자동 생성된 ARP 스냅샷에 대한 설정 조정
ONTAP 9.11.1부터 CLI를 사용하여 의심되는 랜섬웨어 공격에 대응하여 자동으로 생성되는 ARP(자율적 랜섬웨어 방어) 스냅샷의 보존 설정을 제어할 수 있습니다.
ARP 스냅샷 옵션은 다음에서만 수정할 수 있습니다. "노드 SVM" 다른 SVM 유형에서는 그렇지 않습니다.
-
모든 현재 ARP 스냅샷 설정 표시:
options -option-name arw*
-
선택한 현재 ARP 스냅샷 설정 표시:
options -option-name <arw_setting_name>
-
ARP 스냅샷 설정 수정:
options -option-name <arw_setting_name> -option-value <arw_setting_value>
다음 설정을 수정할 수 있습니다.
설명된 명령 중 일부는 ONTAP 9.17.1부터 더 이상 지원되지 않습니다. ONTAP 9.17.1에 추가된 명령은 NAS 및 SAN 환경을 모두 지원합니다. 설정 설명 지원되는 버전 arw.snap.max.count
볼륨에 동시에 존재할 수 있는 최대 ARP 스냅샷 수를 지정합니다. 총 ARP 스냅샷 수가 이 제한을 넘지 않도록 이전 사본은 삭제됩니다.
ONTAP 9.11.1 이상
arw.snap.create.interval.hours
ARP 스냅샷 생성 간격(시간)을 지정합니다. 데이터 엔트로피 기반 공격이 의심되고 가장 최근에 생성된 ARP 스냅샷이 지정된 간격보다 오래된 경우 새로운 ARP 스냅샷이 생성됩니다.
ONTAP 9.11.1 이상
arw.snap.normal.retain.interval.hours
ARP 스냅샷이 보존되는 기간(시간)을 지정합니다. ARP 스냅샷이 보존 임계값에 도달하면 삭제됩니다.
-
ONTAP 9.11.1에서 ONTAP 9.16.1로
-
ONTAP 9.17.1 이상에서 더 이상 사용되지 않습니다.
arw.snap.max.retain.interval.days
ARP 스냅샷을 보존할 수 있는 최대 지속 시간을 days_로 지정합니다. 이 기간보다 오래된 ARP 스냅샷은 볼륨에 보고된 공격이 없으면 삭제됩니다.
ARP 스냅샷의 최대 보존 간격은 보통 위협이 감지된 경우 무시됩니다. 위협에 대한 응답으로 생성된 ARP 스냅샷은 사용자가 위협에 응답할 때까지 유지됩니다. 위협을 false positive로 표시하면 ONTAP는 볼륨에 대한 ARP 스냅샷을 삭제합니다. -
ONTAP 9.11.1에서 ONTAP 9.16.1로
-
ONTAP 9.17.1 이상에서 더 이상 사용되지 않습니다.
arw.snap.create.interval.hours.post.max.count
볼륨에 이미 최대 개수의 ARP 스냅샷이 있는 경우 ARP 스냅샷 생성 간격(시간)을 지정합니다. 최대 개수에 도달하면 새 복사본을 위한 공간을 확보하기 위해 ARP 스냅샷이 삭제됩니다. 이 옵션을 사용하면 새 ARP 스냅샷 생성 속도를 줄여 이전 복사본을 유지할 수 있습니다. 볼륨에 이미 최대 개수의 ARP 스냅샷이 있는 경우, 다음 ARP 스냅샷 생성에는 이 옵션에 지정된 간격이 사용됩니다.
arw.snap.create.interval.hours
.-
ONTAP 9.11.1부터 9.16.1까지
-
ONTAP 9.17.1 이상에서 더 이상 사용되지 않습니다.
arw.snap.low.encryption.retain.duration.hours
암호화 활동이 낮은 기간 동안 생성된 ARP 스냅샷의 보존 기간을 시간 단위로 지정합니다.
