Ajustar as configurações para instantâneos ARP gerados automaticamente
Sugerir alterações
PDFs
A partir do ONTAP 9.11,1, você pode usar a CLI para controlar as configurações de retenção de snapshots ARP (Autonomous ransomware Protection) que são gerados automaticamente em resposta a ataques suspeitos de ransomware.
Você só pode modificar as opções de instantâneos ARP em um "nó SVM" e não em outros tipos de SVM.
-
Mostrar todas as definições atuais de instantâneos ARP:
options -option-name arw* -
Mostrar as definições atuais de instantâneos ARP selecionadas:
options -option-name <arw_setting_name> -
Modificar as definições de instantâneos ARP:
options -option-name <arw_setting_name> -option-value <arw_setting_value>As seguintes configurações são modificáveis:
Alguns dos comandos descritos estão obsoletos a partir do ONTAP 9.17.1. Os comandos introduzidos no ONTAP 9.17.1 são compatíveis com ambientes NAS e SAN. Definição Descrição Versões suportadas arw.snap.max.countEspecifica o número máximo de snapshots ARP que podem existir em um volume a qualquer momento. Cópias mais antigas são excluídas para garantir que o número total de snapshots ARP esteja dentro desse limite especificado.
ONTAP 9.11,1 e posterior
arw.snap.create.interval.hoursEspecifica o intervalo em horas entre snapshots ARP. Um novo snapshot ARP é criado quando há suspeita de um ataque baseado em entropia de dados e o snapshot ARP criado mais recentemente é mais antigo que o intervalo especificado.
ONTAP 9.11,1 e posterior
arw.snap.normal.retain.interval.hoursEspecifica a duração em horas pela qual um instantâneo ARP é retido. Quando um instantâneo ARP atinge o limite de retenção, ele é excluído.
-
ONTAP 9.11.1 para ONTAP 9.16.1
-
Obsoleto no ONTAP 9.17.1 e posterior
arw.snap.max.retain.interval.daysEspecifica a duração máxima in Days para a qual um instantâneo ARP pode ser retido. Qualquer snapshot ARP com mais de uma duração é excluído quando não há nenhum ataque relatado no volume.
O intervalo máximo de retenção para instantâneos ARP é ignorado se uma ameaça moderada for detetada. O snapshot ARP criado em resposta à ameaça é retido até que você tenha respondido à ameaça. Quando você marca uma ameaça como um falso positivo, o ONTAP excluirá os snapshots ARP para o volume. -
ONTAP 9.11.1 para ONTAP 9.16.1
-
Obsoleto no ONTAP 9.17.1 e posterior
arw.snap.create.interval.hours.post.max.countEspecifica o intervalo em horas entre snapshots ARP quando o volume já contém o número máximo de snapshots ARP. Quando o número máximo é atingido, um snapshot ARP é excluído para abrir espaço para uma nova cópia. A velocidade de criação de novos snapshots ARP pode ser reduzida para manter a cópia mais antiga usando esta opção. Se o volume já contiver o número máximo de snapshots ARP, o intervalo especificado nesta opção será usado para a próxima criação de snapshot ARP, em vez de
arw.snap.create.interval.hours.-
ONTAP 9.11.1 a 9.16.1
-
Obsoleto no ONTAP 9.17.1 e posterior
arw.snap.low.encryption.retain.duration.hoursEspecifica a duração da retenção em horas para instantâneos ARP criados durante períodos de baixa atividade de criptografia.
-
ONTAP 9.17.1 e posterior
arw.snap.new.extns.interval.hoursEspecifica o intervalo em horas entre os snapshots ARP criados quando uma nova extensão de arquivo é detectada. Um novo snapshot ARP é criado quando uma nova extensão de arquivo é observada; o snapshot anterior, criado ao observar uma nova extensão de arquivo, é mais antigo que esse intervalo especificado. Em uma carga de trabalho que cria novas extensões de arquivo com frequência, esse intervalo ajuda a controlar a frequência dos snapshots ARP. Esta opção existe independentemente de
arw.snap.create.interval.hours, que especifica o intervalo para instantâneos ARP baseados em entropia de dados.-
ONTAP 9.11.1 para ONTAP 9.16.1
-
Obsoleto no ONTAP 9.17.1 e posterior
arw.snap.retain.hours.after.clear.suspect.false.alertEspecifica o intervalo em horas em que um snapshot ARP é retido como precaução após um incidente de ataque ser marcado como falso positivo pelo administrador. Após o término desse período de retenção por precaução, o snapshot pode ser excluído de acordo com a duração padrão de retenção definida pelas opções.
