日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自動生成されたARPスナップショットの設定を調整する

01/23/2026 共同作成者

PDF

ONTAP 9.11.1以降では、CLIを使用して、ランサムウェア攻撃が疑われる場合に自動的に生成される自律型ランサムウェア対策（ARP）Snapshotの保持設定を制御できます。

開始する前に

ARP スナップショットオプションを変更できるのは"ノード SVM"のみで、他の SVM タイプでは変更できません。

手順

現在のすべての ARP スナップショット設定を表示します：
```
options -option-name arw*
```
選択した現在の ARP スナップショット設定を表示します：
```
options -option-name <arw_setting_name>
```

ARP スナップショット設定を変更します：

options -option-name <arw_setting_name> -option-value <arw_setting_value>

以下の設定を変更できます：

記載されているコマンドの一部は、ONTAP 9.17.1以降では廃止されています。ONTAP 9.17.1で導入されたコマンドは、NAS環境とSAN環境の両方をサポートします。

設定概要サポート対象のバージョン

arw.snap.max.count

ボリューム内に同時に存在できるARPスナップショットの最大数を指定します。ARPスナップショットの総数が指定された制限内に収まるように、古いコピーは削除されます。

ONTAP 9.11.1以降

arw.snap.create.interval.hours

ARPスナップショット間の間隔を_時間単位_で指定します。データエントロピーベースの攻撃が疑われ、最後に作成されたARPスナップショットが指定された間隔よりも古い場合に、新しいARPスナップショットが作成されます。

ONTAP 9.11.1以降

arw.snap.normal.retain.interval.hours

ARPスナップショットを保持する期間（時間単位）を指定します。ARPスナップショットが保持しきい値に達すると、削除されます。

ONTAP 9.11.1からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.max.retain.interval.days

ARPスナップショットを保持できる最大期間（日数）を指定します。この期間よりも古いARPスナップショットは、ボリュームへの攻撃が報告されていない場合に削除されます。

moderateレベルの脅威が検出された場合、ARP Snapshotの最長保持期間は無視されます。脅威が検出された場合に作成されたARP Snapshotは、脅威に対応するまで保持されます。脅威を誤検出としてマークすると、ONTAPはそのボリュームのARP Snapshotを削除します。

ONTAP 9.11.1からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.create.interval.hours.post.max.count

ボリュームに既に最大数のARPスナップショットが含まれている場合、ARPスナップショット間の間隔（時間単位）を指定します。最大数に達すると、新しいコピー用のスペースを確保するために、ARPスナップショットが削除されます。このオプションを使用すると、古いコピーを保持するために、新しいARPスナップショットの作成速度を低下させることができます。ボリュームに既に最大数のARPスナップショットが含まれている場合、次回のARPスナップショットの作成には、 `arw.snap.create.interval.hours`ではなく、このオプションで指定された間隔が使用されます。

ONTAP 9.11.1 から 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.low.encryption.retain.duration.hours

暗号化アクティビティが少ない期間中に作成された ARP スナップショットの保持期間を_時間単位で_指定します。

ONTAP 9.17.1以降

arw.snap.new.extns.interval.hours

新しいファイル拡張子が検出されたときに作成されるARPスナップショットの間隔（時間単位）を指定します。新しいファイル拡張子が検出されると、新しいARPスナップショットが作成されます。新しいファイル拡張子の検出時に作成された前回のスナップショットは、この指定された間隔よりも古いものです。新しいファイル拡張子が頻繁に作成されるワークロードでは、この間隔によってARPスナップショットの頻度を制御できます。このオプションは `arw.snap.create.interval.hours`とは独立して存在し、データエントロピーベースのARPスナップショットの間隔を指定します。

ONTAP 9.11.1からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.retain.hours.after.clear.suspect.false.alert

管理者が攻撃インシデントを誤検知とマークした後、予防措置としてARPスナップショットを保持する間隔（時間単位）を指定します。この予防措置保持期間が経過すると、スナップショットはオプション `arw.snap.normal.retain.interval.hours`と `arw.snap.max.retain.interval.days`で定義された標準保持期間に従って削除される場合があります。

