Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Regola le impostazioni per gli snapshot ARP generati automaticamente

Collaboratori netapp-dbagwell netapp-aherbin netapp-aaron-holt
PDF

A partire da ONTAP 9.11,1, puoi utilizzare la CLI per controllare le impostazioni di conservazione per gli snapshot di protezione autonoma dal ransomware (ARP), che sono generate automaticamente in risposta a sospettati attacchi ransomware.

Prima di iniziare

È possibile modificare le opzioni degli snapshot ARP solo su un "nodo SVM" e non su altri tipi di SVM.

Fasi

  1. Mostra tutte le impostazioni correnti dell'istantanea ARP:

    options -option-name arw*

  2. Mostra impostazioni snapshot ARP correnti selezionate:

    options -option-name <arw_setting_name>

  3. Modificare le impostazioni dell'istantanea ARP:

    options -option-name <arw_setting_name> -option-value <arw_setting_value>

    È possibile modificare le seguenti impostazioni:

    Nota Alcuni dei comandi descritti sono obsoleti a partire da ONTAP 9.17.1. I comandi introdotti in ONTAP 9.17.1 supportano sia gli ambienti NAS che SAN.
    Impostazione Descrizione Versioni supportate

    arw.snap.max.count

    Specifica il numero massimo di snapshot ARP che possono essere presenti in un volume in un dato momento. Le copie più vecchie vengono eliminate per garantire che il numero totale di snapshot ARP rientri nel limite specificato.

    ONTAP 9.11.1 e versioni successive

    arw.snap.create.interval.hours

    Specifica l'intervallo in ore tra gli snapshot ARP. Un nuovo snapshot ARP viene creato quando si sospetta un attacco basato sull'entropia dei dati e lo snapshot ARP creato più di recente è più vecchio dell'intervallo specificato.

    ONTAP 9.11.1 e versioni successive

    arw.snap.normal.retain.interval.hours

    Specifica la durata in ore per cui viene conservato uno snapshot ARP. Quando uno snapshot ARP raggiunge la soglia di conservazione, viene eliminato.

    • ONTAP 9.11.1 a ONTAP 9.16.1

    • Obsoleto in ONTAP 9.17.1 e versioni successive

    arw.snap.max.retain.interval.days

    Specifica la durata massima in giorni per la quale è possibile conservare uno snapshot ARP. Qualsiasi snapshot ARP precedente a questa durata viene eliminato quando non viene riportato alcun attacco sul volume.

    Nota L'intervallo di conservazione massimo per gli snapshot ARP viene ignorato se viene rilevata una minaccia moderata. Lo snapshot ARP creato in risposta alla minaccia viene conservato fino a quando non si risponde alla minaccia. Quando si contrassegna una minaccia come falso positivo, ONTAP eliminerà gli snapshot ARP per il volume.

    • ONTAP 9.11.1 a ONTAP 9.16.1

    • Obsoleto in ONTAP 9.17.1 e versioni successive

    arw.snap.create.interval.hours.post.max.count

    Specifica l'intervallo in ore tra gli snapshot ARP quando il volume contiene già il numero massimo di snapshot ARP. Al raggiungimento del numero massimo, uno snapshot ARP viene eliminato per fare spazio a una nuova copia. La velocità di creazione del nuovo snapshot ARP può essere ridotta per conservare la copia precedente utilizzando questa opzione. Se il volume contiene già il numero massimo di snapshot ARP, l'intervallo specificato in questa opzione viene utilizzato per la successiva creazione dello snapshot ARP, anziché arw.snap.create.interval.hours .

    • ONTAP 9.11.1 a 9.16.1

    • Obsoleto in ONTAP 9.17.1 e versioni successive

    arw.snap.low.encryption.retain.duration.hours

    Specifica la durata di conservazione in ore per gli snapshot ARP creati durante i periodi di bassa attività di crittografia.

    • ONTAP 9.17.1 e versioni successive

    arw.snap.new.extns.interval.hours

    Specifica l'intervallo in ore tra gli snapshot ARP creati quando viene rilevata una nuova estensione di file. Un nuovo snapshot ARP viene creato quando viene rilevata una nuova estensione di file; lo snapshot precedente creato al rilevamento di una nuova estensione di file è più vecchio di questo intervallo specificato. In un carico di lavoro che crea frequentemente nuove estensioni di file, questo intervallo aiuta a controllare la frequenza degli snapshot ARP. Questa opzione è disponibile indipendentemente da arw.snap.create.interval.hours , che specifica l'intervallo per gli snapshot ARP basati sull'entropia dei dati.

