Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP自律型ランサムウェア対策を有効にする

共同作成者 netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

ONTAP 9 .10.1以降では、既存のボリュームで自律型ランサムウェア対策(ARP)を有効にするか、新しいボリュームを作成してARPを最初から有効にすることができます。

すべての新しいボリュームがAutonomous Ransomware Protection(ARP)でデフォルトで有効になるようにONTAPクラスタを設定する場合は、こちらを参照してください"関連するARP手順"

タスクの内容

  • (NAS環境のみ) ONTAP 9.10.1~9.15.1またはFlexGroupボリュームのARPの場合 これらのバージョンのONTAPでは、常に最初にARPを有効にする必要があります。 "ラーニングモード" (または「ドライラン」状態)。最初に学習モードでARPを有効にすると、システムがワークロードを分析して正常な動作を特定します。最初からアクティブ モードにすると、誤検出レポートが大量に生成される可能性があります。

    ARP を学習モードで少なくとも 30 日間実行することをお勧めします。ONTAP 9.13.1以降では、ARPによって最適な学習期間が自動的に決定され、30日が経過しなくても自動的に切り替えが行われる場合があります。

  • (NAS 環境のみ) FlexVolボリュームを備えたONTAP 9.16.1 以降の場合 System Manager または CLI を使用して ARP を有効にすると、ARP/AI 保護が有効になり、すぐにアクティブになります。学習期間は必要ありません。

  • (SAN環境のみ) FlexVolを備えたONTAP 9.17.1以降の場合 System ManagerまたはCLIを使用してARPを有効にすると、ARP/AI機能が自動的に有効になります。SANボリュームで有効にすると、 "ARP/AIは評価期間中にデータを継続的に監視します"ワークロードが ARP に適しているかどうかを判断し、検出に最適な暗号化しきい値を設定します。

開始する前に

  • プロトコルが有効になっているストレージ VM (SVM) が必要です。

    • NAS: NFS または SMB (あるいは両方)

    • SAN: iSCSI、FC、またはNVMe

  • その"正しいライセンス" ONTAPバージョンに合わせてインストールする必要があります。

  • クライアントが構成された NAS または SAN ワークロードが必要です。

  • (NAS環境のみ)ARPを設定するボリュームには、アクティブな"ジャンクションパス"

  • ボリュームの使用率が100%未満である必要があります。

  • ARPアクティビティの通知を含む電子メール通知を送信するようにEMSシステムを設定することをお勧めします。詳細については、を参照してください "EMSイベントを設定してEメール通知を送信する"

  • ONTAP 9.13.1以降では、Autonomous Ransomware Protection(ARP;自律ランサムウェア対策)設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification(MAV;マルチ管理者検証)を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"

新規または既存のボリュームでARPを有効にする

System ManagerまたはONTAP CLIを使用してARPを有効化できます。

System Manager
手順

  1. [ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。

  2. [ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。

    • (NAS 環境のみ) ONTAP 9.15.1 以前、またはFlexGroupボリュームを備えたONTAP 9.16.1 で ARP を使用している場合は、[Anti-ransomware] ボックスで [Enabled in learning-mode] を選択します。

      メモ ONTAP 9 .13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、スイッチが自動化されます。ラーニングモードからアクティブモードへの移行を手動で制御することができます"関連付けられているStorage VMでこの設定を無効にしてください"
    メモ 既存のボリュームでは、ラーニングモードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されません。ARPを有効にしたボリュームでは、以前の通常のデータトラフィックの特性が新しいデータに基づいて想定されるため、既存のデータはスキャンおよび分析されません。

  3. ボリュームのARP状態は、* Anti-ransomware *ボックスで確認できます。

    すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。

CLI

CLI を使用して ARP を有効にするプロセスは、既存のボリュームで有効にする場合と新しいボリュームで有効にする場合で異なります。

既存のボリュームでARPを有効にする

  1. 既存のボリュームを変更してランサムウェアからの保護を有効にします。

    • ARP/AIのないNAS環境またはFlexGroupボリュームの場合は、 `dry-run`新しいボリュームが学習モードで開始されるように状態を設定します。

    • ONTAP 9.16.1以降を実行しているNAS環境またはONTAP 9.17.1のSAN環境では、 `enabled`州。

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      の詳細については security anti-ransomware volume dry-run、を"ONTAPコマンド リファレンス"参照してください。

  2. NAS環境をONTAP 9.13.1からONTAP 9.15.1にアップグレードし、デフォルトの状態が dry-run (学習モード)では、適応学習が有効になり、 `enabled`状態(アクティブモード)は自動的に行われます。この自動化を希望しない場合は、関連付けられているすべてのボリュームの設定をSVMレベルで変更します。

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. ボリュームのARPの状態を確認します。

    security anti-ransomware volume show
新しいボリュームでARPを有効にする

  1. データをプロビジョニングする前に、ARPを有効にして新しいボリュームを作成します。

    • ARP/AIのないNAS環境またはFlexGroupボリュームの場合は、 `dry-run`新しいボリュームが学習モードで開始されるように状態を設定します。

    • ONTAP 9.16.1以降を実行しているNAS環境またはONTAP 9.17.1のSAN環境では、 `enabled`州。

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. NAS環境をONTAP 9.13.1からONTAP 9.15.1にアップグレードし、デフォルトの状態が dry-run (学習モード)では、適応学習が有効になり、 `enabled`状態(アクティブモード)は自動的に行われます。この自動化を希望しない場合は、関連付けられているすべてのボリュームの設定をSVMレベルで変更します。

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. ボリュームが状態に設定されていることを確認します enabled

    security anti-ransomware volume show

    の詳細については security anti-ransomware volume show、を"ONTAPコマンド リファレンス"参照してください。

関連情報