Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用 ONTAP 自主勒索軟體保護

貢獻者 netapp-dbagwell netapp-ahibbard netapp-forry netapp-aherbin netapp-aaron-holt netapp-thomi netapp-barbe
PDF

從 ONTAP 9 。 10.1 開始,您可以在現有的磁碟區上啟用「自主勒索軟體保護」( ARP ),或是建立新的磁碟區,從頭開始啟用 ARP 。

如果您想要設定 ONTAP 叢集,以便依預設啟用所有新的磁碟區以進行自動勒索軟體保護( ARP ),請參閱本"相關的 ARP 程序"節。

關於這項工作

若要啟用 ARP,請按照與您的環境相符的步驟操作。您確保您的環境符合某些要求

啟用 ARP 後,ARP 可能會進入過渡期,具體取決於您的環境和ONTAP版本:

Volume類型 版本ONTAP 啟用後的行為

NAS FlexGroup

ONTAP 9.18.1 及更高版本

ARP/AI 無需學習期即可立即生效

ONTAP 9.13.1 至 9.17.1

ARP啟動後將進入學習模式,持續30天。

NAS FlexVol

ONTAP 9.16.1 及更新版本

ARP/AI 無需學習期即可立即生效

ONTAP 9.10.1 至 9.15.1

ARP啟動後將進入學習模式,持續30天。

SAN 磁碟區

ONTAP 9.17.1 及更高版本

ARP/AI 立即啟動,啟動評估期,以確定合適的警報閾值,然後再從初始的保守閾值過渡。
開始之前

啟用 ARP 之前,請確保您的環境具備以下條件:

NAS 特定要求

  • 啟用了 NFS 或 SMB(或兩者)協定的儲存虛擬機器 (SVM)。

  • 已配置客戶端的 NAS 工作負載。

  • 積極"交會路徑"就音量而言。

SAN 特定要求

  • 啟用了 iSCSI、FC 或 NVMe 協定的儲存虛擬機器 (SVM)。

  • 已配置客戶端的 SAN 工作負載。

一般要求

在 NAS FlexVol磁碟區上啟用 ARP

您可以使用系統管理員或ONTAP CLI 在 NAS FlexVol磁碟區上啟用 ARP。具體流程會根據您的ONTAP版本而有所不同。

ONTAP 9.16.1 及更新版本

從ONTAP 9.16.1 開始,ARP/AI 可立即激活,無需學習期。

系統管理員

  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

  3. 在「反勒索軟體」方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

在現有磁碟區上啟用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

建立啟用 ARP 的新磁碟區:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>

驗證ARP狀態:

security anti-ransomware volume show

"指令參考資料ONTAP"需詳細 `security anti-ransomware volume show`資訊,請參閱。

ONTAP 9.10.1 至 9.15.1

對於ONTAP 9.10.1 至 9.15.1 版本,您應該先啟用 ARP。"學習模式" (或“試運轉”狀態)。該系統透過分析工作負載來描述正常行為。以主動模式啟動可能會導致過多的誤報。

建議讓 ARP 以學習模式運作至少 30 天。從ONTAP 9.13.1 開始,ARP 會自動確定最佳學習間隔並自動切換,切換可能在 30 天之前完成。

系統管理員

  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要保護的磁碟區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

  3. 在「反勒索軟體」方塊中選擇「在學習模式下啟用」。

    註 你可以"停用關聯儲存虛擬機器上的自動學習活動模式轉換"如果您想手動控制學習模式到主動模式的轉換。
    註 在現有的磁碟區中、學習和作用中模式僅適用於新寫入的資料、而不適用於磁碟區中現有的資料。不會掃描和分析現有資料、因為在啟用Volume以進行Arp之後、會根據新資料來假設先前一般資料流量的特性。

  4. 在「反勒索軟體」方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

在現有磁碟區上啟用 ARP:

security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

"指令參考資料ONTAP"需詳細 `security anti-ransomware volume dry-run`資訊,請參閱。

建立啟用 ARP 的新磁碟區:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

停用自動切換(可選):

