啟用 ONTAP 自主勒索軟體保護
從 ONTAP 9 。 10.1 開始,您可以在現有的磁碟區上啟用「自主勒索軟體保護」( ARP ),或是建立新的磁碟區,從頭開始啟用 ARP 。
如果您想要設定 ONTAP 叢集,以便依預設啟用所有新的磁碟區以進行自動勒索軟體保護( ARP ),請參閱本"相關的 ARP 程序"節。
-
(僅限 NAS 環境)對於ONTAP 9.10.1 至 9.15.1 或帶有FlexGroup卷的 ARP 對於這些版本的ONTAP,您應該始終在"學習模式" (或“試運轉”狀態)。首次啟用學習模式下的 ARP 時,系統會分析工作負載以表徵正常行為。以主動模式啟動可能會導致過多的誤報。
建議讓 ARP 以學習模式運作至少 30 天。從ONTAP 9.13.1 開始,ARP 會自動確定最佳學習間隔並自動切換,切換可能在 30 天之前完成。
-
(僅限 NAS 環境)適用於具有FlexVol磁碟區的ONTAP 9.16.1 及更高版本 使用系統管理員或命令列介面 (CLI) 啟用 ARP 時,ARP/AI 保護將立即啟用並生效。無需學習期。
-
(僅限 SAN 環境)適用於包含FlexVol磁碟區的ONTAP 9.17.1 及更高版本 使用 System Manager 或命令列介面 (CLI) 啟用 ARP 時,ARP/AI 功能將自動啟用。在 SAN 磁碟區上啟用後, "ARP/AI 在評估期間持續監測數據"確定工作負載是否適合ARP並設定最佳加密偵測閾值。
-
您必須擁有已啟用協定的儲存虛擬機器 (SVM):
-
NAS:NFS 或 SMB(或兩者)
-
SAN:iSCSI、FC 或 NVMe
-
-
這"正確授權"必須為您的ONTAP版本安裝。
-
您必須具有已設定用戶端的 NAS 或 SAN 工作負載。
-
(僅限 NAS 環境)要設定 ARP 的磁碟區必須具有活動"交會路徑" 。
-
磁碟區必須低於 100% 滿。
-
建議您將 EMS 系統設定為傳送電子郵件通知、其中包括 ARP 活動通知。如需更多資訊、請參閱 "設定EMS事件以傳送電子郵件通知"。
-
從 ONTAP 9.13.1 開始,我們建議您啟用多重管理驗證( MAV ),以便在進行自主勒索軟體保護( ARP )組態時,需要兩個或更多已驗證的使用者管理員。如需更多資訊、請參閱 "啟用多重管理驗證"。
在新的或現有的磁碟區上啟用 ARP
您可以使用系統管理員或 ONTAP CLI 來啟用 ARP 。
-
選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。
-
在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。
-
(僅限 NAS 環境)如果您將 ARP 與ONTAP 9.15.1 或更早版本一起使用,或將ONTAP 9.16.1 與FlexGroup磁碟區一起使用,請在 反勒索軟體 方塊中選擇 在學習模式下啟用。
從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化。如果您想要手動控制學習模式到作用中模式的轉換,可以"在關聯的儲存 VM 上停用此設定"使用。
在現有的磁碟區中、學習和作用中模式僅適用於新寫入的資料、而不適用於磁碟區中現有的資料。不會掃描和分析現有資料、因為在啟用Volume以進行Arp之後、會根據新資料來假設先前一般資料流量的特性。 -
-
您可以在 * 反勒索軟體 * 方塊中驗證磁碟區的 ARP 狀態。
若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。
如果要在現有磁碟區或新磁碟區上啟用 ARP,則使用 CLI 啟用 ARP 的流程會有所不同。
-
修改現有的磁碟區以啟用勒索軟體保護:
-
對於沒有 ARP/AI 的 NAS 環境或FlexGroup卷,請使用 `dry-run`狀態,以便新卷以學習模式開始。
-
對於執行ONTAP 9.16.1 或更高版本的 NAS 環境或具有ONTAP 9.17.1 的 SAN 環境,請使用 `enabled`狀態。
security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>
如"指令參考資料ONTAP"需詳細 `security anti-ransomware volume dry-run`資訊,請參閱。
-
-
如果您將 NAS 環境升級到ONTAP 9.13.1 到ONTAP 9.15.1,並且預設狀態為
dry-run
(學習模式),自適應學習已啟用,因此變更為 `enabled`狀態(主動模式)會自動啟用。如果您不想自動啟用此行為,請在所有關聯磁碟區的 SVM 層級變更設定:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
驗證磁碟區的ARP狀態。
security anti-ransomware volume show
-
在資源配置資料之前,先建立已啟用 ARP 的新磁碟區:
-
對於沒有 ARP/AI 的 NAS 環境或FlexGroup卷,請使用 `dry-run`狀態,以便新卷以學習模式開始。
-
對於執行ONTAP 9.16.1 或更高版本的 NAS 環境或具有ONTAP 9.17.1 的 SAN 環境,請使用 `enabled`狀態。
volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>
-
-
如果您將 NAS 環境升級到ONTAP 9.13.1 到ONTAP 9.15.1,並且預設狀態為
dry-run
(學習模式),自適應學習已啟用,因此變更為 `enabled`狀態(主動模式)會自動啟用。如果您不想自動啟用此行為,請在所有關聯磁碟區的 SVM 層級變更設定:vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false
-
確認 Volume 已設定為
enabled
「狀態」。security anti-ransomware volume show
如"指令參考資料ONTAP"需詳細 `security anti-ransomware volume show`資訊,請參閱。