Ative a proteção Autonomous ransomware
A partir do ONTAP 9.10,1, você pode ativar a proteção autônoma contra ransomware (ARP) em um volume existente ou criar um novo volume e ativar o ARP desde o início.
Se você quiser configurar o cluster do ONTAP para que todos os novos volumes sejam ativados por padrão para a proteção autônoma contra ransomware (ARP), consulte este "Procedimento ARP relacionado".
-
Para ONTAP 9.10,1 a 9.15.1 e ARP com volumes FlexGroup para essas versões do ONTAP, você deve sempre ativar o ARP inicialmente no "modo de aprendizagem"modo (ou "Dry-run"). Quando você ativa o ARP pela primeira vez no modo de aprendizado, o sistema analisa a carga de trabalho para caraterizar o comportamento normal. O início no modo ativo pode levar a relatórios falsos positivos excessivos.
Recomenda-se que o ARP seja executado no modo de aprendizagem por um mínimo de 30 dias. A partir do ONTAP 9.13,1, o ARP determina automaticamente o intervalo ideal do período de aprendizagem e automatiza o switch, que pode ocorrer antes de 30 dias.
-
Para ONTAP 9.16,1 e posterior com volumes FlexVol quando você ativa o ARP, a proteção ARP/AI começa imediatamente no modo ativo. Nenhum período de aprendizagem é necessário.
Nos volumes existentes, os modos de aprendizagem e ativos aplicam-se apenas a dados recém-gravados, não a dados já existentes no volume. Os dados existentes não são digitalizados e analisados, porque as caraterísticas do tráfego de dados normal anterior são assumidas com base nos novos dados depois que o volume é ativado para ARP. |
-
Você precisa ter uma VM de storage (SVM) habilitada para NFS, SMB (ou ambos).
-
O licença correta tem de estar instalado para a versão do ONTAP.
-
Você precisa ter um workload nas com clientes configurados.
-
O volume em que deseja definir ARP deve estar protegido e ter um "caminho de junção"ativo .
-
O volume tem de ser inferior a 100% cheio.
-
É recomendável configurar o sistema EMS para enviar notificações por e-mail, que incluirão avisos de atividade ARP. Para obter mais informações, "Configurar eventos EMS para enviar notificações por e-mail"consulte .
-
A partir do ONTAP 9.13,1, é recomendável ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para a configuração ARP (Autonomous ransomware Protection). Para obter mais informações, "Ative a verificação de vários administradores"consulte .
Ative ARP em um volume novo ou existente
Você pode ativar o ARP usando o Gerenciador do sistema ou a CLI do ONTAP.
-
Selecione armazenamento > volumes e, em seguida, selecione o volume que pretende proteger.
-
Na guia Security da visão geral volumes, selecione Status para alternar de Disabled (Desativado) para Enabled (habilitado).
-
Se você estiver usando ARP com ONTAP 9.15,1 ou anterior ou ONTAP 9.16,1 com volumes FlexGroup, selecione Enabled in learning-mode na caixa Anti-ransomware.
A partir do ONTAP 9.13,1, o ARP determina automaticamente o intervalo ideal do período de aprendizagem e automatiza o switch. "Desative essa configuração na VM de armazenamento associada"Pode controlar manualmente o modo de aprendizagem para a transição do modo ativo. -
Se você estiver usando ARP em volumes FlexVol com ONTAP 9.16,1 ou posterior, a funcionalidade ARP/AI não requer um período de aprendizado e o modo ativo é selecionado por padrão.
-
-
Você pode verificar o estado ARP do volume na caixa Anti-ransomware.
Para exibir o status ARP para todos os volumes: No painel volumes, selecione Mostrar/Ocultar e verifique se o status Anti-ransomware está marcado.
O processo para ativar o ARP com a CLI difere se você estiver habilitando-o em um volume existente versus um novo volume.
-
Modifique um volume existente para habilitar a proteção contra ransomware:
-
Para ONTAP 9.15,1 e anterior e ARP com volumes FlexGroup, defina o estado do volume para
dry-run
(modo de aprendizagem):security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>
-
Para ONTAP 9.16,1 e posterior com volumes ARP/AI e FlexVol, defina o estado do volume para
active
(modo ativo):security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>
-
-
Se você atualizou para o ONTAP 9.13,1 ou posterior e o estado padrão ARP for
dry-run
, o aprendizado adaptável será ativado para que a alteração para o estado ativo seja feita automaticamente. Se você não quiser que esse comportamento seja ativado automaticamente, altere a configuração no nível SVM em todos os volumes associados:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Verifique o estado ARP do volume.
security anti-ransomware volume show
-
Crie um novo volume com ARP ativado antes de provisionar dados:
-
Para ONTAP 9.15,1 e anterior e ARP com volumes FlexGroup, defina o estado para
dry-run
(modo de aprendizagem):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>
-
Para ONTAP 9.16,1 e posterior com volumes ARP/AI e FlexVol, defina o estado para
active
(modo ativo):volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>
-
-
Se você atualizou para o ONTAP 9.13,1 ou posterior e o estado padrão ARP for
dry-run
, o aprendizado adaptável será ativado para que a alteração para o estado ativo seja feita automaticamente. Se você não quiser que esse comportamento seja ativado automaticamente, altere a configuração no nível SVM em todos os volumes associados:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
Verifique o estado ARP do volume.
security anti-ransomware volume show