Pausar a proteção Autonomous ransomware para excluir eventos de workload da análise
Se você está esperando eventos de carga de trabalho incomuns, você pode suspender e retomar temporariamente a análise ARP (Autonomous ransomware Protection) a qualquer momento.
A partir do ONTAP 9.13,1, você pode ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para pausar o ARP.
Durante uma pausa ARP, nenhum evento é registrado nem nenhuma ação para novas gravações. No entanto, a operação de análise continua para logs anteriores em segundo plano.
Não use a função de desativação ARP para pausar a análise. Isso desativa o ARP no volume e todas as informações existentes sobre o comportamento da carga de trabalho aprendida são perdidas. Isso exigiria um reinício do período de aprendizagem. |
Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para pausar o ARP.
-
Selecione armazenamento > volumes e, em seguida, selecione o volume em que deseja pausar ARP.
-
Na guia Segurança da visão geral dos volumes, selecione Pausa anti-ransomware na caixa Anti-ransomware.
A partir do ONTAP 9.13,1, se você estiver usando MAV para proteger suas configurações ARP, a operação de pausa solicitará que você obtenha a aprovação de um ou mais administradores adicionais. "A aprovação deve ser recebida de todos os administradores" Associado ao grupo de aprovação MAV ou à operação falhará.
-
Pausar ARP em um volume:
security anti-ransomware volume pause -vserver svm_name -volume vol_name
-
Para retomar o processamento, use o
resume
comando:security anti-ransomware volume resume -vserver svm_name -volume vol_name
-
Se você estiver usando MAV (disponível com ARP começando com ONTAP 9.13,1) para proteger suas configurações ARP, a operação de pausa solicitará que você obtenha a aprovação de um ou mais administradores adicionais. A aprovação deve ser recebida de todos os administradores associados ao grupo de aprovação MAV ou a operação falhará.
Se você estiver usando MAV e uma operação de pausa esperada precisar de aprovações adicionais, cada aprovador de grupo MAV faz o seguinte:
-
Mostrar o pedido:
security multi-admin-verify request show
-
Aprovar a solicitação:
security multi-admin-verify request approve -index[number returned from show request]
A resposta para o último aprovador de grupo indica que o volume foi modificado e o estado de ARP está pausado.
Se você estiver usando MAV e for um aprovador de grupo MAV, poderá rejeitar uma solicitação de operação de pausa:
security multi-admin-verify request veto -index[number returned from show request]
-