了解块设备工作负载的 ONTAP ARP/AI 评估期
建议更改
PDF
从 ONTAP 9.17.1 开始,ARP/AI 需要一个评估期来确定块设备工作负载的熵级别是否适合勒索软件保护。这些工作负载包括 SAN LUN 和虚拟机监控程序虚拟磁盘(例如,NFS 数据存储中的 VMware 虚拟磁盘,以及从 ONTAP 9.17.1P5 开始的 Hyper-V、KVM 和 OpenStack 虚拟磁盘)存储在 ONTAP 卷中。在合格卷上启用 ARP 后,ARP/AI 会在评估期间主动监控和保护卷,同时确定最佳加密阈值。在评估期间可以使用保守阈值进行检测和警报,同时在几天内建立基线阈值。ARP 区分评估卷中的合适和不合适的工作负载,如果确定工作负载适合保护,则会根据评估周期统计信息自动设置加密阈值。
支持的工作负载和评估适用性
块设备评估期适用于以下情形:
-
SAN 卷
-
基于 LUN 的工作负载以块设备的形式呈现给主机或虚拟机管理程序。
-
-
包含由 ONTAP 自动检测的虚拟机监控程序虚拟磁盘的 NAS 卷
-
支持的虚拟机管理程序包括 VMware、Hyper-V、KVM 和 OpenStack 虚拟磁盘,这些虚拟磁盘存储在 NFS 或 SMB 数据存储中。
-
在这些卷中:
-
评估期_适用于_根据虚拟磁盘的来宾文件系统内部的熵变化检测到的攻击(例如,在映射到 LUN 或虚拟磁盘的来宾 OS 内的文件上运行的勒索软件)。
-
评估期_不_适用于基于从虚拟机监控程序主机直接对虚拟磁盘文件进行的熵和文件扩展名更改而检测到的攻击(例如,直接对来自 ESXi NFS 数据存储挂载点的 `.vmdk`文件进行的勒索软件)。这些直接到磁盘的攻击使用不同的检测路径,不依赖于块设备评估周期。
对块设备和虚拟机管理程序检测的版本支持
-
ONTAP 9.17.1
-
介绍 SAN 卷的块设备评估期。
-
在 SAN LUN 内和存储在 ONTAP NFS 数据存储中的 VMware 虚拟磁盘内启用 ARP/AI 攻击检测。
-
-
ONTAP 9.17.1P5 及更高版本
-
将 ARP/AI 块设备检测扩展到虚拟机监控程序虚拟磁盘,如 Hyper-V、KVM 和 OpenStack。
-
当 ONTAP 检测到这些额外的虚拟机管理程序工作负载时,对其应用相同的块设备评估逻辑和阈值。
-
理解熵评估
在评估期间,系统以 10 分钟间隔从受支持的块设备和虚拟机管理程序工作负载中收集连续加密统计数据。ARP 定期快照也会每四小时连续创建一次。如果间隔内的加密百分比超过为此卷确定的最佳加密阈值,则会触发警报,创建 `Anti_ransomware_attack_backup`快照,并在任何定期 ARP 快照上增加快照保留时间。
运行以下命令并确认状态为 evaluation_period。如果卷不符合评估条件,则不会显示评估状态。
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>响应示例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : evaluation_period
您可以通过运行以下命令来实时监控加密检测。该命令将返回一个直方图,显示每个加密百分比范围内的数据量。该直方图每 10 分钟更新一次。
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time响应示例:
Vserver Name Entropy Range Seen N Time Data Written ---------- ---------------- --------------- -------------- ------------- vs0 lun1 0-5% 4 100MB vs0 lun1 6-10% 10 900MB vs0 lun1 11-15% 20 40MB vs0 lun1 16-20% 10 70MB vs0 lun1 21-25% 60 450MB vs0 lun1 26-30% 4 100MB vs0 lun1 31-35% 10 900MB vs0 lun1 36-40% 20 40MB vs0 lun1 41-45% 0 0 vs0 lun1 46-50% 0 0 vs0 lun1 51-55% 0 0 vs0 lun1 56-60% 0 0 vs0 lun1 61-65% 0 0 vs0 lun1 66-70% 0 0 vs0 lun1 71-75% 0 0 vs0 lun1 76-80% 0 0 vs0 lun1 81-85% 0 0 vs0 lun1 86-90% 0 0 vs0 lun1 91-95% 0 0 vs0 lun1 96-100% 0 0 20 entries were displayed.
合适的工作负荷和自适应阈值
对于通过块设备检测评估的 SAN LUN 工作负载和虚拟机监控程序虚拟磁盘,评估结束于以下结果之一:
-
该工作负载适用于 ARP。ARP会自动将自适应阈值设置为高于评估期内最大加密百分比的 10%。ARP还会持续收集统计信息并定期创建 ARP 快照。
-
该工作负载不适合 ARP。ARP会自动将自适应阈值设置为评估期内可见的最大加密百分比。ARP还会继续收集统计信息并定期创建 ARP 快照,但系统最终会建议在该卷上禁用 ARP。
评估期结束后,ARP根据评估结果自动设置自适应阈值。
您可以通过运行以下命令来确定评估结果。卷适用性显示在 `Block device detection status`场地:
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>响应示例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : Active_suitable_workload Block device evaluation start time : 5/16/2025 01:49:01
您还可以显示评估结果所采用的值阈值:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>响应示例:
Vserver Name : vs_1
Volume Name : vm_2
Block Device Auto Learned Encryption Threshold : 10
...