如果您已將ONTAP升級至 ONTAP 9.13.1 至ONTAP 9.15.1,並且想要手動控制所有關聯磁碟區從學習模式切換到活動模式,則可以從 SVM 執行此操作:

vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

驗證ARP狀態:

security anti-ransomware volume show

在 NAS FlexGroup磁碟區上啟用 ARP

您可以使用系統管理員或ONTAP CLI 在 NAS FlexGroup磁碟區上啟用 ARP。具體流程會根據您的ONTAP版本而有所不同。

ONTAP 9.18.1 及更高版本

從ONTAP 9.18.1 開始,ARP/AI 對FlexGroup卷立即生效,無需學習期。

系統管理員

  1. 選擇“儲存 > 磁碟區”,然後選擇要保護的FlexGroup區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

  3. 在「反勒索軟體」方塊中驗證磁碟區的 ARP 狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

在現有FlexGroup磁碟區上啟用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

建立啟用 ARP 的新FlexGroup區:

volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state enabled -junction-path </path_name>

驗證ARP狀態:

security anti-ransomware volume show
ONTAP 9.13.1 至 9.17.1

對於ONTAP 9.13.1 至 9.17.1 版本, FlexGroup磁碟區的起始版本為:"學習模式" 。該系統透過分析工作負載來描述正常行為。

建議讓 ARP 以學習模式運作至少 30 天。ARP 會自動確定最佳學習週期間隔並自動切換,切換可能在 30 天之前發生。

系統管理員

  1. 選擇“儲存 > 磁碟區”,然後選擇要保護的FlexGroup區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

  3. 在「反勒索軟體」方塊中選擇「在學習模式下啟用」。

    註 你可以"停用自動學習到活動模式的轉換"如果您想手動控制學習模式到主動模式的轉換。

  4. 在「反勒索軟體」方塊中驗證磁碟區的 ARP 狀態。

CLI

在現有FlexGroup磁碟區上啟用 ARP:

security anti-ransomware volume dry-run -volume <vol_name> -vserver <svm_name>

建立啟用 ARP 的新FlexGroup區:

volume create -volume <vol_name> -vserver <svm_name> -aggr-list <aggregate name> -aggr-list-multiplier <integer> -size <nn> -anti-ransomware-state dry-run -junction-path </path_name>

停用自動切換(可選):

如果您想手動控制從學習模式到活動模式的切換:

vserver modify <svm_name> -anti-ransomware-auto-switch-from-learning-to-enabled false

驗證ARP狀態:

security anti-ransomware volume show

在SAN磁碟區上啟用ARP

從ONTAP 9.17.1 開始,您可以在 SAN 磁碟區上啟用 ARP。 ARP/AI 功能會自動啟用,並在 SAN 磁碟區維護期間立即開始主動監控和保護 SAN 磁碟區。"評估期"同時確定工作負載是否適合 ARP,並設定最佳加密偵測閾值。

您可以使用系統管理員或ONTAP CLI 在 SAN 磁碟區上啟用 ARP。

系統管理員
步驟

  1. 選擇“儲存 > 磁碟區”,然後選擇要保護的 SAN 磁碟區。

  2. 在 * Volumes (卷) * 概述的 * Security (安全) * 選項卡中,選擇 * Status (狀態) * 以從 Disabled (已禁用)切換到 Enabled (已啓用)。

  3. ARP/AI自動進入評估期。

  4. 在「反勒索軟體」方塊中驗證 ARP 狀態和評估狀態。

    若要顯示所有磁碟區的 ARP 狀態:在 * Volumes (磁碟區) * 窗格中,選取 * Show (顯示) / Hide (隱藏) * ,然後確定已勾選 * Anti-勒索 ware* 狀態。

CLI

在現有 SAN 磁碟區上啟用 ARP:

security anti-ransomware volume enable -volume <vol_name> -vserver <svm_name>

建立啟用 ARP 的新 SAN 磁碟區:

volume create -volume <vol_name> -vserver <svm_name> -aggregate <aggr_name> -size <nn> -anti-ransomware-state enabled

驗證ARP狀態和評估狀態:

security anti-ransomware volume show

檢查 `Block device detection status`現場監測評估期進展。

"指令參考資料ONTAP"需詳細 `security anti-ransomware volume show`資訊,請參閱。

相關資訊