    • ONTAP 9.11.1 a ONTAP 9.16.1

    • Obsoleto in ONTAP 9.17.1 e versioni successive

    arw.snap.retain.hours.after.clear.suspect.false.alert

    Specifica l'intervallo in ore entro cui uno snapshot ARP viene conservato a scopo precauzionale dopo che un attacco è stato contrassegnato come falso positivo dall'amministratore. Allo scadere di questo periodo di conservazione precauzionale, lo snapshot può essere eliminato in base alla durata di conservazione standard definita dalle opzioni. arw.snap.normal.retain.interval.hours E arw.snap.max.retain.interval.days .

    • ONTAP 9.16.1 e versioni successive

    arw.snap.retain.hours.after.clear.suspect.real.attack

    Specifica l'intervallo in ore entro cui uno snapshot ARP viene conservato a scopo precauzionale dopo che un attacco è stato contrassegnato come attacco reale dall'amministratore. Allo scadere di questo periodo di conservazione precauzionale, lo snapshot può essere eliminato in base alla durata di conservazione standard definita dalle opzioni. arw.snap.normal.retain.interval.hours E arw.snap.max.retain.interval.days .

    • ONTAP 9.16.1 e versioni successive

    arw.snap.surge.interval.days

    Specifica l'intervallo in giorni tra gli snapshot ARP creati in risposta ai picchi io. ONTAP crea una copia snapshot ARP surge quando c'è un aumento del traffico io e l'ultimo snapshot ARP creato è più vecchio di questo intervallo specificato. Questa opzione specifica anche il periodo di conservazione in day per uno snapshot di sovratensione ARP.

    ONTAP 9.11.1 e versioni successive

    arw.high.encryption.alert.enabled

    Abilita gli avvisi per livelli di crittografia elevati. Quando questa opzione è impostata su on (predefinito), ONTAP invia un avviso quando la percentuale di crittografia supera la soglia specificata in arw.high.encryption.percentage.threshold .

    ONTAP 9.17.1 e versioni successive

    arw.high.encryption.percentage.threshold

    Specifica la percentuale massima di crittografia per un volume. Se la percentuale di crittografia supera questa soglia, ONTAP gestisce l'aumento come un attacco e crea uno snapshot ARP. arw.high.encryption.alert.enabled deve essere impostato su on affinché questa opzione abbia effetto.

    ONTAP 9.17.1 e versioni successive

    arw.snap.high.encryption.retain.duration.hours

    Specifica l'intervallo di durata della conservazione in ore per gli snapshot creati durante un evento con soglia di crittografia elevata.

    ONTAP 9.17.1 e versioni successive

  4. Se si utilizza ARP con un ambiente SAN, è anche possibile modificare le seguenti impostazioni del periodo di valutazione:

    Impostazione Descrizione Versioni supportate

    arw.block_device.auto.learn.threshold.min_value

    Specifica il valore percentuale della soglia minima di crittografia durante la fase di apprendimento automatico della valutazione per i dispositivi a blocchi.

    ONTAP 9.17.1 e versioni successive

    arw.block_device.auto.learn.threshold.max_value

    Specifica il valore percentuale della soglia massima di crittografia durante la fase di apprendimento automatico della valutazione per i dispositivi a blocchi.

    ONTAP 9.17.1 e versioni successive

    arw.block_device.evaluation.phase.min_hours

    Specifica l'intervallo minimo in ore entro il quale la fase di valutazione deve essere eseguita prima che venga impostata la soglia di crittografia.

    ONTAP 9.17.1 e versioni successive

    arw.block_device.evaluation.phase.max_hours

    Specifica l'intervallo massimo in ore entro il quale la fase di valutazione deve essere eseguita prima che venga impostata la soglia di crittografia.

    ONTAP 9.17.1 e versioni successive

    arw.block_device.evaluation.phase.min_data_ingest_size_GB

    Specifica la quantità minima di dati in GB che deve essere acquisita durante la fase di valutazione prima che venga impostata la soglia di crittografia.

    ONTAP 9.17.1 e versioni successive

    arw.block_device.evaluation.phase.alert.enabled

    Specifica se gli avvisi sono abilitati per la fase di valutazione di ARP sui dispositivi a blocchi. Il valore predefinito è True .

    ONTAP 9.17.1 e versioni successive

    arw.block_device.evaluation.phase.alert.threshold

    Specifica la percentuale di soglia durante la fase di valutazione dell'ARP sui dispositivi a blocchi. Se la percentuale di crittografia supera questa soglia, viene attivato un avviso.

    ONTAP 9.17.1 e versioni successive
Informazioni correlate