-
ONTAP 9.17.1 이상
arw.snap.new.extns.interval.hours
새 파일 확장자가 감지될 때 생성되는 ARP 스냅샷 사이의 간격(시간)을 지정합니다. 새 파일 확장자가 감지되면 새 ARP 스냅샷이 생성됩니다. 새 파일 확장자가 감지되어 생성된 이전 스냅샷은 이 지정된 간격보다 이전 스냅샷입니다. 새 파일 확장자 를 자주 생성하는 작업 부하에서 이 간격은 ARP 스냅샷의 빈도를 제어하는 데 도움이 됩니다. 이 옵션은 다음과는 별개로 존재합니다.
arw.snap.create.interval.hours
데이터 엔트로피 기반 ARP 스냅샷의 간격을 지정합니다.-
ONTAP 9.11.1에서 ONTAP 9.16.1로
-
ONTAP 9.17.1 이상에서 더 이상 사용되지 않습니다.
arw.snap.retain.hours.after.clear.suspect.false.alert
관리자가 공격 사고를 오탐지로 표시한 후 예방 조치로 ARP 스냅샷을 보관하는 간격(시간)을 지정합니다. 이 예방 보관 기간이 만료되면 옵션에 정의된 표준 보관 기간에 따라 스냅샷이 삭제될 수 있습니다.
arw.snap.normal.retain.interval.hours
그리고arw.snap.max.retain.interval.days
.-
ONTAP 9.16.1 이상
arw.snap.retain.hours.after.clear.suspect.real.attack
관리자가 공격 사고를 실제 공격으로 표시한 후 예방 조치로 ARP 스냅샷을 보관하는 간격(시간)을 지정합니다. 이 예방 보관 기간이 만료되면 옵션에 정의된 표준 보관 기간에 따라 스냅샷이 삭제될 수 있습니다.
arw.snap.normal.retain.interval.hours
그리고arw.snap.max.retain.interval.days
.-
ONTAP 9.16.1 이상
arw.snap.surge.interval.days
IO 서지에 대한 응답으로 생성된 ARP 스냅샷 사이의 간격 _(일)을 지정합니다. ONTAP는 IO 트래픽에 과부하가 있고 마지막으로 생성된 ARP 스냅샷이 지정된 간격보다 오래된 경우 ARP 스냅샷 서지 복제본을 생성합니다. 또한 이 옵션은 ARP 서지 스냅숏에 대한 보존 기간을 day_로 지정합니다.
ONTAP 9.11.1 이상
arw.high.encryption.alert.enabled
높은 수준의 암호화에 대한 알림을 활성화합니다. 이 옵션이 설정된 경우
on
(기본값), ONTAP 암호화 비율이 지정된 임계값을 초과하면 경고를 보냅니다.arw.high.encryption.percentage.threshold
.ONTAP 9.17.1 이상
arw.high.encryption.percentage.threshold
볼륨의 최대 암호화 비율을 지정합니다. 암호화 비율이 이 임계값을 초과하면 ONTAP 증가를 공격으로 간주하고 ARP 스냅샷을 생성합니다.
arw.high.encryption.alert.enabled
설정해야 합니다on
이 옵션을 적용하려면 다음을 수행하세요.ONTAP 9.17.1 이상
arw.snap.high.encryption.retain.duration.hours
높은 암호화 임계값 이벤트 중에 생성된 스냅샷의 보존 기간 간격을 시간 단위로 지정합니다.
ONTAP 9.17.1 이상
-
-
SAN 환경에서 ARP를 사용하는 경우 다음 평가 기간 설정도 수정할 수 있습니다.
설정 설명 지원되는 버전 arw.block_device.auto.learn.threshold.min_value
블록 장치에 대한 평가의 자동 학습 단계 동안 최소 암호화 임계값 백분율 값을 지정합니다.
ONTAP 9.17.1 이상
arw.block_device.auto.learn.threshold.max_value
블록 장치에 대한 평가의 자동 학습 단계 동안 최대 암호화 임계값 백분율 값을 지정합니다.
ONTAP 9.17.1 이상
arw.block_device.evaluation.phase.min_hours
암호화 임계값이 설정되기 전에 평가 단계가 실행되어야 하는 최소 간격(시간)을 지정합니다.
ONTAP 9.17.1 이상
arw.block_device.evaluation.phase.max_hours
암호화 임계값이 설정되기 전에 평가 단계가 실행되어야 하는 최대 간격(시간)을 지정합니다.
ONTAP 9.17.1 이상
arw.block_device.evaluation.phase.min_data_ingest_size_GB
암호화 임계값이 설정되기 전에 평가 단계에서 수집해야 하는 최소 데이터 양(GB)을 지정합니다.
ONTAP 9.17.1 이상
arw.block_device.evaluation.phase.alert.enabled
블록 장치에서 ARP 평가 단계에 대한 경고를 활성화할지 여부를 지정합니다. 기본값은 다음과 같습니다.
True
.ONTAP 9.17.1 이상
arw.block_device.evaluation.phase.alert.threshold
블록 장치에서 ARP 평가 단계의 임계값 비율을 지정합니다. 암호화 비율이 이 임계값을 초과하면 경고가 발생합니다.
ONTAP 9.17.1 이상