Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用 ONTAP 自主勒索軟體保護

貢獻者 netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

從 ONTAP 9 。 10.1 開始,您可以在現有的磁碟區上啟用「自主勒索軟體保護」( ARP ),或是建立新的磁碟區,從頭開始啟用 ARP 。

如果您想要設定 ONTAP 叢集,以便依預設啟用所有新的磁碟區以進行自動勒索軟體保護( ARP ),請參閱本"相關的 ARP 程序"節。

關於這項工作

  • (僅限 NAS 環境)對於ONTAP 9.10.1 至 9.15.1 或帶有FlexGroup卷的 ARP 對於這些版本的ONTAP,您應該始終在"學習模式" (或“試運轉”狀態)。首次啟用學習模式下的 ARP 時,系統會分析工作負載以表徵正常行為。以主動模式啟動可能會導致過多的誤報。

    建議讓 ARP 以學習模式運作至少 30 天。從ONTAP 9.13.1 開始,ARP 會自動確定最佳學習間隔並自動切換,切換可能在 30 天之前完成。

  • (僅限 NAS 環境)適用於具有FlexVol磁碟區的ONTAP 9.16.1 及更高版本 使用系統管理員或命令列介面 (CLI) 啟用 ARP 時,ARP/AI 保護將立即啟用並生效。無需學習期。

  • (僅限 SAN 環境)適用於包含FlexVol磁碟區的ONTAP 9.17.1 及更高版本 使用 System Manager 或命令列介面 (CLI) 啟用 ARP 時,ARP/AI 功能將自動啟用。在 SAN 磁碟區上啟用後, "ARP/AI 在評估期間持續監測數據"確定工作負載是否適合ARP並設定最佳加密偵測閾值。

開始之前

  • 您必須擁有已啟用協定的儲存虛擬機器 (SVM):

    • NAS:NFS 或 SMB(或兩者)

    • SAN:iSCSI、FC 或 NVMe

  • "正確授權"必須為您的ONTAP版本安裝。

  • 您必須具有已設定用戶端的 NAS 或 SAN 工作負載。

  • (僅限 NAS 環境)要設定 ARP 的磁碟區必須具有活動"交會路徑"

  • 磁碟區必須低於 100% 滿。

  • 建議您將 EMS 系統設定為傳送電子郵件通知、其中包括 ARP 活動通知。如需更多資訊、請參閱 "設定EMS事件以傳送電子郵件通知"

  • 從 ONTAP 9.13.1 開始,我們建議您啟用多重管理驗證( MAV ),以便在進行自主勒索軟體保護( ARP )組態時,需要兩個或更多已驗證的使用者管理員。如需更多資訊、請參閱 "啟用多重管理驗證"

在新的或現有的磁碟區上啟用 ARP

您可以使用系統管理員或 ONTAP CLI 來啟用 ARP 。

系統管理員
步驟

  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

    • (僅限 NAS 環境)如果您將 ARP 與ONTAP 9.15.1 或更早版本一起使用,或將ONTAP 9.16.1 與FlexGroup磁碟區一起使用,請在 反勒索軟體 方塊中選擇 在學習模式下啟用

      註 從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化。如果您想要手動控制學習模式到作用中模式的轉換,可以"在關聯的儲存 VM 上停用此設定"使用。
    註 在現有的磁碟區中、學習和作用中模式僅適用於新寫入的資料、而不適用於磁碟區中現有的資料。不會掃描和分析現有資料、因為在啟用Volume以進行Arp之後、會根據新資料來假設先前一般資料流量的特性。

  3. 您可以在 * 反勒索軟體 * 方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

如果要在現有磁碟區或新磁碟區上啟用 ARP,則使用 CLI 啟用 ARP 的流程會有所不同。

在現有磁碟區上啟用 ARP

  1. 修改現有的磁碟區以啟用勒索軟體保護:

    • 對於沒有 ARP/AI 的 NAS 環境或FlexGroup卷,請使用 `dry-run`狀態,以便新卷以學習模式開始。

    • 對於執行ONTAP 9.16.1 或更高版本的 NAS 環境或具有ONTAP 9.17.1 的 SAN 環境,請使用 `enabled`狀態。

      security anti-ransomware volume <dry-run|enabled> -volume <vol_name> -vserver <svm_name>

      "指令參考資料ONTAP"需詳細 `security anti-ransomware volume dry-run`資訊,請參閱。

  2. 如果您將 NAS 環境升級到ONTAP 9.13.1 到ONTAP 9.15.1,並且預設狀態為 dry-run (學習模式),自適應學習已啟用,因此變更為 `enabled`狀態(主動模式)會自動啟用。如果您不想自動啟用此行為,請在所有關聯磁碟區的 SVM 層級變更設定:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 驗證磁碟區的ARP狀態。

    security anti-ransomware volume show
在新磁碟區上啟用 ARP

  1. 在資源配置資料之前,先建立已啟用 ARP 的新磁碟區:

    • 對於沒有 ARP/AI 的 NAS 環境或FlexGroup卷,請使用 `dry-run`狀態,以便新卷以學習模式開始。

    • 對於執行ONTAP 9.16.1 或更高版本的 NAS 環境或具有ONTAP 9.17.1 的 SAN 環境,請使用 `enabled`狀態。

      volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state <dry-run|enabled> -junction-path </path_name>

  2. 如果您將 NAS 環境升級到ONTAP 9.13.1 到ONTAP 9.15.1,並且預設狀態為 dry-run (學習模式),自適應學習已啟用,因此變更為 `enabled`狀態(主動模式)會自動啟用。如果您不想自動啟用此行為,請在所有關聯磁碟區的 SVM 層級變更設定:

    vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

  3. 確認 Volume 已設定為 enabled「狀態」。

    security anti-ransomware volume show

    "指令參考資料ONTAP"需詳細 `security anti-ransomware volume show`資訊,請參閱。

相關資訊