Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

暫停勒索軟體保護、將工作負載事件排除在分析範圍之外

貢獻者

如果您預期會發生異常的工作負載事件、可以隨時暫停並恢復自發勒索軟體保護(Arp)分析。

從 ONTAP 9.13.1 開始、您可以啟用多重管理驗證( MAV )、以便需要兩個或多個已驗證的使用者管理員才能暫停 ARP 。 "深入瞭解"

關於這項工作

在暫停ARP期間、不會記錄任何事件、也不會針對新的寫入動作進行任何動作。不過、分析作業會在背景中繼續進行、以處理較早的記錄。

註 請勿使用 ARP 停用功能來暫停分析。這樣做會停用磁碟區上的Arp、並會遺失所有有關已學習工作負載行為的現有資訊。這需要重新啟動學習期間。
步驟

您可以使用系統管理員或 ONTAP CLI 來暫停 ARP 。

系統管理員
  1. 選取 * 儲存 > 磁碟區 * 、然後選取您要暫停 ARP 的磁碟區。

  2. 在 Volumes (磁碟區)總覽的 Security ( 安全性) * 索引標籤中、在 * Anti-勒索 ware 方塊中選取 * Pause anti-勒索 ware* 。

    註 從 ONTAP 9.13.1 開始、如果您使用 MAV 來保護您的 ARP 設定、暫停作業會提示您取得一或多個額外管理員的核准。 "必須收到所有管理員的核准" 與 MAV 核准群組相關聯、否則作業將會失敗。
CLI
  1. 在磁碟區上暫停ARP:

    security anti-ransomware volume pause -vserver svm_name -volume vol_name

  2. 若要繼續處理、請使用 resume 參數。

    security anti-ransomware volume resume -vserver svm_name -volume vol_name

  3. * 如果您使用 MAV (從 ONTAP 9.13.1 開始的 ARP 提供)來保護您的 ARP 設定、 * 暫停作業會提示您取得一或多位其他管理員的核准。必須從與 MAV 核准群組相關的所有管理員處收到核准、否則作業將會失敗。

    如果您使用的是 MAV 、而預期的暫停作業需要額外核准、則每位 MAV 群組核准者都會執行下列動作:

    1. 顯示要求:

      security multi-admin-verify request show

    2. 核准申請:

      security multi-admin-verify request approve -index[number returned from show request]

      最後一個群組核准者的回應表示該磁碟區已修改、而且 ARP 狀態已暫停。

      如果您使用的是 MAV 、而且您是 MAV 群組核准者、您可以拒絕暫停作業要求:

    security multi-admin-verify request veto -index[number returned from show request]