Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Saiba mais sobre o período de avaliação do ONTAP ARP/AI para cargas de trabalho em dispositivos de bloco

Colaboradores netapp-dbagwell netapp-lenida
PDFs

A partir do ONTAP 9.17.1, o ARP/AI requer um período de avaliação para determinar se os níveis de entropia das cargas de trabalho em dispositivos de bloco são adequados para proteção contra ransomware. Essas cargas de trabalho incluem LUNs SAN e discos virtuais de hipervisor (por exemplo, discos virtuais VMware em datastores NFS e, a partir do ONTAP 9.17.1P5, discos virtuais Hyper-V, KVM e OpenStack) armazenados em volumes ONTAP. Após a ativação do ARP em um volume elegível, o ARP/AI monitora e protege ativamente o volume durante o período de avaliação, enquanto simultaneamente determina um limite de criptografia ideal. A detecção e os alertas podem ocorrer durante o período de avaliação usando um limite conservador, enquanto os limites de referência são estabelecidos ao longo de vários dias. O ARP distingue entre cargas de trabalho adequadas e inadequadas no volume avaliado e, se as cargas de trabalho forem consideradas adequadas para proteção, define automaticamente um limite de criptografia com base nas estatísticas do período de avaliação.

Cargas de trabalho suportadas e aplicabilidade da avaliação

O período de avaliação do dispositivo de bloco aplica-se nos seguintes cenários:

  • Volumes SAN

    • Cargas de trabalho baseadas em LUN apresentadas como dispositivos de bloco para hosts ou hipervisores.

  • Volumes NAS que contêm discos virtuais de hipervisor detectados automaticamente pelo ONTAP

    • Os hipervisores suportados incluem VMware, Hyper-V, KVM e OpenStack discos virtuais armazenados em datastores NFS ou SMB.

Nestes volumes:

  • O período de avaliação é aplicável a ataques detectados com base em alterações de entropia dentro do sistema de arquivos do disco virtual convidado (por exemplo, ransomware operando em arquivos dentro do sistema operacional convidado mapeados para um LUN ou disco virtual).

  • O período de avaliação não se aplica a ataques detectados com base em entropia e alterações de extensão de arquivos feitas diretamente nos arquivos de disco virtual a partir do host do hipervisor (por exemplo, ransomware operando diretamente em arquivos .vmdk de um ponto de montagem de datastore NFS do ESXi). Esses ataques diretos ao disco usam um caminho de detecção diferente que não depende do período de avaliação do dispositivo de bloco.

Suporte de versão para detecção de dispositivos de bloco e hipervisores

  • ONTAP 9.17.1

    • Introduz o período de avaliação de dispositivo de bloco para volumes SAN.

    • Permite a detecção de ataques ARP/AI em LUNs SAN e em discos virtuais VMware armazenados em datastores NFS do ONTAP.

  • ONTAP 9.17.1P5 e posterior

    • Expande a detecção de dispositivos de bloco ARP/AI para discos virtuais de hipervisor, como Hyper-V, KVM e OpenStack.

    • Aplica a mesma lógica de avaliação de dispositivos de bloco e os mesmos limites a essas cargas de trabalho adicionais do hipervisor quando elas são detectadas pelo ONTAP.

Entenda a avaliação da entropia

Durante o período de avaliação, o sistema coleta estatísticas contínuas de criptografia em intervalos de 10 minutos de cargas de trabalho de dispositivos de bloco e hipervisores compatíveis. Instantâneos periódicos de ARP também são criados continuamente a cada quatro horas. Se a porcentagem de criptografia dentro de um intervalo exceder o limite de criptografia ideal identificado para esse volume, um alerta é acionado, um Anti_ransomware_attack_backup instantâneo é criado e o tempo de retenção do instantâneo é aumentado em todos os instantâneos periódicos de ARP.

Confirme se o período de avaliação está ativo

Você pode confirmar se a avaliação está ativa executando o comando a seguir e confirmando um status de evaluation_period. Se um volume não for elegível para avaliação, o status da avaliação não será exibido.

security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>

Exemplo de resposta:

Vserver Name                                : vs1
Volume Name                                 : v1
State                                       : enabled
Attack Probability                          : none
Attack Timeline                             : -
Number of Attacks                           : -
Attack Detected By                          : -
Block device detection status               : evaluation_period
Monitorar a coleta de dados do período de avaliação

Você pode monitorar a detecção de criptografia em tempo real executando o seguinte comando. O comando retorna um histograma mostrando a quantidade de dados em cada intervalo percentual de criptografia. O histograma é atualizado a cada 10 minutos.

security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time

Exemplo de resposta:

Vserver     Name              Entropy Range   Seen N Time     Data Written
----------  ----------------  --------------- --------------  -------------
vs0         lun1              0-5%            4               100MB
vs0         lun1              6-10%           10              900MB
vs0         lun1              11-15%          20              40MB
vs0         lun1              16-20%          10              70MB
vs0         lun1              21-25%          60              450MB
vs0         lun1              26-30%          4               100MB
vs0         lun1              31-35%          10              900MB
vs0         lun1              36-40%          20              40MB
vs0         lun1              41-45%          0               0
vs0         lun1              46-50%          0               0
vs0         lun1              51-55%          0               0
vs0         lun1              56-60%          0               0
vs0         lun1              61-65%          0               0
vs0         lun1              66-70%          0               0
vs0         lun1              71-75%          0               0
vs0         lun1              76-80%          0               0
vs0         lun1              81-85%          0               0
vs0         lun1              86-90%          0               0
vs0         lun1              91-95%          0               0
vs0         lun1              96-100%         0               0

20 entries were displayed.

Cargas de trabalho adequadas e limites adaptativos

A avaliação termina com um dos seguintes resultados para cargas de trabalho SAN LUN e discos virtuais de hipervisor avaliados por meio da detecção de dispositivos de bloco:

  • A carga de trabalho é adequada para ARP. O ARP define automaticamente o limite adaptativo para um valor superior a 10% da porcentagem máxima de criptografia observada durante o período de avaliação. O ARP também continua a coleta de estatísticas e cria snapshots periódicos do ARP.

  • A carga de trabalho não é adequada para ARP. O ARP define automaticamente o limite adaptável para a porcentagem máxima de criptografia observada durante o período de avaliação. O ARP também continua a coleta de estatísticas e cria snapshots periódicos do ARP, mas o sistema recomenda, em última análise, a desativação do ARP no volume.

Determinar os resultados da avaliação

Após o término do período de avaliação, o ARP define automaticamente o limite adaptativo com base nos resultados da avaliação.

Você pode determinar os resultados da avaliação executando o seguinte comando. A adequação do volume é indicada no Block device detection status campo:

security anti-ransomware volume show  -vserver <svm_name> -volume <volume_name>

Exemplo de resposta:

Vserver Name                               : vs1
Volume Name                                : v1
State                                      : enabled
Attack Probability                         : none
Attack Timeline                            : -
Number of Attacks                          : -
Attack Detected By                         : -
Block device detection status              : Active_suitable_workload

Block device evaluation start time :  5/16/2025 01:49:01

Você também pode mostrar o limite de valor adotado como resultado da avaliação:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

Exemplo de resposta:

                                  Vserver Name : vs_1

                                   Volume Name : vm_2

Block Device Auto Learned Encryption Threshold : 10
...