ボリューム上でONTAP Autonomous Ransomware Protectionを有効にする
変更を提案
PDF
ONTAP 9.10.1以降では、既存のボリュームに対して自律型ランサムウェア対策(ARP)を有効にすることも、新しいボリュームを作成してARPを最初から有効にすることもできます。
環境が特定の要件を満たしていることを確認しますの後に、環境に合った手順に従ってARPを有効にします:
ARP を有効にした後、環境と ONTAP バージョンによっては、ARP が移行期間に入る場合があります。
| ボリューム タイプ | ONTAPのバージョン | 有効化後の動作 |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1以降 |
ARP/AIは学習期間なしですぐにアクティブになります |
ONTAP 9.13.1 から 9.17.1 |
ARPは30日間学習モードで開始されます |
|
NAS FlexVol |
ONTAP 9.16.1以降 |
ARP/AIは学習期間なしですぐにアクティブになります |
ONTAP 9.10.1から9.15.1 |
ARPは30日間学習モードで開始されます |
|
SANボリューム |
ONTAP 9.17.1以降 |
ARP/AI は直ちにアクティブになり、初期の保守的なしきい値から移行する前に、適切なアラートしきい値を確立するための評価期間を開始します。 |
ARP を有効にする前に、環境に次の条件が満たされていることを確認してください:
-
NFSまたはSMB(またはその両方)プロトコルが有効になっているStorage VM(SVM)。
-
クライアントが設定されたNASワークロード。
-
ボリュームのアクティブな"ジャンクションパス"。
-
iSCSI、FC、または NVMe プロトコルが有効になっているストレージ VM(SVM)。
-
クライアントが設定されたSANワークロード。
-
ONTAPバージョンの"正しいライセンス"。
-
(推奨)マルチ管理者検証(MAV)が有効(ONTAP 9.13.1以降)。"複数管理者による検証を有効にする"を参照してください。
NASFlexVolボリュームでARPを有効にする
System ManagerまたはONTAP CLIを使用して、NAS FlexVolボリュームでARPを有効化できます。手順はONTAPバージョンによって異なります。
ONTAP 9.16.1 以降では、学習期間を必要とせず、ARP/AI がすぐにアクティブになります。
-
ストレージ > ボリューム を選択し、保護するボリュームを選択します。
-
*ボリューム*概要の*セキュリティ*タブで、*ステータス*を選択して、無効から有効に切り替えます。
-
*ランサムウェア対策*ボックスでボリュームのARP状態を確認します。
すべてのボリュームのARPステータスを表示するには:*ボリューム*ペインで*表示/非表示*を選択し、*ランサムウェア対策*ステータスがチェックされていることを確認します。
既存のボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARPを有効にして新しいボリュームを作成:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>ARP状態を確認します:
security anti-ransomware volume show`security anti-ransomware volume show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html["ONTAPコマンド リファレンス"^]を参照してください。
ONTAP 9.10.1~9.15.1では、ARPを初期状態"学習モード"(または「ドライラン」状態)で有効化する必要があります。システムはワークロードを分析し、正常な動作を特徴付けます。アクティブモードで開始すると、誤検知レポートが過剰に生成される可能性があります。
ARPを学習モードで少なくとも30日間実行することをお勧めします。ONTAP 9.13.1以降では、ARPは最適な学習期間を自動的に決定し、切り替えを自動化するため、30日未満で切り替えが行われる場合があります。
-
ストレージ > ボリューム を選択し、保護するボリュームを選択します。
-
*ボリューム*概要の*セキュリティ*タブで、*ステータス*を選択して、無効から有効に切り替えます。
-
*Anti-ransomware*ボックスで*Enabled in learning-mode*を選択します。
"関連付けられたStorage VMでアクティブモードへの自動学習遷移を無効にする"学習モードからアクティブモードへの移行を手動で制御する場合は、
既存のボリュームの場合、どちらのモードでも対象となるのは新しく書き込まれたデータだけで、ボリューム内の既存のデータは対象外です。それまでの正常なデータ トラフィックの特性は、ボリュームのARPを有効にしたあとの新しいデータに基づいて推定されるため、既存のデータはスキャンも分析もされません。 -
*ランサムウェア対策*ボックスでボリュームのARP状態を確認します。
すべてのボリュームのARPステータスを表示するには:*ボリューム*ペインで*表示/非表示*を選択し、*ランサムウェア対策*ステータスがチェックされていることを確認します。
既存のボリュームでARPを有効にする:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>`security anti-ransomware volume dry-run`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-dry-run.html["ONTAPコマンド リファレンス"^]をご覧ください。
