Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Scopri di più sul periodo di valutazione ONTAP ARP per i volumi SAN

Collaboratori netapp-dbagwell
PDF

A partire da ONTAP 9.17.1, ARP richiede un periodo di valutazione per determinare se i livelli di entropia per i carichi di lavoro dei volumi SAN siano idonei alla protezione da ransomware. Dopo l'attivazione di ARP su un volume SAN, ARP monitora costantemente i dati durante un periodo di valutazione per determinare una soglia di crittografia ottimale. ARP distingue tra carichi di lavoro idonei e non idonei nel volume SAN valutato e, se i carichi di lavoro vengono ritenuti idonei per la protezione, imposta automaticamente una soglia di crittografia in base alle statistiche del periodo di valutazione.

Comprendere la valutazione dell'entropia

Il sistema raccoglie statistiche di crittografia continua a intervalli di 10 minuti. Durante la valutazione, vengono creati snapshot ARP ogni quattro ore. Se la percentuale di crittografia in un intervallo supera la soglia di crittografia ottimale identificata per questo volume, viene attivato un avviso e il tempo di conservazione degli snapshot viene aumentato.

Conferma che il periodo di valutazione è attivo

Si può confermare che la valutazione è attiva eseguendo il seguente comando e confermando lo stato di evaluation_period. Il periodo di valutazione si applica ai volumi contenenti LUN o VMDK. un volume non contiene LUN o VMDK, lo stato di valutazione non verrà visualizzato.

security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>

Esempio di risposta:

Vserver Name                                : vs1
Volume Name                                 : v1
State                                       : enabled
Attack Probability                          : none
Attack Timeline                             : -
Number of Attacks                           : -
Attack Detected By                          : -
Block device detection status               : evaluation_period
Monitoraggio della raccolta dati del periodo di valutazione

È possibile monitorare il rilevamento della crittografia in tempo reale eseguendo il seguente comando. Il comando restituisce un istogramma che mostra la quantità di dati in ciascun intervallo percentuale di crittografia. L'istogramma viene aggiornato ogni 10 minuti.

security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time

Esempio di risposta:

Vserver     Name              Entropy Range   Seen N Time     Data Written
----------  ----------------  --------------- --------------  -------------
vs0         lun1              0-5%            4               100MB
vs0         lun1              6-10%           10              900MB
vs0         lun1              11-15%          20              40MB
vs0         lun1              16-20%          10              70MB
vs0         lun1              21-25%          60              450MB
vs0         lun1              26-30%          4               100MB
vs0         lun1              31-35%          10              900MB
vs0         lun1              36-40%          20              40MB
vs0         lun1              41-45%          0               0
vs0         lun1              46-50%          0               0
vs0         lun1              51-55%          0               0
vs0         lun1              56-60%          0               0
vs0         lun1              61-65%          0               0
vs0         lun1              66-70%          0               0
vs0         lun1              71-75%          0               0
vs0         lun1              76-80%          0               0
vs0         lun1              81-85%          0               0
vs0         lun1              86-90%          0               0
vs0         lun1              91-95%          0               0
vs0         lun1              96-100%         0               0

20 entries were displayed.

Carichi di lavoro adeguati e soglie adattive

La valutazione termina con uno dei seguenti risultati:

  • Il carico di lavoro è idoneo per ARP. ARP imposta automaticamente la soglia adattiva a un valore superiore al 10% della percentuale di crittografia massima rilevata durante il periodo di valutazione. ARP continua inoltre a raccogliere statistiche e crea snapshot ARP periodici.

  • Il carico di lavoro non è idoneo per ARP. ARP imposta automaticamente la soglia adattiva alla massima percentuale di crittografia rilevata durante il periodo di valutazione. ARP continua inoltre a raccogliere statistiche e crea snapshot ARP periodici, ma il sistema consiglia di disabilitare ARP sul volume.

Determinare i risultati della valutazione

Al termine del periodo di valutazione, ARP imposta automaticamente la soglia adattiva in base ai risultati della valutazione.

È possibile determinare i risultati della valutazione eseguendo il seguente comando. L'idoneità del volume è indicata nel Block device detection status campo:

security anti-ransomware volume show  -vserver <svm_name> -volume <volume_name>

Esempio di risposta:

Vserver Name                               : vs1
Volume Name                                : v1
State                                      : enabled
Attack Probability                         : none
Attack Timeline                            : -
Number of Attacks                          : -
Attack Detected By                         : -
Block device detection status              : Active_suitable_workload

Block device evaluation start time :  5/16/2025 01:49:01

È possibile visualizzare anche la soglia di valore adottata a seguito della valutazione:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

Esempio di risposta:

                                  Vserver Name : vs_1

                                   Volume Name : vm_2

Block Device Auto Learned Encryption Threshold : 10
...