ONTAP自律型ランサムウェア対策を有効にする
変更を提案
PDF
ONTAP 9 .10.1以降では、既存のボリュームで自律型ランサムウェア対策(ARP)を有効にするか、新しいボリュームを作成してARPを最初から有効にすることができます。
すべての新しいボリュームがAutonomous Ransomware Protection(ARP)でデフォルトで有効になるようにONTAPクラスタを設定する場合は、こちらを参照してください"関連するARP手順"。
ARPを有効にするには、環境に合った手順に従ってください。環境が特定の要件を満たしていることを確認する :
ARP を有効にした後、環境とONTAP のバージョンによっては、ARP が移行期間に入る場合があります。
| ボリュームタイプ | ONTAPのバージョン | 有効化後の動作 |
|---|---|---|
NASFlexGroup |
ONTAP 9.18.1以降 |
ARP/AIは学習期間なしですぐにアクティブになります |
ONTAP 9.13.1 から 9.17.1 |
ARPは30日間学習モードで開始されます |
|
NASFlexVol |
ONTAP 9.16.1以降 |
ARP/AIは学習期間なしですぐにアクティブになります |
ONTAP 9.10.1 から 9.15.1 |
ARPは30日間学習モードで開始されます |
|
SANホリユウム |
ONTAP 9.17.1以降 |
ARP/AI は直ちにアクティブになり、初期の保守的なしきい値から移行する前に、適切なアラートしきい値を確立するための評価期間を開始します。 |
ARP を有効にする前に、環境に次の条件が満たされていることを確認してください。
-
NFS または SMB (またはその両方) プロトコルが有効になっているストレージ VM (SVM)。
-
クライアントが構成された NAS ワークロード。
-
アクティブな"ジャンクションパス"ボリューム用。
-
iSCSI、FC、または NVMe プロトコルが有効になっているストレージ VM (SVM)。
-
クライアントが構成された SAN ワークロード。
-
その"正しいライセンス"ONTAPバージョン用。
-
(推奨) マルチ管理者検証 (MAV) が有効 (ONTAP 9.13.1 以降)。見る"マルチ管理者検証を有効にします"。
NAS FlexVolボリュームでARPを有効にする
System Manager またはONTAP CLI を使用して、NAS FlexVolボリュームで ARP を有効にすることができます。プロセスはONTAP のバージョンによって異なります。
ONTAP 9.16.1 以降では、学習期間を必要とせず、ARP/AI はすぐにアクティブになります。
-
[ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。
-
[ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。
-
ランサムウェア対策 ボックスでボリュームの ARP 状態を確認します。
すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。
既存のボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARP を有効にして新しいボリュームを作成します:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>ARP状態を確認します:
security anti-ransomware volume showの詳細については security anti-ransomware volume show、を"ONTAPコマンド リファレンス"参照してください。
ONTAP 9.10.1から9.15.1では、最初にARPを有効にする必要があります。"ラーニングモード" (または「ドライラン」状態)。システムはワークロードを分析して、通常の動作を特徴付けます。最初からアクティブ モードにすると、誤検出レポートが大量に生成される可能性があります。
ARP を学習モードで少なくとも 30 日間実行することをお勧めします。ONTAP 9.13.1以降では、ARPによって最適な学習期間が自動的に決定され、30日が経過しなくても自動的に切り替えが行われる場合があります。
-
[ストレージ]>[ボリューム]*を選択し、保護するボリュームを選択します。
-
[ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。
-
*ランサムウェア対策*ボックスで*学習モードで有効*を選択します。
あなたはできる"関連するストレージVMでのアクティブモード遷移への自動学習を無効にする"学習モードからアクティブ モードへの移行を手動で制御する場合。
既存のボリュームでは、ラーニングモードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されません。ARPを有効にしたボリュームでは、以前の通常のデータトラフィックの特性が新しいデータに基づいて想定されるため、既存のデータはスキャンおよび分析されません。 -
ランサムウェア対策 ボックスでボリュームの ARP 状態を確認します。
すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。
既存のボリュームでARPを有効にする:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>の詳細については security anti-ransomware volume dry-run、を"ONTAPコマンド リファレンス"参照してください。
