Attiva la protezione ransomware autonoma
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.10.1, è possibile attivare la protezione ransomware autonoma (ARP) su volumi nuovi o esistenti. Per prima cosa, si attiva ARP in modalità di apprendimento, in cui il sistema analizza il carico di lavoro per caratterizzare il comportamento normale. È possibile attivare ARP su un volume esistente oppure creare un nuovo volume e attivare ARP dall'inizio.
Si dovrebbe sempre abilitare ARP inizialmente in modalità di apprendimento (o dry-run). L'avvio in modalità attiva può causare un numero eccessivo di falsi positivi.
Si consiglia di far funzionare ARP in modalità di apprendimento per un minimo di 30 giorni. A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch, che può verificarsi prima di 30 giorni. Per ulteriori informazioni, vedere "Modalità di apprendimento e attive".
Nei volumi esistenti, l'apprendimento e le modalità attive si applicano solo ai dati scritti di recente, non ai dati già esistenti nel volume. I dati esistenti non vengono sottoposti a scansione e analizzati, poiché le caratteristiche del traffico dati normale precedente vengono assunte in base ai nuovi dati dopo che il volume è stato abilitato per ARP. |
-
Devi avere una macchina virtuale per lo storage (SVM) abilitata per NFS o SMB (o entrambi).
-
Il licenza corretta Deve essere installato per la versione di ONTAP in uso.
-
È necessario disporre di un carico di lavoro NAS con i client configurati.
-
Il volume che si desidera impostare ARP deve essere protetto e deve avere un attivo "percorso di giunzione".
-
Il volume deve essere pieno al di sotto del 100%.
-
Si consiglia di configurare il sistema EMS per l'invio di notifiche e-mail, che includano avvisi relativi all'attività ARP. Per ulteriori informazioni, vedere "Configurare gli eventi EMS per l'invio di notifiche e-mail".
-
A partire da ONTAP 9.13.1, si consiglia di attivare la verifica multi-admin (MAV) in modo che siano necessari due o più amministratori utente autenticati per la configurazione ARP (Autonomous ransomware Protection). Per ulteriori informazioni, vedere "Attiva la verifica multi-admin".
Enable ARP (attiva ARP)
È possibile attivare ARP utilizzando Gestione di sistema o l'interfaccia CLI di ONTAP.
-
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume che si desidera proteggere.
-
Nella scheda Security della panoramica Volumes, selezionare Status per passare da Disabled (Disattivato) a Enabled (attivato) in Learning-mode (modalità apprendimento) nella casella Anti-ransomware.
-
Al termine del periodo di apprendimento, impostare ARP in modalità attiva.
A partire da ONTAP 9.13.1, ARP determina automaticamente l'intervallo ottimale del periodo di apprendimento e automatizza lo switch. È possibile "Disattivare questa impostazione sulla VM di storage associata" se si desidera controllare manualmente la modalità di apprendimento in modalità attiva, passare alla modalità attiva. -
Selezionare Storage > Volumes (archiviazione > volumi), quindi selezionare il volume pronto per la modalità attiva.
-
Nella scheda Security della panoramica Volumes, selezionare Switch to Active mode nella casella Anti-ransomware.
-
-
È possibile verificare lo stato ARP del volume nella casella Anti-ransomware.
Per visualizzare lo stato ARP per tutti i volumi: Nel riquadro Volumes (volumi), selezionare Show/Hide (Mostra/Nascondi), quindi assicurarsi che sia selezionato lo stato Anti-ransomware.
Il processo di abilitazione dell'ARP con la CLI differisce se lo si attiva su un volume esistente rispetto a un nuovo volume.
-
Modificare un volume esistente per abilitare la protezione ransomware in modalità di apprendimento:
security anti-ransomware volume dry-run -volume vol_name -vserver svm_name
Se si esegue ONTAP 9.13.1 o versione successiva, l'apprendimento adattivo viene attivato in modo che il passaggio allo stato attivo venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Al termine del periodo di apprendimento, modificare il volume protetto per passare alla modalità attiva, se non è già stato eseguito automaticamente:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
È anche possibile passare alla modalità attiva con il comando modify volume:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
Verificare lo stato ARP del volume.
security anti-ransomware volume show
-
Creare un nuovo volume con la protezione anti-ransomware abilitata prima del provisioning dei dati.
volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name
Se si esegue ONTAP 9.13.1 o versione successiva, l'apprendimento adattivo viene attivato in modo che il passaggio allo stato attivo venga eseguito automaticamente. Se non si desidera che questo comportamento venga attivato automaticamente, modificare l'impostazione a livello di SVM su tutti i volumi associati:
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Al termine del periodo di apprendimento, modificare il volume protetto per passare alla modalità attiva, se non è già stato eseguito automaticamente:
security anti-ransomware volume enable -volume vol_name -vserver svm_name
È anche possibile passare alla modalità attiva con il comando modify volume:
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
Verificare lo stato ARP del volume.
security anti-ransomware volume show