Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自動ランサムウェア対策を有効化

共同作成者

ONTAP 9.10.1以降のAutonomous Ransomware Protection(ARP)は、新規または既存のボリュームで有効にできます。最初にARPをラーニングモードでイネーブルにします。このモードでは、システムがワークロードを分析して、通常の動作の特性を特定します。既存のボリュームでARPを有効にしたり、新しいボリュームを作成してARPを有効にしたりすることができます。

このタスクについて

ARPは、必ず最初にラーニング(またはドライラン)モードでイネーブルにする必要があります。アクティブモードで開始すると、過剰なfalse positiveレポートが発生する可能性があります。

ARPを学習モードで最低30日間実行することをお勧めします。ONTAP 9.13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、30日前にスイッチが自動化されます。詳細については、を参照してください "学習モードとアクティブモード"

メモ 既存のボリュームでは、ラーニングモードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されません。既存のデータはスキャンおよび分析されません。これは、以前の通常のデータトラフィックの特性が、ARPでボリュームを有効にした後の新しいデータに基づいていると見なされるためです。
作業を開始する前に
  • Storage VMでNFSまたはSMB(またはその両方)が有効になっている必要があります。

  • 正しいライセンス ONTAP のバージョンに対応するがインストールされている必要があります。

  • クライアントでNASワークロードを設定しておく必要があります。

  • ARPを設定するボリュームを保護する必要があります "ジャンクションパス"

  • ボリュームの使用率が100%未満である必要があります。

  • ARPアクティビティの通知を含む電子メール通知を送信するようにEMSシステムを設定することをお勧めします。詳細については、を参照してください "E メール通知を送信するように EMS イベントを設定します"

  • ONTAP 9.13.1以降では、Autonomous Ransomware Protection(ARP;自律ランサムウェア対策)設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification(MAV;マルチ管理者検証)を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"

例 1. 手順
System Manager の略
  1. [ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。

  2. [Volumes]の概要の*タブで、[Status]を選択し、[Anti-ransomware]*ボックスで[Disabled]から[Enabled in learning-mode]に切り替えます。

  3. 学習期間が終了したら、ARPをアクティブモードに切り替えます。

    メモ ONTAP 9.13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、スイッチが自動化されます。可能です "関連付けられているStorage VMでこの設定を無効にしてください" ラーニングモードをアクティブモードに切り替える場合は、手動で切り替えます。
    1. [ストレージ]>[ボリューム]*を選択し、アクティブモードにする準備ができたボリュームを選択します。

    2. [Volumes]概要の*タブで、[Anti-ransomware]ボックスで[Switch * to active mode]を選択します。

  4. ボリュームのARP状態は、* Anti-ransomware *ボックスで確認できます。

    すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。

CLI の使用
既存のボリュームでARPを有効にします
  1. 既存のボリュームを変更して、学習モードでランサムウェアからの保護を有効にします。

    security anti-ransomware volume dry-run -volume vol_name -vserver svm_name

    を使用してランサムウェア対策を有効にすることもできます volume modify コマンドを実行します

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state dry-run

    ONTAP 9.13.1以降にアップグレードした場合は、アクティブ状態への変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 学習期間が終了したら、保護ボリュームを変更してアクティブモードに切り替えます(まだ自動的に行われていない場合)。

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    volume modify コマンドを使用して、アクティブモードに切り替えることもできます。

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. ボリュームのARP状態を確認します。

    security anti-ransomware volume show

新しいボリュームでARPを有効にします
  1. データをプロビジョニングする前に、ランサムウェア対策を有効にした新しいボリュームを作成する。

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name

    ONTAP 9.13.1以降にアップグレードした場合は、アクティブ状態への変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 学習期間が終了したら、保護ボリュームを変更してアクティブモードに切り替えます(まだ自動的に行われていない場合)。

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    volume modify コマンドを使用して、アクティブモードに切り替えることもできます。

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. ボリュームのARP状態を確認します。

    security anti-ransomware volume show