ARPを有効にして新しいボリュームを作成:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>自動切り替えを無効にする(オプション):
ONTAP 9.13.1からONTAP 9.15.1にアップグレードし、関連付けられているすべてのボリュームの学習モードからアクティブモードへの切り替えを手動で制御する場合は、SVMから次の操作を実行できます:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseARP状態を確認します:
security anti-ransomware volume showNAS FlexGroupボリュームでARPを有効にする
System ManagerまたはONTAP CLIを使用して、NAS FlexGroupボリュームでARPを有効化できます。手順はONTAPバージョンによって異なります。
ONTAP 9.18.1 以降では、FlexGroup ボリュームに対して ARP/AI は学習期間を必要とせず、すぐにアクティブになります。
-
ストレージ > ボリューム を選択し、保護するFlexGroupボリュームを選択します。
-
*ボリューム*概要の*セキュリティ*タブで、*ステータス*を選択して、無効から有効に切り替えます。
-
*ランサムウェア対策*ボックスでボリュームのARP状態を確認します。
すべてのボリュームのARPステータスを表示するには:*ボリューム*ペインで*表示/非表示*を選択し、*ランサムウェア対策*ステータスがチェックされていることを確認します。
既存のFlexGroupボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARPを有効にして新しいFlexGroupボリュームを作成します:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>ARP状態を確認します:
security anti-ransomware volume showONTAP 9.13.1~9.17.1の場合、FlexGroupボリュームは"学習モード"で始まります。システムはワークロードを分析して、通常の動作を特徴付けます。
ARP を学習モードで少なくとも 30 日間実行することをお勧めします。ARP は最適な学習期間間隔を自動的に決定し、切り替えを自動化します。切り替えは 30 日未満で実行される場合もあります。
-
ストレージ > ボリューム を選択し、保護するFlexGroupボリュームを選択します。
-
*ボリューム*概要の*セキュリティ*タブで、*ステータス*を選択して、無効から有効に切り替えます。
-
*Anti-ransomware*ボックスで*Enabled in learning-mode*を選択します。
"アクティブモードへの自動学習遷移を無効にする"を使用すると、学習モードからアクティブモードへの移行を手動で制御できます。 -
*ランサムウェア対策*ボックスでボリュームのARP状態を確認します。
既存のFlexGroupボリュームでARPを有効にする:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>ARPを有効にして新しいFlexGroupボリュームを作成します:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>自動切り替えを無効にする(オプション):
学習モードからアクティブモードへの切り替えを手動で制御する場合:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseARP状態を確認します:
security anti-ransomware volume showSANボリュームでARPを有効にする
ONTAP 9.17.1以降では、SANボリュームでARPを有効にできます。ARP/AI機能は自動的に有効になり、"評価期間"中にSANボリュームのアクティブな監視と保護を直ちに開始すると同時に、ワークロードがARPに適しているかどうかを判断し、検出に最適な暗号化しきい値を設定します。
System Manager または ONTAP CLI を使用して、SAN ボリューム上で ARP を有効にすることができます。
-
Storage > Volumes を選択し、保護する SAN ボリュームを選択します。
-
*ボリューム*概要の*セキュリティ*タブで、*ステータス*を選択して、無効から有効に切り替えます。
-
ARP/AIは自動的に評価期間に入ります。
-
ランサムウェア対策 ボックスで ARP の状態と評価ステータスを確認します。
すべてのボリュームのARPステータスを表示するには:*ボリューム*ペインで*表示/非表示*を選択し、*ランサムウェア対策*ステータスがチェックされていることを確認します。
既存のSANボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARPを有効にした新しいSANボリュームの作成:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledARPの状態と評価ステータスを確認します:
security anti-ransomware volume show`Block device detection status`フィールドをチェックして、評価期間の進行状況を監視します。
`security anti-ransomware volume show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html["ONTAPコマンド リファレンス"^]を参照してください。