Ulteriori informazioni su security anti-ransomware volume dry-run nella "Riferimento al comando ONTAP".
Crea un nuovo volume con ARP abilitato:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Disattiva la commutazione automatica (facoltativo):
Se hai eseguito l'aggiornamento da ONTAP 9.13.1 a ONTAP 9.15.1 e vuoi controllare manualmente il passaggio dalla modalità di apprendimento a quella attiva per tutti i volumi associati, puoi farlo dall'SVM:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerifica lo stato ARP:
security anti-ransomware volume showAbilita ARP sui volumi NAS FlexGroup
È possibile abilitare ARP sui volumi NAS FlexGroup utilizzando System Manager o ONTAP CLI. La procedura varia in base alla versione ONTAP .
A partire da ONTAP 9.18.1, ARP/AI è attivo immediatamente per i volumi FlexGroup , senza alcun periodo di apprendimento richiesto.
-
Selezionare Archiviazione > Volumi, quindi selezionare il volume FlexGroup che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Abilita ARP su un volume FlexGroup esistente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crea un nuovo volume FlexGroup con ARP abilitato:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verifica lo stato ARP:
security anti-ransomware volume showPer ONTAP 9.13.1 a 9.17.1, i volumi FlexGroup iniziano in"modalità di apprendimento" . Il sistema analizza il carico di lavoro per caratterizzare il comportamento normale.
Si consiglia di lasciare ARP in modalità di apprendimento per almeno 30 giorni. ARP determina automaticamente l'intervallo di apprendimento ottimale e automatizza il passaggio, che potrebbe avvenire prima di 30 giorni.
-
Selezionare Archiviazione > Volumi, quindi selezionare il volume FlexGroup che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
Selezionare Abilitato in modalità di apprendimento nella casella Anti-ransomware.
Puoi"disabilitare l'apprendimento automatico delle transizioni in modalità attiva" se si desidera controllare manualmente la transizione dalla modalità di apprendimento a quella attiva. -
Verificare lo stato ARP del volume nella casella Anti-ransomware.
Abilita ARP su un volume FlexGroup esistente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Crea un nuovo volume FlexGroup con ARP abilitato:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Disattiva la commutazione automatica (facoltativo):
Se si desidera controllare manualmente il passaggio dalla modalità di apprendimento a quella attiva:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerifica lo stato ARP:
security anti-ransomware volume showAbilita ARP sui volumi SAN
A partire da ONTAP 9.17.1, è possibile abilitare ARP sui volumi SAN. La funzionalità ARP/AI viene abilitata automaticamente e inizia immediatamente a monitorare e proteggere attivamente i volumi SAN durante"periodo di valutazione" determinando contemporaneamente se i carichi di lavoro sono adatti per ARP e impostando una soglia di crittografia ottimale per il rilevamento.
È possibile abilitare ARP sui volumi SAN utilizzando System Manager o ONTAP CLI.
-
Selezionare Archiviazione > Volumi, quindi selezionare il volume SAN che si desidera proteggere.
-
Nella scheda sicurezza della panoramica volumi, selezionare Stato per passare da Disabilitato a abilitato.
-
ARP/AI entra automaticamente nel periodo di valutazione.
-
Verificare lo stato ARP e lo stato di valutazione nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro volumi, seleziona Mostra/Nascondi, quindi assicurati che lo stato Anti-ransomware sia selezionato.
Abilita ARP su un volume SAN esistente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crea un nuovo volume SAN con ARP abilitato:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledVerificare lo stato ARP e lo stato di valutazione:
security anti-ransomware volume showControlla il Block device detection status campo per monitorare l'avanzamento del periodo di valutazione.
Ulteriori informazioni su security anti-ransomware volume show nella "Riferimento al comando ONTAP".