Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用自發勒索軟體保護

貢獻者
PDF

從 ONTAP 9 。 10.1 開始,您可以在現有的磁碟區上啟用「自主勒索軟體保護」( ARP ),或是建立新的磁碟區,從頭開始啟用 ARP 。

如果您想要設定 ONTAP 叢集,以便依預設啟用所有新的磁碟區以進行自動勒索軟體保護( ARP ),請參閱本"相關的 ARP 程序"節。

關於這項工作

  • * 對於這些 ONTAP 版本的 ONTAP 9 , 10.1 至 9.15.1 以及 Volumes ( FlexGroup Volumes ) * 的 ARP ,您應該一開始就在(或「乾式執行」模式)模式中啟用 ARP "學習模式"。當您第一次在學習模式中啟用 ARP 時,系統會分析工作負載,以找出正常行為的特徵。從使用中模式開始、可能會產生過多的誤報。

    建議您讓 ARP 以學習模式執行至少 30 天。從 ONTAP 9 。 13.1 開始, ARP 會自動判斷最佳學習期間間隔,並自動執行交換器,這可能會在 30 天之前發生。

  • * 對於 FlexVol Volumes * 的 ONTAP 9 . 16.1 及更新版本,當您啟用 ARP 時, ARP/AI 保護會立即以作用中模式開始。不需要學習期間。

註 在現有的磁碟區中、學習和作用中模式僅適用於新寫入的資料、而不適用於磁碟區中現有的資料。不會掃描和分析現有資料、因為在啟用Volume以進行Arp之後、會根據新資料來假設先前一般資料流量的特性。
開始之前

  • 您必須為 NFS 或 SMB (或兩者)啟用儲存 VM ( SVM )。

  • 正確授權必須為您的 ONTAP 版本安裝。

  • 您必須設定具有 NAS 工作負載的用戶端。

  • 您要設定 ARP 所在的磁碟區必須受到保護"交會路徑",而且必須有作用中的。

  • 磁碟區必須低於 100% 滿。

  • 建議您將 EMS 系統設定為傳送電子郵件通知、其中包括 ARP 活動通知。如需更多資訊、請參閱 "設定EMS事件以傳送電子郵件通知"

  • 從 ONTAP 9.13.1 開始、我們建議您啟用多重管理驗證( MAV )、以便在進行自主勒索軟體保護( ARP )組態時、需要兩個或更多已驗證的使用者管理員。如需更多資訊、請參閱 "啟用多重管理驗證"

在新的或現有的磁碟區上啟用 ARP

您可以使用系統管理員或 ONTAP CLI 來啟用 ARP 。

系統管理員
步驟

  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

    • 如果您將 ARP 搭配 ONTAP 9 . 15.1 或更早版本或 ONTAP 9 . 16.1 搭配 FlexGroup 磁碟區使用,請在「 * 反勒索軟體 * 」方塊中選取「 * 在學習模式中啟用」。

      註 從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化。如果您想要手動控制學習模式到作用中模式的轉換,可以"在關聯的儲存 VM 上停用此設定"使用。

    • 如果您在具有 ONTAP 9 。 16.1 或更新版本的 FlexVol 磁碟區上使用 ARP ,則 ARP/AI 功能不需要學習週期,而且預設會選取作用中模式。

  3. 您可以在 * 反勒索軟體 * 方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

如果您是在現有磁碟區上啟用 ARP 、而不是在新磁碟區上啟用 ARP 、則使用 CLI 啟用 ARP 的程序會有所不同。

在現有磁碟區上啟用 ARP

  1. 修改現有的磁碟區以啟用勒索軟體保護:

    • 對於 ONTAP 9 . 15.1 及更早版本的磁碟區和 FlexGroup 磁碟區的 ARP ,請將磁碟區狀態設定為 dry-run(學習模式):

      security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

    • 若為 ARP/AI 和 FlexVol Volume 的 ONTAP 9 。 16.1 及更新版本,請將 Volume 狀態設定為 active(作用中模式):

      security anti-ransomware volume active -volume <vol_name> -vserver <svm_name>

  2. 如果您升級至 ONTAP 9 . 13.1 或更新版本,且 ARP 預設狀態為 dry-run,則會啟用調適性學習,以便自動完成變更至作用中狀態。如果您不想自動啟用此行為、請變更所有相關磁碟區上 SVM 層級的設定:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 驗證磁碟區的ARP狀態。

    security anti-ransomware volume show

在新磁碟區上啟用 ARP

  1. 在資源配置資料之前,先建立已啟用 ARP 的新磁碟區:

    • 若為 ONTAP 9 . 15.1 及更早版本,以及使用 FlexGroup Volume 的 ARP ,請將狀態設定為 dry-run(學習模式):

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

    • 若為 ARP/AI 和 FlexVol 磁碟區的 ONTAP 9 。 16.1 及更新版本,請將狀態設定為 active(作用中模式):

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state active -junction-path </path_name>

  2. 如果您升級至 ONTAP 9 . 13.1 或更新版本,且 ARP 預設狀態為 dry-run,則會啟用調適性學習,以便自動完成變更至作用中狀態。如果您不想自動啟用此行為、請變更所有相關磁碟區上 SVM 層級的設定:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 驗證磁碟區的ARP狀態。

    security anti-ransomware volume show

相關資訊