ARP を有効にして新しいボリュームを作成します:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>自動切り替えを無効にする(オプション):
ONTAP 9.15.1 を通じてONTAP 9.13.1 にアップグレードし、関連付けられているすべてのボリュームの学習モードからアクティブ モードへの切り替えを手動で制御する場合は、SVM から次の操作を実行できます。
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseARP状態を確認します:
security anti-ransomware volume showNAS FlexGroupボリュームでARPを有効にする
System Manager またはONTAP CLI を使用して、NAS FlexGroupボリュームで ARP を有効にすることができます。プロセスはONTAP のバージョンによって異なります。
ONTAP 9.18.1 以降では、学習期間を必要とせず、 FlexGroupボリュームに対して ARP/AI がすぐにアクティブになります。
-
ストレージ > ボリューム を選択し、保護するFlexGroupボリュームを選択します。
-
[ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。
-
ランサムウェア対策 ボックスでボリュームの ARP 状態を確認します。
すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。
既存のFlexGroupボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARPが有効になっている新しいFlexGroupボリュームを作成します。
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>ARP状態を確認します:
security anti-ransomware volume showONTAP 9.13.1~9.17.1では、 FlexGroupボリュームは"ラーニングモード"。システムはワークロードを分析して、通常の動作を特徴付けます。
ARP を学習モードで少なくとも 30 日間実行することをお勧めします。ARP は最適な学習期間間隔を自動的に決定し、切り替えを自動化します。切り替えは 30 日前に実行される可能性があります。
-
ストレージ > ボリューム を選択し、保護するFlexGroupボリュームを選択します。
-
[ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。
-
*ランサムウェア対策*ボックスで*学習モードで有効*を選択します。
あなたはできる"アクティブモード遷移への自動学習を無効にする"学習モードからアクティブ モードへの移行を手動で制御する場合。 -
ランサムウェア対策 ボックスでボリュームの ARP 状態を確認します。
既存のFlexGroupボリュームでARPを有効にする:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>ARPが有効になっている新しいFlexGroupボリュームを作成します。
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>自動切り替えを無効にする(オプション):
学習モードからアクティブ モードへの切り替えを手動で制御する場合:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseARP状態を確認します:
security anti-ransomware volume showSANボリュームでARPを有効にする
ONTAP 9.17.1 以降では、SAN ボリュームで ARP を有効にすることができます。 ARP/AI機能は自動的に有効になり、SANボリュームの監視と保護を直ちに開始します。"評価期間"同時に、ワークロードが ARP に適しているかどうかを判断し、検出に最適な暗号化しきい値を設定します。
System Manager またはONTAP CLI を使用して、SAN ボリューム上で ARP を有効にすることができます。
-
ストレージ > ボリューム を選択し、保護する SAN ボリュームを選択します。
-
[ボリューム]概要の*タブで[ステータス]*を選択し、[無効]から[有効]に切り替えます。
-
ARP/AIは自動的に評価期間に入ります。
-
ランサムウェア対策 ボックスで ARP の状態と評価ステータスを確認します。
すべてのボリュームのARPステータスを表示するには、* Volumes ペインで Show/Hide を選択し、 Anti-ransomware *ステータスがチェックされていることを確認します。
既存のSANボリュームでARPを有効にする:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>ARP を有効にして新しい SAN ボリュームを作成します。
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledARPの状態と評価ステータスを確認します。
security anti-ransomware volume showチェックしてください `Block device detection status`評価期間の進行状況を監視するフィールド。
の詳細については security anti-ransomware volume show、を"ONTAPコマンド リファレンス"参照してください。