Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用自發勒索軟體保護

貢獻者
PDF

從ONTAP S廳9.10.1開始、可在新的或現有的磁碟區上啟用自發勒索軟體保護(Arp)。您必須先在學習模式中啟用ARP、系統會分析工作負載以找出正常行為的特徵。您可以在現有的磁碟區上啟用Arp、也可以建立新的磁碟區、從頭開始啟用Arp。

關於這項工作

您應該一律在學習(或試運行)模式中啟用 ARP 。從使用中模式開始、可能會產生過多的誤報。

建議您讓 ARP 以學習模式執行至少 30 天。從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化、這可能會在 30 天前發生。如需詳細資訊、請參閱 "學習和作用中模式"

註 在現有的磁碟區中、學習和作用中模式僅適用於新寫入的資料、而不適用於磁碟區中現有的資料。不會掃描和分析現有資料、因為在啟用Volume以進行Arp之後、會根據新資料來假設先前一般資料流量的特性。
開始之前

  • 您必須為 NFS 或 SMB (或兩者)啟用儲存 VM ( SVM )。

  • 正確授權 必須為您的 ONTAP 版本安裝。

  • 您必須設定具有 NAS 工作負載的用戶端。

  • 您想要設定 ARP 的磁碟區需要受到保護、而且必須有作用中的磁碟區 "交會路徑"

  • 磁碟區必須低於 100% 滿。

  • 建議您將 EMS 系統設定為傳送電子郵件通知、其中包括 ARP 活動通知。如需詳細資訊、請參閱 "設定EMS事件以傳送電子郵件通知"

  • 從 ONTAP 9.13.1 開始、我們建議您啟用多重管理驗證( MAV )、以便在進行自主勒索軟體保護( ARP )組態時、需要兩個或更多已驗證的使用者管理員。如需詳細資訊、請參閱 "啟用多重管理驗證"

啟用 ARP

您可以使用系統管理員或 ONTAP CLI 來啟用 ARP 。

系統管理員
步驟

  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。

  2. 在 * Volumes * (卷)總覽的 * Security (安全性) * 標籤中、在 * Anti-勒索 ware* ( * 反勒索軟體)方塊中、選取 * Status (狀態) * 以在學習模式中從 Disabled (已停用)切換為 Enabled (已啟用)。

  3. 學習期間結束時、請將ARP切換至作用中模式。

    註 從 ONTAP 9.13.1 開始、 ARP 會自動判斷最佳學習期間間隔、並將交換器自動化。您可以 "在關聯的儲存 VM 上停用此設定" 如果您想要手動將學習模式控制為使用中模式切換。

    1. 選取 * 儲存 > 磁碟區 * 、然後選取已準備好用於作用中模式的磁碟區。

    2. 在 * Volumes * (卷)總覽的 * Security (安全性) * 索引標籤中、在 Anti-勒索 ware 方塊中選取 * Switch* to active mode ( * 切換 * 至作用中模式)。

  4. 您可以在 * 反勒索軟體 * 方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中、選取 * Show (顯示) / Hide (隱藏) * 、然後確定已勾選 * Anti-勒索 ware* (反勒索軟體)狀態。

CLI

如果您是在現有磁碟區上啟用 ARP 、而不是在新磁碟區上啟用 ARP 、則使用 CLI 啟用 ARP 的程序會有所不同。

在現有磁碟區上啟用 ARP

  1. 修改現有磁碟區以在學習模式中啟用勒索軟體保護:

    security anti-ransomware volume dry-run -volume vol_name -vserver svm_name

    如果您執行的是 ONTAP 9.13.1 或更新版本、則會啟用調適性學習、以便自動完成變更至作用中狀態。如果您不想自動啟用此行為、請變更所有相關磁碟區上 SVM 層級的設定:

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 學習期間結束時、如果尚未自動完成、請修改受保護的磁碟區以切換至作用中模式:

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    您也可以使用modify volume命令切換至作用中模式:

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. 驗證磁碟區的ARP狀態。

    security anti-ransomware volume show

在新磁碟區上啟用 ARP

  1. 在資源配置資料之前、請先啟用反勒索軟體保護功能、建立新的 Volume 。

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name

    如果您執行的是 ONTAP 9.13.1 或更新版本、則會啟用調適性學習、以便自動完成變更至作用中狀態。如果您不想自動啟用此行為、請變更所有相關磁碟區上 SVM 層級的設定:

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 學習期間結束時、如果尚未自動完成、請修改受保護的磁碟區以切換至作用中模式:

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    您也可以使用modify volume命令切換至作用中模式:

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. 驗證磁碟區的ARP狀態。

    security anti-ransomware volume show