Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自律型ランサムウェア対策を有効にする

共同作成者
PDF

ONTAP 9 .10.1以降では、既存のボリュームで自律型ランサムウェア対策(ARP)を有効にするか、新しいボリュームを作成してARPを最初から有効にすることができます。

すべての新しいボリュームがAutonomous Ransomware Protection(ARP)でデフォルトで有効になるようにONTAPクラスタを設定する場合は、こちらを参照してください"関連するARP手順"

タスクの内容

  • * ONTAP 9 .10.1~9.15.1およびFlexGroupボリュームを使用するARP *これらのバージョンのONTAPでは、最初からARPを有効にする必要があります"ラーニングモード"(または「ドライラン」モード)。ラーニングモードで最初にARPをイネーブルにすると、システムはワークロードを分析して通常の動作を特定します。アクティブモードで開始すると、過剰なfalse positiveレポートが発生する可能性があります。

    ARPを学習モードで最低30日間実行することをお勧めします。ONTAP 9 .13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、30日前にスイッチが自動化されます。

  • * FlexVolボリュームを使用しているONTAP 9 .16.1以降の場合* ARPを有効にすると、ARP/AI保護はすぐにアクティブモードで開始されます。学習期間は必要ありません。

メモ 既存のボリュームでは、ラーニングモードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されません。ARPを有効にしたボリュームでは、以前の通常のデータトラフィックの特性が新しいデータに基づいて想定されるため、既存のデータはスキャンおよび分析されません。
開始する前に

  • NFSまたはSMB(またはその両方)に対してStorage VM(SVM)が有効になっている必要があります。

  • ONTAPのバージョンに対応したが正しいライセンスインストールされている必要があります。

  • クライアントでNASワークロードを設定しておく必要があります。

  • ARPを設定するボリュームが保護され、アクティブになっている必要があります"ジャンクションパス"

  • ボリュームの使用率が100%未満である必要があります。

  • ARPアクティビティの通知を含む電子メール通知を送信するようにEMSシステムを設定することをお勧めします。詳細については、を参照してください "EMSイベントを設定してEメール通知を送信する"

  • ONTAP 9 13.1以降では、Autonomous Ransomware Protection(ARP;自律ランサムウェア対策)の設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification(MAV)を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"

新規または既存のボリュームでARPを有効にする

System ManagerまたはONTAP CLIを使用してARPを有効化できます。

System Manager
手順

  1. [ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。

  2. [ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。

    • ARPをONTAP 9 .15.1以前で使用している場合、またはFlexGroupボリュームでONTAP 9 .16.1を使用している場合は、* Anti-ransomware ボックスで Enabled in learning-mode *を選択します。

      メモ ONTAP 9 .13.1以降では、ARPによって最適な学習期間間隔が自動的に決定され、スイッチが自動化されます。ラーニングモードからアクティブモードへの移行を手動で制御することができます"関連付けられているStorage VMでこの設定を無効にしてください"

    • ONTAP 9 .16.1以降が搭載されたFlexVolボリュームでARPを使用している場合、ARP / AI機能はラーニング期間を必要とせず、デフォルトでアクティブモードが選択されます。

  3. ボリュームのARP状態は、* Anti-ransomware *ボックスで確認できます。

    すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。

CLI

CLIを使用してARPを有効にするプロセスは、既存のボリュームで有効にする場合と新しいボリュームで有効にする場合で異なります。

既存のボリュームでARPを有効にする

  1. 既存のボリュームを変更してランサムウェアからの保護を有効にします。

    • ONTAP 9 .15.1以前およびFlexGroupボリュームを使用するARPの場合は、ボリュームの状態を(ラーニングモード)に設定し `dry-run`ます。

      security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

    • ARP / AIボリュームとFlexVolボリュームがあるONTAP 9 .16.1以降の場合は、ボリュームの状態を(アクティブモード)に設定し `active`ます。

      security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>

  2. ONTAP 9 .13.1以降にアップグレードした場合、ARPのデフォルトステートがであると、 `dry-run`アクティブステートへの変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. ボリュームのARPの状態を確認します。

    security anti-ransomware volume show

新しいボリュームでARPを有効にする

  1. データをプロビジョニングする前に、ARPを有効にして新しいボリュームを作成します。

    • ONTAP 9 .15.1以前およびFlexGroupボリュームを使用するARPの場合は、状態を(ラーニングモード)に設定し `dry-run`ます。

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

    • ARP / AIボリュームとFlexVolボリュームがあるONTAP 9 .16.1以降の場合は、状態を(アクティブモード)に設定し `active`ます。

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>

  2. ONTAP 9 .13.1以降にアップグレードした場合、ARPのデフォルトステートがであると、 `dry-run`アクティブステートへの変更が自動的に行われるように、アダプティブラーニングがイネーブルになります。この動作を自動的に有効にしない場合は、関連付けられているすべてのボリュームでSVMレベルの設定を変更します。

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. ボリュームのARPの状態を確認します。

    security anti-ransomware volume show

関連情報