自動ランサムウェア対策を有効化
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.10.1以降のAutonomous Ransomware Protection(ARP)は、新規または既存のボリュームで有効にできます。最初にARPをラーニングモードでイネーブルにします。このモードでは、システムがワークロードを分析して、通常の動作の特性を特定します。既存のボリュームでARPを有効にしたり、新しいボリュームを作成してARPを有効にしたりすることができます。
ARPは、必ず最初にラーニング(またはドライラン)モードでイネーブルにする必要があります。アクティブモードで開始すると、過剰なfalse positiveレポートが発生する可能性があります。
ARPを学習モードで最低30日間実行することをお勧めします。ONTAP 9.13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、30日前にスイッチが自動化されます。詳細については、を参照してください "学習モードとアクティブモード"。
既存のボリュームでは、ラーニングモードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されません。既存のデータはスキャンおよび分析されません。これは、以前の通常のデータトラフィックの特性が、ARPでボリュームを有効にした後の新しいデータに基づいていると見なされるためです。 |
-
NFSまたはSMB(またはその両方)に対してStorage VM(SVM)が有効になっている必要があります。
-
。 正しいライセンス ONTAP のバージョンに対応するがインストールされている必要があります。
-
クライアントでNASワークロードを設定しておく必要があります。
-
ARPを設定するボリュームは保護されており、アクティブなボリュームである必要があります "ジャンクションパス"。
-
ボリュームの使用率が100%未満である必要があります。
-
ARPアクティビティの通知を含む電子メール通知を送信するようにEMSシステムを設定することをお勧めします。詳細については、を参照してください "E メール通知を送信するように EMS イベントを設定します"。
-
ONTAP 9.13.1以降では、Autonomous Ransomware Protection(ARP;自律ランサムウェア対策)設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification(MAV;マルチ管理者検証)を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"。
ARPを有効にする
ARPは、System ManagerまたはONTAP CLIを使用して有効にできます。
-
[ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。
-
[Volumes]の概要の*タブで、[Status]を選択し、[Anti-ransomware]*ボックスで[Disabled]から[Enabled in learning-mode]に切り替えます。
-
学習期間が終了したら、ARPをアクティブモードに切り替えます。
ONTAP 9.13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、スイッチが自動化されます。可能です "関連付けられているStorage VMでこの設定を無効にしてください" ラーニングモードをアクティブモードに切り替える場合は、手動で切り替えます。 -
[ストレージ]>[ボリューム]*を選択し、アクティブモードにする準備ができたボリュームを選択します。
-
[Volumes]概要の*タブで、[Anti-ransomware]ボックスで[Switch * to active mode]を選択します。
-
-
ボリュームのARP状態は、* Anti-ransomware *ボックスで確認できます。
すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。
CLIを使用してARPを有効にするプロセスは、既存のボリュームで有効にする場合と新しいボリュームで有効にする場合で異なります。
-
既存のボリュームを変更して、学習モードでランサムウェアからの保護を有効にします。
security anti-ransomware volume dry-run -volume vol_name -vserver svm_name
ONTAP 9.13.1以降を実行している場合は、アクティブ状態への変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
学習期間が終了したら、保護ボリュームを変更してアクティブモードに切り替えます(まだ自動的に行われていない場合)。
security anti-ransomware volume enable -volume vol_name -vserver svm_name
volume modify コマンドを使用して、アクティブモードに切り替えることもできます。
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
ボリュームのARP状態を確認します。
security anti-ransomware volume show
-
データをプロビジョニングする前に、ランサムウェア対策を有効にした新しいボリュームを作成する。
volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name
ONTAP 9.13.1以降を実行している場合は、アクティブ状態への変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。
vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false
-
学習期間が終了したら、保護ボリュームを変更してアクティブモードに切り替えます(まだ自動的に行われていない場合)。
security anti-ransomware volume enable -volume vol_name -vserver svm_name
volume modify コマンドを使用して、アクティブモードに切り替えることもできます。
volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active
-
ボリュームのARP状態を確認します。
security anti-ransomware volume show