Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启用ONTAP自动防软件保护

贡献者 netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

从ARP.10.1开始、您可以在现有卷上启用自动防兰软件保护(Autonomous Ransmor Protection、ONTAP 9)、也可以创建新卷并从头开始启用ARP.10.1。

如果要配置ONTAP集群"相关ARP过程",以便默认情况下启用所有新卷以实现自动防兰软件保护(ARP),请参见此。

关于此任务

要启用 ARP,请按照与您的环境相匹配的步骤操作。您确保您的环境满足某些要求

启用 ARP 后,ARP 可能会进入过渡期,具体取决于您的环境和ONTAP版本:

Volume type ONTAP 版本 启用后的行为

NAS FlexGroup

ONTAP 9.18.1 及更高版本

ARP/AI 无需学习期即可立即生效

ONTAP 9.13.1 至 9.17.1

ARP启动后将进入学习模式,持续30天。

NAS FlexVol

ONTAP 9.16.1 及更高版本

ARP/AI 无需学习期即可立即生效

ONTAP 9.10.1 至 9.15.1

ARP启动后将进入学习模式,持续30天。

SAN卷

ONTAP 9.17.1 及更高版本

ARP/AI 立即启动,启动评估期,以确定合适的警报阈值,然后再从初始的保守阈值过渡。
开始之前

启用 ARP 之前,请确保您的环境具备以下条件:

NAS 特定要求

  • 启用了 NFS 或 SMB(或两者)协议的存储虚拟机 (SVM)。

  • 已配置客户端的 NAS 工作负载。

  • 积极"接合路径"就音量而言。

SAN 特定要求

  • 启用了 iSCSI、FC 或 NVMe 协议的存储虚拟机 (SVM)。

  • 已配置客户端的 SAN 工作负载。

一般要求

在 NAS FlexVol卷上启用 ARP

您可以使用系统管理器或ONTAP CLI 在 NAS FlexVol卷上启用 ARP。具体流程会根据您的ONTAP版本而有所不同。

ONTAP 9.16.1 及更高版本

从ONTAP 9.16.1 开始,ARP/AI 可立即激活,无需学习期。

System Manager

  1. 选择*存储>卷*,然后选择要保护的卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

  3. 在“反勒索软件”框中验证卷的 ARP 状态。

    要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。

命令行界面

在现有卷上启用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

创建启用 ARP 的新卷:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>

验证ARP状态:

security anti-ransomware volume show

有关的详细信息 security anti-ransomware volume show,请参见"ONTAP 命令参考"

ONTAP 9.10.1 至 9.15.1

对于ONTAP 9.10.1 至 9.15.1 版本,您应该首先启用 ARP。"学习模式" (或“试运行”状态)。该系统通过分析工作负载来描述正常行为。以主动模式启动可能会导致过多的误报。

建议让 ARP 以学习模式运行至少 30 天。从ONTAP 9.13.1 开始,ARP 会自动确定最佳学习间隔并自动切换,切换可能在 30 天之前完成。

System Manager

  1. 选择*存储>卷*,然后选择要保护的卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

  3. 在“反勒索软件”框中选择“在学习模式下启用”。

    备注 你可以"禁用关联存储虚拟机上的自动学习活动模式转换"如果您想手动控制学习模式到主动模式的转换。
    备注 在现有卷中、学习和活动模式仅适用于新写入的数据、而不适用于卷中已有的数据。不会扫描和分析现有数据、因为在为卷启用ARP后、系统会根据新数据假设先前正常数据流量的特征。

  4. 在“反勒索软件”框中验证卷的 ARP 状态。

    要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。

命令行界面

在现有卷上启用 ARP:

security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

有关的详细信息 security anti-ransomware volume dry-run,请参见"ONTAP 命令参考"

创建启用 ARP 的新卷:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

禁用自动切换(可选):

如果您已将ONTAP升级到 ONTAP 9.13.1 至ONTAP 9.15.1,并且想要手动控制所有关联卷从学习模式切换到活动模式,则可以从 SVM 执行此操作:

vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

验证ARP状态:

security anti-ransomware volume show

在 NAS FlexGroup卷上启用 ARP

您可以使用系统管理器或ONTAP CLI 在 NAS FlexGroup卷上启用 ARP。具体流程会根据您的ONTAP版本而有所不同。

ONTAP 9.18.1 及更高版本

从ONTAP 9.18.1 开始,ARP/AI 对FlexGroup卷立即生效,无需学习期。

System Manager

  1. 选择“存储 > 卷”,然后选择要保护的FlexGroup卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

  3. 在“反勒索软件”框中验证卷的 ARP 状态。

    要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。

命令行界面

在现有FlexGroup卷上启用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

创建启用 ARP 的新FlexGroup卷:

volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>

验证ARP状态:

security anti-ransomware volume show
ONTAP 9.13.1 至 9.17.1

对于ONTAP 9.13.1 至 9.17.1 版本, FlexGroup卷的起始版本为:"学习模式" 。该系统通过分析工作负载来描述正常行为。

建议让 ARP 以学习模式运行至少 30 天。ARP 会自动确定最佳学习周期间隔并自动切换,切换可能在 30 天之前发生。

System Manager

  1. 选择“存储 > 卷”,然后选择要保护的FlexGroup卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

  3. 在“反勒索软件”框中选择“在学习模式下启用”。

    备注 你可以"禁用自动学习到活动模式的转换"如果您想手动控制学习模式到主动模式的转换。

  4. 在“反勒索软件”框中验证卷的 ARP 状态。

命令行界面

在现有FlexGroup卷上启用 ARP:

security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

创建启用 ARP 的新FlexGroup卷:

volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

禁用自动切换(可选):

如果您想手动控制从学习模式到活动模式的切换:

vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

验证ARP状态:

security anti-ransomware volume show

在SAN卷上启用ARP

从ONTAP 9.17.1 开始,您可以在 SAN 卷上启用 ARP。 ARP/AI 功能会自动启用,并在 SAN 卷维护期间立即开始主动监控和保护 SAN 卷。"评估期"同时确定工作负载是否适合 ARP,并设置最佳加密检测阈值。

您可以使用系统管理器或ONTAP CLI 在 SAN 卷上启用 ARP。

System Manager
步骤

  1. 选择“存储 > 卷”,然后选择要保护的 SAN 卷。

  2. 在*Volumes*概述的*Security*选项卡中,选择*Status*从Disabled切换为Enabled。

  3. ARP/AI自动进入评估期。

  4. 在“反勒索软件”框中验证 ARP 状态和评估状态。

    要显示所有卷的ARP状态:在*卷*窗格中,选择*显示/隐藏*,然后确保选中*反勒索软件*状态。

命令行界面

在现有 SAN 卷上启用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

创建启用 ARP 的新 SAN 卷:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled

验证ARP状态和评估状态:

security anti-ransomware volume show

检查 `Block device detection status`现场监测评估期进展情况。

有关的详细信息 security anti-ransomware volume show,请参见"ONTAP 命令参考"

相关信息