Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Pausar a proteção Autonomous ransomware para excluir eventos de workload da análise

Colaboradores

Se você está esperando eventos de carga de trabalho incomuns, você pode suspender e retomar temporariamente a análise ARP (Autonomous ransomware Protection) a qualquer momento.

A partir do ONTAP 9.13,1, você pode ativar a verificação multi-admin (MAV) para que dois ou mais administradores de usuário autenticados sejam necessários para pausar o ARP.

Sobre esta tarefa

Durante uma pausa ARP, nenhum evento é registrado nem nenhuma ação para novas gravações. No entanto, a operação de análise continua para logs anteriores em segundo plano.

Observação Não use a função de desativação ARP para pausar a análise. Isso desativa o ARP no volume e todas as informações existentes sobre o comportamento da carga de trabalho aprendida são perdidas. Isso exigiria um reinício do período de aprendizagem.
Passos

Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para pausar o ARP.

System Manager
  1. Selecione armazenamento > volumes e, em seguida, selecione o volume em que deseja pausar ARP.

  2. Na guia Segurança da visão geral dos volumes, selecione Pausa anti-ransomware na caixa Anti-ransomware.

    Observação A partir do ONTAP 9.13,1, se você estiver usando MAV para proteger suas configurações ARP, a operação de pausa solicitará que você obtenha a aprovação de um ou mais administradores adicionais. "A aprovação deve ser recebida de todos os administradores" Associado ao grupo de aprovação MAV ou à operação falhará.
CLI
  1. Pausar ARP em um volume:

    security anti-ransomware volume pause -vserver svm_name -volume vol_name

  2. Para retomar o processamento, use o resume comando:

    security anti-ransomware volume resume -vserver svm_name -volume vol_name

  3. Se você estiver usando MAV (disponível com ARP começando com ONTAP 9.13,1) para proteger suas configurações ARP, a operação de pausa solicitará que você obtenha a aprovação de um ou mais administradores adicionais. A aprovação deve ser recebida de todos os administradores associados ao grupo de aprovação MAV ou a operação falhará.

    Se você estiver usando MAV e uma operação de pausa esperada precisar de aprovações adicionais, cada aprovador de grupo MAV faz o seguinte:

    1. Mostrar o pedido:

      security multi-admin-verify request show

    2. Aprovar a solicitação:

      security multi-admin-verify request approve -index[number returned from show request]

      A resposta para o último aprovador de grupo indica que o volume foi modificado e o estado de ARP está pausado.

      Se você estiver usando MAV e for um aprovador de grupo MAV, poderá rejeitar uma solicitação de operação de pausa:

    security multi-admin-verify request veto -index[number returned from show request]