SAN 볼륨에 대한 ONTAP ARP 평가 기간에 대해 알아보세요.
변경 제안
PDF
ONTAP 9.17.1부터 ARP는 SAN 볼륨 워크로드의 엔트로피 수준이 랜섬웨어 보호에 적합한지 확인하기 위한 평가 기간을 요구합니다. SAN 볼륨에서 ARP가 활성화되면 평가 기간 동안 데이터를 지속적으로 모니터링하여 최적의 암호화 임계값을 결정합니다. ARP는 평가 대상 SAN 볼륨에서 적합한 워크로드와 적합하지 않은 워크로드를 구분하고, 워크로드가 보호에 적합하다고 판단되면 평가 기간 통계를 기반으로 암호화 임계값을 자동으로 설정합니다.
엔트로피 평가 이해
시스템은 10분 간격으로 지속적인 암호화 통계를 수집합니다. 평가 중에 ARP 주기적 스냅샷도 4시간마다 지속적으로 생성됩니다. 간격 내 암호화 비율이 이 볼륨에 대해 식별된 최적 암호화 임계값을 초과하면 경고가 트리거됩니다. Anti_ransomware_attack_backup 스냅샷이 생성되고, 주기적 ARP 스냅샷에서 스냅샷 보존 시간이 늘어납니다.
다음 명령을 실행하고 상태를 확인하여 평가가 활성 상태인지 확인할 수 있습니다 evaluation_period. 평가 대상이 아닌 볼륨의 경우 평가 상태가 표시되지 않습니다.
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : evaluation_period
다음 명령을 실행하면 암호화 탐지를 실시간으로 모니터링할 수 있습니다. 이 명령은 각 암호화 비율 범위에 포함된 데이터 양을 보여주는 히스토그램을 반환합니다. 히스토그램은 10분마다 업데이트됩니다.
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time응답 예시:
Vserver Name Entropy Range Seen N Time Data Written ---------- ---------------- --------------- -------------- ------------- vs0 lun1 0-5% 4 100MB vs0 lun1 6-10% 10 900MB vs0 lun1 11-15% 20 40MB vs0 lun1 16-20% 10 70MB vs0 lun1 21-25% 60 450MB vs0 lun1 26-30% 4 100MB vs0 lun1 31-35% 10 900MB vs0 lun1 36-40% 20 40MB vs0 lun1 41-45% 0 0 vs0 lun1 46-50% 0 0 vs0 lun1 51-55% 0 0 vs0 lun1 56-60% 0 0 vs0 lun1 61-65% 0 0 vs0 lun1 66-70% 0 0 vs0 lun1 71-75% 0 0 vs0 lun1 76-80% 0 0 vs0 lun1 81-85% 0 0 vs0 lun1 86-90% 0 0 vs0 lun1 91-95% 0 0 vs0 lun1 96-100% 0 0 20 entries were displayed.
적절한 작업 부하 및 적응 임계값
평가는 다음 결과 중 하나로 종료됩니다.
-
해당 워크로드는 ARP에 적합합니다. ARP는 평가 기간 동안 확인된 최대 암호화 비율의 10% 이상으로 적응형 임계값을 자동 설정합니다. 또한 ARP는 통계 수집을 계속하고 주기적인 ARP 스냅샷을 생성합니다.
-
작업 부하가 ARP에 적합하지 않습니다. ARP는 평가 기간 동안 확인된 최대 암호화 비율로 적응형 임계값을 자동 설정합니다. ARP는 또한 통계 수집을 계속하고 주기적인 ARP 스냅샷을 생성하지만, 궁극적으로 시스템은 해당 볼륨에서 ARP를 비활성화할 것을 권장합니다.
평가 기간이 종료되면 ARP는 평가 결과에 따라 자동으로 적응 임계값을 설정합니다.
다음 명령을 실행하여 평가 결과를 확인할 수 있습니다. 볼륨 적합성은 Block device detection status 필드:
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : Active_suitable_workload Block device evaluation start time : 5/16/2025 01:49:01
평가 결과에 따라 채택된 값 임계값을 표시할 수도 있습니다.
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>응답 예시:
Vserver Name : vs_1
Volume Name : vm_2
Block Device Auto Learned Encryption Threshold : 10
...