本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
暫停 ONTAP 自主勒索軟體保護,將工作負載事件排除在分析之外
貢獻者
建議變更
PDF
如果您預期會發生異常的工作負載事件、可以隨時暫停並恢復自發勒索軟體保護(Arp)分析。
從 ONTAP 9.13.1 開始,您可以啟用多重管理驗證( MAV ),以便需要兩個或多個已驗證的使用者管理員才能暫停 ARP 。
關於這項工作
在 ARP 暫停期間, ONTAP不會記錄新寫入的事件或操作;但是,對早期日誌的分析會在背景繼續進行。
|
請勿使用 ARP 停用功能來暫停分析。這樣做會停用磁碟區上的Arp、並會遺失所有有關已學習工作負載行為的現有資訊。這需要重新啟動學習期間。 |
步驟
您可以使用系統管理員或 ONTAP CLI 來暫停 ARP 。
系統管理員
-
選取 * 儲存 > 磁碟區 * 、然後選取您要暫停 ARP 的磁碟區。
-
在卷概覽的「安全性」標籤中,選擇「反勒索軟體」方塊中的「暫停反勒索軟體」。
從ONTAP 9.13.1 開始,如果您使用 MAV 來保護 ARP 設置,暫停操作會提示您獲得一個或多個其他管理員的批准。"必須收到所有管理員的核准"與 MAV 審批小組相關,否則操作將會失敗。 -
若要恢復監控,請選擇*恢復反勒索軟體*。
CLI
-
在磁碟區上暫停ARP:
security anti-ransomware volume pause -vserver <svm_name> -volume <vol_name> -
若要繼續處理、請使用
resume命令:security anti-ransomware volume resume -vserver <svm_name> -volume <vol_name>如"指令參考資料ONTAP"需詳細 `security anti-ransomware volume`資訊,請參閱。
-
如果您使用 MAV(從ONTAP 9.13.1 開始與 ARP 一起使用)來保護 ARP 設置,則暫停操作會提示您獲得一個或多個其他管理員的批准。必須獲得與 MAV 審批組相關的所有管理員的批准,否則操作將失敗。
如果您使用的是 MAV 、而預期的暫停作業需要額外核准、則每位 MAV 群組核准者都會執行下列動作:
-
顯示要求:
security multi-admin-verify request show -
核准申請:
security multi-admin-verify request approve -index[<number returned from show request>]最後一個群組核准者的回應表示該磁碟區已修改、而且 ARP 狀態已暫停。
如果您使用的是 MAV 、而且您是 MAV 群組核准者、您可以拒絕暫停作業要求:
security multi-admin-verify request veto -index[<number returned from show request>]+
如"指令參考資料ONTAP"需詳細 `security multi-admin-verify request`資訊,請參閱。 -