简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启用反勒索软件

提供者 netapp-forry netapp-thomi netapp-barbe

可以在新卷或现有卷上启用反勒索软件。您首先要在学习模式下启用反勒索软件,在此模式下,系统会分析工作负载以确定正常行为特征,然后切换到主动模式,在主动模式下,系统会标记异常活动以供您评估。

您需要什么? #8217 ;将需要什么
  • 为 NFS 或 SMB (或这两者)启用的 Storage VM 。

  • 从安全和合规性包安装的多租户加密密钥管理( MT_EK_Mgmt )许可证。

  • 配置了客户端的 NAS 工作负载。

  • 要保护的卷必须具有活动接合路径。

  • 可选但建议: EMS 系统配置为发送电子邮件通知,其中包括反勒索软件活动通知。有关详细信息,请参见 "配置 EMS 事件以发送电子邮件通知"

NetApp 反勒索软件功能包括一个初始学习期(也称为 " 试运行 " ),在此期间, ONTAP 系统将了解哪些文件扩展名有效,并使用分析后的数据来开发警报配置文件。在学习模式下运行反勒索软件并有足够时间评估工作负载特征后,您可以切换到主动模式并开始保护数据。反勒索软件会继续收集和分析数据以细化警报配置文件。

在学习期间,系统会自动学习已配置卷的工作负载特征,并执行特殊观察和模式分析。

建议学习时间为 30 天。虽然您可以随时从学习切换到主动模式,但提前切换可能会导致误报过多。

在 ONTAP 命令行界面中,您可以使用 security anti勒索 软件 volume workload-behavior show 命令显示迄今为止检测到的文件扩展名。但是,建议不要使用此工具缩短学习时间。

您可以在现有卷上启用勒索软件保护,也可以创建新卷并从头开始启用勒索软件保护。

注 在现有卷中,学习和活动模式仅适用于新写入的数据,而不适用于卷中已有的数据。系统不会扫描和分析现有数据,因为在为防勒索软件功能启用卷后,系统会根据新数据假设早期正常数据流量的特征。

在 ONTAP 命令行界面中,我们引入了一个新的命令系列来管理此功能: sSecurity anti-ransafecurt volume 。您也可以使用 volume modify 命令和 ` -anti勒索 软件` 参数来管理此功能。

System Manager 操作步骤

  1. 单击 * 存储 > 卷 * ,然后选择要保护的卷。

  2. 在卷概述的安全性选项卡中,单击防勒索软件框中的 * 状态 * ,在学习模式下从已禁用切换到已启用。

  3. 学习期结束后,将反勒索软件切换到主动模式。

    1. 单击 * 存储 > 卷 * ,然后选择已准备好进入活动模式的卷。

    2. 在卷概述的安全性选项卡中,单击反勒索软件框中的 * 切换到活动模式 * 。

  4. 您始终可以在 " 反勒索软件 " 框中验证卷的反勒索软件状态。要显示所有卷的防勒索软件状态:在卷窗格中,单击 * 显示 / 隐藏 * ,然后确保已选中防勒索软件状态。

命令行界面操作步骤

  1. 修改现有卷以在学习模式下启用勒索软件保护:

    s安全防勒索软件卷 dry-run -volume vol_name -vserver svm_name

    您还可以使用 volume modify 命令启用勒索软件:

    volume modify -volume vol_name -vserver svm_name -anti-ransone-state dry-run

    在 CLI 中,您还可以在配置数据之前创建一个启用了反勒索软件保护的新卷。

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransonve-state dry-run -junction-path /path_name

    注 您应始终在最初处于空运行状态的情况下启用勒索软件。从活动状态开始,可能会导致误报报告过多。
  2. 学习期结束后,修改受保护卷以切换到活动模式:

    s安全防勒索软件卷 enable -volume vol_name -vserver svm_name

    您也可以使用 modify volume 命令切换到活动模式:

    volume modify -volume vol_name -vserver svm_name -anti-ransone-state active

  3. 验证卷的防勒索软件状态。

    s安全性反勒索软件卷显示