ONTAP 9.16.1以降

arw.snap.retain.hours.after.clear.suspect.real.attack

管理者が攻撃インシデントを実際の攻撃としてマークした後、予防措置としてARPスナップショットを保持する間隔（時間単位）を指定します。この予防措置保持期間が経過すると、スナップショットはオプション `arw.snap.normal.retain.interval.hours`と `arw.snap.max.retain.interval.days`で定義された標準保持期間に従って削除されます。

ONTAP 9.16.1以降

arw.snap.surge.interval.days

IOサージへの対応として作成されるARPスナップショットの間隔（日数）を指定します。ONTAPは、IOトラフィックのサージが発生し、最後に作成されたARPスナップショットがこの指定された間隔よりも古い場合、ARPスナップショットのサージコピーを作成します。このオプションは、ARPサージスナップショットの保持期間（日数）も指定します。

ONTAP 9.11.1以降

arw.high.encryption.alert.enabled

高レベルの暗号化に関するアラートを有効にします。このオプションを on（デフォルト）に設定すると、暗号化の割合が `arw.high.encryption.percentage.threshold`で指定されたしきい値を超えると、ONTAPはアラートを送信します。

ONTAP 9.17.1以降

arw.high.encryption.percentage.threshold

ボリュームの暗号化の最大割合を指定します。暗号化の割合がこのしきい値を超えると、ONTAPは増加を攻撃とみなし、ARPスナップショットを作成します。 `arw.high.encryption.alert.enabled`このオプションを有効にするには、 `on`に設定する必要があります。

ONTAP 9.17.1以降

arw.snap.high.encryption.retain.duration.hours

高い暗号化しきい値イベント中に作成されたスナップショットの保持期間間隔を_時間単位_で指定します。

ONTAP 9.17.1以降

SAN 環境で ARP を使用している場合は、次の評価期間設定を変更することもできます：

設定概要サポート対象のバージョン

設定	概要	サポート対象のバージョン
`arw.block_device.auto.learn.threshold.min_value`	ブロックデバイスの評価の自動学習フェーズ中の最小暗号化しきい値のパーセンテージ値を指定します。	ONTAP 9.17.1以降
`arw.block_device.auto.learn.threshold.max_value`	ブロックデバイスの評価の自動学習フェーズ中の最大暗号化しきい値のパーセンテージ値を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.min_hours`	暗号化しきい値が設定される前に評価フェーズを実行する必要がある最小間隔（時間単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.max_hours`	暗号化しきい値が設定される前に評価フェーズを実行する必要がある最大間隔（時間単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.min_data_ingest_size_GB`	暗号化しきい値が設定される前に、評価フェーズ中に取り込む必要があるデータの最小量（GB 単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.alert.enabled`	ブロックデバイス上のARP評価フェーズでアラートを有効にするかどうかを指定します。デフォルト値は `True`です。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.alert.threshold`	ブロックデバイスにおけるARP評価フェーズ中のしきい値パーセンテージを指定します。暗号化の割合がこのしきい値を超えると、アラートがトリガーされます。	ONTAP 9.17.1以降

arw.block_device.auto.learn.threshold.min_value

ブロックデバイスの評価の自動学習フェーズ中の最小暗号化しきい値のパーセンテージ値を指定します。

ONTAP 9.17.1以降

arw.block_device.auto.learn.threshold.max_value

ブロックデバイスの評価の自動学習フェーズ中の最大暗号化しきい値のパーセンテージ値を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.min_hours

暗号化しきい値が設定される前に評価フェーズを実行する必要がある最小間隔（時間単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.max_hours

暗号化しきい値が設定される前に評価フェーズを実行する必要がある最大間隔（時間単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.min_data_ingest_size_GB

暗号化しきい値が設定される前に、評価フェーズ中に取り込む必要があるデータの最小量（GB 単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.alert.enabled

ブロックデバイス上のARP評価フェーズでアラートを有効にするかどうかを指定します。デフォルト値は `True`です。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.alert.threshold

ブロックデバイスにおけるARP評価フェーズ中のしきい値パーセンテージを指定します。暗号化の割合がこのしきい値を超えると、アラートがトリガーされます。

ONTAP 9.17.1以降

自動生成されたARPスナップショットの設定を調整する

Creating your file...