日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自動生成されたARPスナップショットの設定を調整する

07/24/2025 共同作成者

PDF

ONTAP 9 .11.1以降では、CLIを使用して、ランサムウェア攻撃の疑いがある場合に自動的に生成されるAutonomous Ransomware Protection（ARP）Snapshotの保持設定を制御できます。

開始する前に

ARPスナップショットオプションを変更できるのは、 "ノードSVM"他の SVM タイプでは適用されません。

手順

現在のARPスナップショット設定をすべて表示します。
```
options -option-name arw*
```
選択した現在のARPスナップショット設定を表示：
```
options -option-name <arw_setting_name>
```

ARPスナップショット設定を変更します。

options -option-name <arw_setting_name> -option-value <arw_setting_value>

次の設定を変更できます。

ここで説明するコマンドの一部は、 ONTAP 9.17.1以降では廃止されています。ONTAPONTAPで導入されたコマンドは、NAS環境とSAN環境の両方をサポートします。

設定説明サポート対象のバージョン

arw.snap.max.count

ボリューム内に同時に存在できるARPスナップショットの最大数を指定します。ARPスナップショットの総数が指定された制限内に収まるように、古いコピーは削除されます。

ONTAP 9.11.1以降

arw.snap.create.interval.hours

ARPスナップショットの間隔（時間単位）を指定します。データエントロピーベースの攻撃が疑われる場合、かつ最後に作成されたARPスナップショットが指定された間隔よりも古い場合、新しいARPスナップショットが作成されます。

ONTAP 9.11.1以降

arw.snap.normal.retain.interval.hours

ARPスナップショットを保持する期間（時間単位）を指定します。ARPスナップショットが保持しきい値に達すると、削除されます。

ONTAP 9.11.1 からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.max.retain.interval.days

ARPスナップショットを保持できる最大期間（日数）を指定します。ボリュームで攻撃が報告されていない場合、この期間よりも古いARPスナップショットは削除されます。

中程度の脅威が検出された場合、ARPスナップショットの最大保持間隔は無視されます。脅威に対応して作成されたARPスナップショットは、脅威に対応するまで保持されます。脅威を誤検出としてマークすると、ONTAPはそのボリュームのARPスナップショットを削除します。

ONTAP 9.11.1 からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.create.interval.hours.post.max.count

ボリュームにすでに最大数のARPスナップショットが含まれている場合の、ARPスナップショット間の間隔（時間単位）を指定します。最大数に達すると、ARP Snapshotが削除されて、新しいコピー用のスペースが確保されます。このオプションを使用すると、新しいARP Snapshotの作成速度を遅くして、古いコピーを保持することができます。ボリュームにすでに最大数のARPスナップショットが含まれている場合、このオプションで指定された間隔は、次回のARPスナップショットの作成時に使用されます。 arw.snap.create.interval.hours 。

ONTAP 9.11.1 から 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.low.encryption.retain.duration.hours

暗号化アクティビティが少ない期間中に作成された ARP スナップショットの保持期間を時間単位で指定します。

ONTAP 9.17.1以降

arw.snap.new.extns.interval.hours

新しいファイル拡張子が検出されたときに作成されるARPスナップショットの間隔（時間単位）を指定します。新しいファイル拡張子が見つかると、新しいARP Snapshotが作成されます。新しいファイル拡張子を監視しているときに作成された以前のSnapshotは、この指定された間隔よりも古いものです。頻繁に新しいファイル拡張子が作成されるワークロードでは、この間隔によってARPスナップショットの頻度を制御できます。このオプションは、 `arw.snap.create.interval.hours`データエントロピーベースの ARP スナップショットの間隔を指定します。

ONTAP 9.11.1 からONTAP 9.16.1
ONTAP 9.17.1以降では非推奨

arw.snap.retain.hours.after.clear.suspect.false.alert

管理者が攻撃インシデントを誤検知と判定した後、予防措置としてARPスナップショットを保持する間隔（時間単位）を指定します。この予防措置保持期間が経過すると、スナップショットはオプションで定義された標準保持期間に従って削除されます。 arw.snap.normal.retain.interval.hours`そして `arw.snap.max.retain.interval.days 。

