Ative a proteção do ONTAP Autonomous ransomware
Sugerir alterações
PDFs
A partir do ONTAP 9.10,1, você pode ativar a proteção autônoma contra ransomware (ARP) em um volume existente ou criar um novo volume e ativar o ARP desde o início.
Se você quiser configurar o cluster do ONTAP para que todos os novos volumes sejam ativados por padrão para a proteção autônoma contra ransomware (ARP), consulte este "Procedimento ARP relacionado".
Para habilitar o ARP, siga o procedimento que corresponde ao seu ambiente apósVocê garante que seu ambiente atenda a determinados requisitos. :
Após habilitar o ARP, ele poderá entrar em um período de transição, dependendo do seu ambiente e da versão do ONTAP :
| Tipo de volume | Versão de ONTAP | Comportamento após a ativação |
|---|---|---|
NAS FlexGroup |
ONTAP 9.18.1 e posterior |
O ARP/AI é ativado imediatamente, sem período de aprendizagem. |
ONTAP 9.13.1 a 9.17.1 |
O ARP inicia em modo de aprendizagem por 30 dias. |
|
NAS FlexVol |
ONTAP 9.16,1 e posterior |
O ARP/AI é ativado imediatamente, sem período de aprendizagem. |
ONTAP 9.10.1 a 9.15.1 |
O ARP inicia em modo de aprendizagem por 30 dias. |
|
Volumes SAN |
ONTAP 9.17.1 e posterior |
O ARP/AI é ativado imediatamente, iniciando um período de avaliação para estabelecer um limite de alerta adequado antes de passar de um limite inicial conservador. |
Antes de ativar o ARP, certifique-se de que seu ambiente possua o seguinte:
-
Uma máquina virtual de armazenamento (SVM) com o protocolo NFS ou SMB (ou ambos) habilitado.
-
Carga de trabalho NAS com clientes configurados.
-
Um ativo"caminho de junção" para o volume.
-
Uma máquina virtual de armazenamento (SVM) com protocolo iSCSI, FC ou NVMe habilitado.
-
Carga de trabalho SAN com clientes configurados.
-
O"licença correta" para a sua versão ONTAP .
-
(Recomendado) Verificação multi-administradora (MAV) ativada (ONTAP 9.13.1 e posterior). Ver"Ative a verificação de vários administradores" .
Ativar ARP em volumes NAS FlexVol
Você pode habilitar o ARP em volumes NAS FlexVol usando o System Manager ou a CLI do ONTAP . O processo varia de acordo com a sua versão do ONTAP .
A partir do ONTAP 9.16.1, o ARP/AI fica ativo imediatamente, sem necessidade de período de aprendizagem.
-
Selecione armazenamento > volumes e, em seguida, selecione o volume que pretende proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
Verifique o estado ARP do volume na caixa Anti-ransomware.
Para exibir o status ARP para todos os volumes: No painel volumes, selecione Mostrar/Ocultar e verifique se o status Anti-ransomware está marcado.
Habilitar ARP em um volume existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crie um novo volume com ARP ativado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verifique o estado do ARP:
security anti-ransomware volume showSaiba mais sobre security anti-ransomware volume show o "Referência do comando ONTAP"na .
Para o ONTAP 9.10.1 a 9.15.1, você deve habilitar o ARP inicialmente em"modo de aprendizagem" (ou estado de "teste a seco"). O sistema analisa a carga de trabalho para caracterizar o comportamento normal. Começar no modo ativo pode levar a um excesso de relatórios de falsos positivos.
É recomendável que você deixe o ARP em modo de aprendizado por no mínimo 30 dias. A partir do ONTAP 9.13.1, o ARP determina automaticamente o intervalo ideal do período de aprendizado e automatiza a troca, o que pode ocorrer antes dos 30 dias.
-
Selecione armazenamento > volumes e, em seguida, selecione o volume que pretende proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
Selecione Ativado no modo de aprendizagem na caixa Anti-ransomware.
Você pode"Desativar a aprendizagem automática para transições de modos ativos na VM de armazenamento associada." Se você deseja controlar manualmente a transição do modo de aprendizado para o modo ativo.
