暫停勒索軟體保護、將工作負載事件排除在分析範圍之外
如果您預期會發生異常的工作負載事件、可以隨時暫停並恢復自發勒索軟體保護(Arp)分析。
從 ONTAP 9.13.1 開始、您可以啟用多重管理驗證( MAV )、以便需要兩個或多個已驗證的使用者管理員才能暫停 ARP 。 "深入瞭解"。
在暫停ARP期間、不會記錄任何事件、也不會針對新的寫入動作進行任何動作。不過、分析作業會在背景中繼續進行、以處理較早的記錄。
請勿使用 ARP 停用功能來暫停分析。這樣做會停用磁碟區上的Arp、並會遺失所有有關已學習工作負載行為的現有資訊。這需要重新啟動學習期間。 |
您可以使用系統管理員或 ONTAP CLI 來暫停 ARP 。
-
選取 * 儲存 > 磁碟區 * 、然後選取您要暫停 ARP 的磁碟區。
-
在 Volumes (磁碟區)總覽的 Security ( 安全性) * 索引標籤中、在 * Anti-勒索 ware 方塊中選取 * Pause anti-勒索 ware* 。
從 ONTAP 9.13.1 開始、如果您使用 MAV 來保護您的 ARP 設定、暫停作業會提示您取得一或多個額外管理員的核准。 "必須收到所有管理員的核准" 與 MAV 核准群組相關聯、否則作業將會失敗。
-
在磁碟區上暫停ARP:
security anti-ransomware volume pause -vserver svm_name -volume vol_name
-
若要繼續處理、請使用
resume
命令:security anti-ransomware volume resume -vserver svm_name -volume vol_name
-
* 如果您使用 MAV (從 ONTAP 9.13.1 開始的 ARP 提供)來保護您的 ARP 設定、 * 暫停作業會提示您取得一或多位其他管理員的核准。必須從與 MAV 核准群組相關的所有管理員處收到核准、否則作業將會失敗。
如果您使用的是 MAV 、而預期的暫停作業需要額外核准、則每位 MAV 群組核准者都會執行下列動作:
-
顯示要求:
security multi-admin-verify request show
-
核准申請:
security multi-admin-verify request approve -index[number returned from show request]
最後一個群組核准者的回應表示該磁碟區已修改、而且 ARP 狀態已暫停。
如果您使用的是 MAV 、而且您是 MAV 群組核准者、您可以拒絕暫停作業要求:
security multi-admin-verify request veto -index[number returned from show request]
-