調整自動產生的 ARP 快照的設置
建議變更
PDF
從 ONTAP 9 . 11.1 開始,您可以使用 CLI 來控制自動產生的勒索軟體保護( ARP )快照保留設定,以因應可疑的勒索軟體攻擊。
您只能修改"節點SVM"而不適用於其他類型的 SVM。
-
顯示所有目前的 ARP 快照設定:
options -option-name arw* -
顯示選取的目前 ARP 快照設定:
options -option-name <arw_setting_name> -
修改 ARP 快照設定:
options -option-name <arw_setting_name> -option-value <arw_setting_value>可修改下列設定:
從ONTAP 9.17.1 開始,部分所述命令已棄用。 ONTAPONTAP中引入的指令同時支援 NAS 和 SAN 環境。 設定 說明 支援的版本 arw.snap.max.count指定任意給定時間卷中可存在的 ARP 快照的最大數量。系統會刪除較舊的副本,以確保 ARP 快照的總數不會超過此指定限制。
更新版本ONTAP
arw.snap.create.interval.hours指定 ARP 快照之間的間隔(以小時為單位)。當懷疑存在基於資料熵的攻擊且最近建立的 ARP 快照早於指定間隔時,將建立新的 ARP 快照。
更新版本ONTAP
arw.snap.normal.retain.interval.hours指定 ARP 快照的保留時長(以小時為單位)。當 ARP 快照達到保留閾值時,將被刪除。
-
ONTAP 9.11.1 升級至ONTAP 9.16.1
-
在ONTAP 9.17.1 及更高版本中已棄用
arw.snap.max.retain.interval.days指定可以保留 ARP 快照的最長持續時間(以天為單位)。如果磁碟區未回報任何攻擊,則會刪除任何早於此持續時間的 ARP 快照。
如果偵測到中度威脅,就會忽略 ARP 快照的最大保留時間間隔。針對威脅所建立的 ARP 快照會保留,直到您回應威脅為止。當您將威脅標示為誤判時, ONTAP 會刪除該磁碟區的 ARP 快照。 -
ONTAP 9.11.1 升級至ONTAP 9.16.1
-
在ONTAP 9.17.1 及更高版本中已棄用
arw.snap.create.interval.hours.post.max.count當磁碟區已包含最大數量的 ARP 快照時,指定 ARP 快照之間的間隔(以小時為單位)。達到最大數量時,將刪除一個 ARP 快照,為新副本騰出空間。使用此選項可以降低新 ARP 快照的建立速度,以保留舊副本。如果磁碟區已包含最大數量的 ARP 快照,則下次建立 ARP 快照時將使用此選項中指定的間隔,而不是
arw.snap.create.interval.hours。-
ONTAP 9.11.1 至 9.16.1
-
在ONTAP 9.17.1 及更高版本中已棄用
arw.snap.low.encryption.retain.duration.hours指定在加密活動較少期間建立的 ARP 快照的保留時間(以小時為單位)。
-
ONTAP 9.17.1 及更高版本
arw.snap.new.extns.interval.hours指定偵測到新檔案副檔名時建立 ARP 快照的間隔(以小時為單位)。偵測到新檔案副檔名時會建立一個新的 ARP 快照;上一個在偵測到新檔案副檔名時所建立的快照早於此指定的間隔。在頻繁建立新檔案副檔名的工作負載上,此間隔有助於控制 ARP 快照的頻率。此選項獨立於
arw.snap.create.interval.hours,指定基於資料熵的 ARP 快照的間隔。-
ONTAP 9.11.1 升級至ONTAP 9.16.1
-
在ONTAP 9.17.1 及更高版本中已棄用
arw.snap.retain.hours.after.clear.suspect.false.alert指定在管理員將攻擊事件標記為誤報後,ARP 快照作為預防措施保留的時間間隔(以小時為單位)。在此預防性保留期到期後,可能會根據選項定義的標準保留期限刪除快照
arw.snap.normal.retain.interval.hours`和 `arw.snap.max.retain.interval.days。-
ONTAP 9.16.1 及更新版本
arw.snap.retain.hours.after.clear.suspect.real.attack指定管理員將攻擊事件標記為真實攻擊後,ARP 快照作為預防措施保留的時間間隔(以小時為單位)。在此預防性保留期到期後,可能會根據選項定義的標準保留期限刪除快照。
arw.snap.normal.retain.interval.hours`和 `arw.snap.max.retain.interval.days。-
ONTAP 9.16.1 及更新版本
arw.snap.surge.interval.days指定為回應 IO 突波而建立的 ARP 快照之間的間隔(以天為單位)。當 IO 流量激增且上次建立的 ARP 快照快照比此指定時間間隔還早時, ONTAP 會建立 ARP 快照突波複本。此選項也會指定 ARP 喘振快照的保留期間(以天為單位)。
更新版本ONTAP
arw.high.encryption.alert.enabled啟用高級別加密警報。當此選項設定為
on(預設),當ONTAP百分比超過arw.high.encryption.percentage.threshold。ONTAP 9.17.1 及更高版本
arw.high.encryption.percentage.threshold指定卷的最大加密百分比。如果加密百分比超過此閾值,則ONTAP會將加密百分比的增加視為攻擊,並建立 ARP 快照。 `arw.high.encryption.alert.enabled`必須設定為 `on`以使此選項生效。
ONTAP 9.17.1 及更高版本
arw.snap.high.encryption.retain.duration.hours指定在高加密閾值事件期間建立的快照的保留持續時間間隔(以小時為單位)。
ONTAP 9.17.1 及更高版本
-
-
如果您在 SAN 環境中使用 ARP,您也可以修改以下評估期設定:
設定 說明 支援的版本 arw.block_device.auto.learn.threshold.min_value指定區塊設備評估的自動學習階段的最小加密閾值百分比值。
ONTAP 9.17.1 及更高版本
arw.block_device.auto.learn.threshold.max_value指定區塊設備評估的自動學習階段的最大加密閾值百分比值。
ONTAP 9.17.1 及更高版本
arw.block_device.evaluation.phase.min_hours指定在設定加密閾值之前評估階段必須運行的最小間隔(以小時為單位)。
ONTAP 9.17.1 及更高版本
arw.block_device.evaluation.phase.max_hours指定在設定加密閾值之前評估階段必須運行的最大間隔(以小時為單位)。
ONTAP 9.17.1 及更高版本
arw.block_device.evaluation.phase.min_data_ingest_size_GB指定在設定加密閾值之前評估階段必須提取的最小資料量(以 GB 為單位)。
ONTAP 9.17.1 及更高版本
arw.block_device.evaluation.phase.alert.enabled指定是否在區塊設備上啟用 ARP 評估階段的警報。預設值為
True。ONTAP 9.17.1 及更高版本
arw.block_device.evaluation.phase.alert.threshold指定區塊設備上 ARP 評估階段的閾值百分比。如果加密百分比超過此閾值,則會觸發警報。
ONTAP 9.17.1 及更高版本