Nos volumes existentes, os modos de aprendizagem e ativos aplicam-se apenas a dados recém-gravados, não a dados já existentes no volume. Os dados existentes não são digitalizados e analisados, porque as caraterísticas do tráfego de dados normal anterior são assumidas com base nos novos dados depois que o volume é ativado para ARP. -
Verifique o estado ARP do volume na caixa Anti-ransomware.
Para exibir o status ARP para todos os volumes: No painel volumes, selecione Mostrar/Ocultar e verifique se o status Anti-ransomware está marcado.
Habilitar ARP em um volume existente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Saiba mais sobre security anti-ransomware volume dry-run o "Referência do comando ONTAP"na .
Crie um novo volume com ARP ativado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Desativar a troca automática (opcional):
Se você atualizou para o ONTAP 9.13.1 até o ONTAP 9.15.1 e deseja controlar manualmente a transição do modo de aprendizado para o modo ativo em todos os volumes associados, você pode fazer isso a partir do SVM:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerifique o estado do ARP:
security anti-ransomware volume showAtivar ARP em volumes NAS FlexGroup
Você pode habilitar o ARP em volumes NAS FlexGroup usando o System Manager ou a CLI do ONTAP . O processo varia de acordo com a sua versão do ONTAP .
A partir do ONTAP 9.18.1, o ARP/AI fica ativo imediatamente para volumes FlexGroup , sem necessidade de período de aprendizagem.
-
Selecione Armazenamento > Volumes e, em seguida, selecione o volume FlexGroup que deseja proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
Verifique o estado ARP do volume na caixa Anti-ransomware.
Para exibir o status ARP para todos os volumes: No painel volumes, selecione Mostrar/Ocultar e verifique se o status Anti-ransomware está marcado.
Habilite o ARP em um volume FlexGroup existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crie um novo volume FlexGroup com ARP ativado:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>Verifique o estado do ARP:
security anti-ransomware volume showPara ONTAP 9.13.1 a 9.17.1, os volumes FlexGroup começam em"modo de aprendizagem" . O sistema analisa a carga de trabalho para caracterizar o comportamento normal.
É recomendável que você deixe o ARP em modo de aprendizado por no mínimo 30 dias. O ARP determina automaticamente o intervalo ideal para o período de aprendizagem e automatiza a mudança, que pode ocorrer antes de 30 dias.
-
Selecione Armazenamento > Volumes e, em seguida, selecione o volume FlexGroup que deseja proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
Selecione Ativado no modo de aprendizagem na caixa Anti-ransomware.
Você pode"desativar a aprendizagem automática para transições de modos ativos" Se você deseja controlar manualmente a transição do modo de aprendizado para o modo ativo. -
Verifique o estado ARP do volume na caixa Anti-ransomware.
Habilite o ARP em um volume FlexGroup existente:
security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>Crie um novo volume FlexGroup com ARP ativado:
volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>Desativar a troca automática (opcional):
Se você deseja controlar manualmente a transição do modo de aprendizagem para o modo ativo:
vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled falseVerifique o estado do ARP:
security anti-ransomware volume showHabilitar ARP em volumes SAN
A partir do ONTAP 9.17.1, você pode habilitar o ARP em volumes SAN. A funcionalidade ARP/AI é ativada automaticamente e inicia imediatamente o monitoramento e a proteção ativos dos volumes SAN durante a conexão."período de avaliação" Ao mesmo tempo que determina se as cargas de trabalho são adequadas para ARP e define um limite de criptografia ideal para detecção.
Você pode habilitar o ARP em volumes SAN usando o System Manager ou a CLI do ONTAP .
-
Selecione Armazenamento > Volumes e, em seguida, selecione o volume SAN que deseja proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
O ARP/AI entra automaticamente no período de avaliação.
-
Verifique o estado do ARP e o status de avaliação na caixa Anti-ransomware.
Para exibir o status ARP para todos os volumes: No painel volumes, selecione Mostrar/Ocultar e verifique se o status Anti-ransomware está marcado.
Habilite o ARP em um volume SAN existente:
security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>Crie um novo volume SAN com ARP ativado:
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabledVerifique o estado do ARP e o status da avaliação:
security anti-ransomware volume showConfira o Block device detection status campo para monitorar o progresso do período de avaliação.
Saiba mais sobre security anti-ransomware volume show o "Referência do comando ONTAP"na .