ONTAP 9.16.1以降

arw.snap.retain.hours.after.clear.suspect.real.attack

管理者が攻撃インシデントを実際の攻撃としてマークした後、予防措置としてARPスナップショットを保持する間隔（時間単位）を指定します。この予防措置保持期間が経過すると、スナップショットはオプションで定義された標準保持期間に従って削除されます。 arw.snap.normal.retain.interval.hours`そして `arw.snap.max.retain.interval.days 。

ONTAP 9.16.1以降

arw.snap.surge.interval.days

IOサージに応答して作成されるARPスナップショット間のinterval_in days_betweenを指定します。ONTAPは、IOトラフィックが急増し、最後に作成されたARPスナップショットがこの指定された間隔よりも古い場合に、ARPスナップショットサージコピーを作成します。このオプションは、ARPサージスナップショットの保持期間（日数_）も指定します。

ONTAP 9.11.1以降

arw.high.encryption.alert.enabled

高度な暗号化に関するアラートを有効にします。このオプションが on （デフォルト）、暗号化の割合が指定されたしきい値を超えると、 ONTAPはアラートを送信します。 arw.high.encryption.percentage.threshold 。

ONTAP 9.17.1以降

arw.high.encryption.percentage.threshold

ボリュームの暗号化の最大割合を指定します。暗号化の割合がこのしきい値を超えると、 ONTAP は増加を攻撃とみなし、ARP スナップショットを作成します。 `arw.high.encryption.alert.enabled`に設定する必要があります `on`このオプションを有効にするには、

ONTAP 9.17.1以降

arw.snap.high.encryption.retain.duration.hours

高い暗号化しきい値イベント中に作成されたスナップショットの保持期間間隔を 時間単位 で指定します。

ONTAP 9.17.1以降

SAN 環境で ARP を使用している場合は、次の評価期間設定を変更することもできます。

設定説明サポート対象のバージョン

設定	説明	サポート対象のバージョン
`arw.block_device.auto.learn.threshold.min_value`	ブロックデバイスの評価の自動学習フェーズ中の最小暗号化しきい値のパーセンテージ値を指定します。	ONTAP 9.17.1以降
`arw.block_device.auto.learn.threshold.max_value`	ブロックデバイスの評価の自動学習フェーズ中の最大暗号化しきい値のパーセンテージ値を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.min_hours`	暗号化しきい値が設定される前に評価フェーズを実行する必要がある最小間隔（時間単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.max_hours`	暗号化しきい値が設定される前に評価フェーズを実行する必要がある最大間隔（時間単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.min_data_ingest_size_GB`	暗号化しきい値が設定される前に、評価フェーズ中に取り込む必要があるデータの最小量（GB 単位）を指定します。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.alert.enabled`	ブロックデバイス上のARPの評価フェーズでアラートを有効にするかどうかを指定します。デフォルト値は `True` 。	ONTAP 9.17.1以降
`arw.block_device.evaluation.phase.alert.threshold`	ブロックデバイスにおけるARPの評価フェーズにおけるしきい値のパーセンテージを指定します。暗号化の割合がこのしきい値を超えると、アラートがトリガーされます。	ONTAP 9.17.1以降

arw.block_device.auto.learn.threshold.min_value

ブロックデバイスの評価の自動学習フェーズ中の最小暗号化しきい値のパーセンテージ値を指定します。

ONTAP 9.17.1以降

arw.block_device.auto.learn.threshold.max_value

ブロックデバイスの評価の自動学習フェーズ中の最大暗号化しきい値のパーセンテージ値を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.min_hours

暗号化しきい値が設定される前に評価フェーズを実行する必要がある最小間隔（時間単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.max_hours

暗号化しきい値が設定される前に評価フェーズを実行する必要がある最大間隔（時間単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.min_data_ingest_size_GB

暗号化しきい値が設定される前に、評価フェーズ中に取り込む必要があるデータの最小量（GB 単位）を指定します。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.alert.enabled

ブロックデバイス上のARPの評価フェーズでアラートを有効にするかどうかを指定します。デフォルト値は True 。

ONTAP 9.17.1以降

arw.block_device.evaluation.phase.alert.threshold

ブロックデバイスにおけるARPの評価フェーズにおけるしきい値のパーセンテージを指定します。暗号化の割合がこのしきい値を超えると、アラートがトリガーされます。

ONTAP 9.17.1以降

自動生成されたARPスナップショットの設定を調整する

Creating your file...