arw.snap.normal.retain.interval.hoursearw.snap.max.retain.interval.days.-
ONTAP 9.16,1 e posterior
arw.snap.retain.hours.after.clear.suspect.real.attackEspecifica o intervalo em horas em que um snapshot ARP é retido como precaução após um incidente de ataque ser marcado como um ataque real pelo administrador. Após o término desse período de retenção por precaução, o snapshot pode ser excluído de acordo com a duração padrão de retenção definida pelas opções.
arw.snap.normal.retain.interval.hoursearw.snap.max.retain.interval.days.-
ONTAP 9.16,1 e posterior
arw.snap.surge.interval.daysEspecifica o intervalo in Days entre instantâneos ARP criados em resposta a picos de e/S. O ONTAP cria uma cópia de impulso de snapshot ARP quando há um aumento no tráfego de e/S e o último snapshot ARP criado é mais antigo do que esse intervalo especificado. Esta opção também especifica o período de retenção in day para um instantâneo de pico ARP.
ONTAP 9.11,1 e posterior
arw.high.encryption.alert.enabledHabilita alertas para altos níveis de criptografia. Quando esta opção está definida como
on(padrão), o ONTAP envia um alerta quando a porcentagem de criptografia excede o limite especificado emarw.high.encryption.percentage.threshold.ONTAP 9.17.1 e posterior
arw.high.encryption.percentage.thresholdEspecifica a porcentagem máxima de criptografia para um volume. Se a porcentagem de criptografia for superior a esse limite, o ONTAP trata o aumento como um ataque e cria um snapshot ARP.
arw.high.encryption.alert.enableddeve ser definido comoonpara que esta opção entre em vigor.ONTAP 9.17.1 e posterior
arw.snap.high.encryption.retain.duration.hoursEspecifica o intervalo de duração de retenção em horas para instantâneos criados durante um evento de limite alto de criptografia.
ONTAP 9.17.1 e posterior
-
-
Se estiver usando ARP com um ambiente SAN, você também poderá modificar as seguintes configurações do período de avaliação:
Definição Descrição Versões suportadas arw.block_device.auto.learn.threshold.min_valueEspecifica o valor percentual mínimo do limite de criptografia durante a fase de autoaprendizagem da avaliação para dispositivos de bloco.
ONTAP 9.17.1 e posterior
arw.block_device.auto.learn.threshold.max_valueEspecifica o valor percentual máximo do limite de criptografia durante a fase de autoaprendizagem da avaliação para dispositivos de bloco.
ONTAP 9.17.1 e posterior
arw.block_device.evaluation.phase.min_hoursEspecifica o intervalo mínimo em horas que a fase de avaliação deve ser executada antes que o limite de criptografia seja definido.
ONTAP 9.17.1 e posterior
arw.block_device.evaluation.phase.max_hoursEspecifica o intervalo máximo em horas que a fase de avaliação deve ser executada antes que o limite de criptografia seja definido.
ONTAP 9.17.1 e posterior
arw.block_device.evaluation.phase.min_data_ingest_size_GBEspecifica a quantidade mínima de dados em GB que deve ser ingerida durante a fase de avaliação antes que o limite de criptografia seja definido.
ONTAP 9.17.1 e posterior
arw.block_device.evaluation.phase.alert.enabledEspecifica se os alertas estão habilitados para a fase de avaliação do ARP em dispositivos de bloco. O valor padrão é
True.ONTAP 9.17.1 e posterior
arw.block_device.evaluation.phase.alert.thresholdEspecifica a porcentagem limite durante a fase de avaliação do ARP em dispositivos de bloco. Se a porcentagem de criptografia exceder esse limite, um alerta será acionado.
ONTAP 9.17.1 e posterior