了解 ONTAP ARP/AI 針對區塊裝置工作負載的評估期
建議變更
PDF
從 ONTAP 9.17.1 開始、ARP/AI 需要一個評估期來確定區塊裝置工作負載的熵等級是否適合勒索軟體防護。這些工作負載包括儲存在 ONTAP 磁碟區中的 SAN LUN 和 Hypervisor 虛擬磁碟(例如、NFS 資料存放區中的 VMware 虛擬磁碟、以及從 ONTAP 9.17.1P5 開始的 Hyper-V、KVM 和 OpenStack 虛擬磁碟)。在符合條件的磁碟區上啟用 ARP 後、ARP/AI 會在評估期間主動監控並保護該磁碟區、同時確定最佳加密閾值。在評估期內、系統會使用保守閾值進行偵測和發出警示、並在幾天內建立基線閾值。ARP 會區分被評估磁碟區中適合和不適合的工作負載、如果確定工作負載適合防護、則會根據評估期統計資訊自動設定加密閾值。
支援的工作負載和評估適用性
區塊裝置評估期間適用於以下情況:
-
SAN 磁碟區
-
以區塊裝置形式呈現給主機或 Hypervisor 的 LUN 型工作負載。
-
-
包含由 ONTAP 自動偵測到的虛擬機器管理程式虛擬磁碟的 NAS 磁碟區
-
支援的虛擬機器管理程式包括 VMware、Hyper-V、KVM 以及儲存在 NFS 或 SMB 資料儲存中的 OpenStack 虛擬磁碟。
-
在這些磁碟區中:
-
評估期_適用於_基於虛擬磁碟客體檔案系統內部熵變化所偵測到的攻擊(例如,對應到 LUN 或虛擬磁碟的客體作業系統中的檔案進行操作的勒索軟體)。
-
評估期間不適用於基於熵值和檔案副檔名變更(直接從虛擬機器管理程式主機對虛擬磁碟檔案進行變更)而偵測到的攻擊(例如,勒索軟體直接操作 ESXi NFS 資料儲存掛載點上的 `.vmdk`檔案)。這些直接針對磁碟的攻擊使用不同的偵測路徑,該路徑不依賴區塊裝置評估期。
區塊裝置和 Hypervisor 偵測的版本支援
-
ONTAP 9.17.1
-
介紹 SAN 磁碟區的區塊裝置評估期。
-
可在 SAN LUN 和儲存在 ONTAP NFS 資料儲存區中的 VMware 虛擬磁碟內進行 ARP/AI 攻擊偵測。
-
-
ONTAP 9.17.1P5 及更新版本
-
將 ARP/AI 區塊設備偵測擴展到 Hyper-V、KVM 和 OpenStack 等虛擬機器管理程式虛擬磁碟。
-
當 ONTAP 偵測到這些額外的 Hypervisor 工作負載時,對這些工作負載套用相同的區塊裝置評估邏輯和臨界值。
-
理解熵評估
在評估期間,系統會從支援的區塊裝置和 Hypervisor 工作負載中,以 10 分鐘為間隔持續收集加密統計資料。此外,系統還會每四小時持續建立一次 ARP 週期性 Snapshot。如果在某個時間間隔內加密百分比超過為該 Volume 確定的最佳加密閾值,則會觸發警報, `Anti_ransomware_attack_backup`建立 Snapshot,並增加所有週期性 ARP Snapshot 的保留時間。
您可以執行下列指令,確認評估已啟動,並確認狀態為 evaluation_period。如果磁碟區不符合評估條件,則不會顯示評估狀態。
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>回應範例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : evaluation_period
您可以透過執行以下命令來即時監控加密偵測。該命令將傳回一個直方圖,顯示每個加密百分比範圍內的資料量。此直方圖每 10 分鐘更新一次。
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time回應範例:
Vserver Name Entropy Range Seen N Time Data Written ---------- ---------------- --------------- -------------- ------------- vs0 lun1 0-5% 4 100MB vs0 lun1 6-10% 10 900MB vs0 lun1 11-15% 20 40MB vs0 lun1 16-20% 10 70MB vs0 lun1 21-25% 60 450MB vs0 lun1 26-30% 4 100MB vs0 lun1 31-35% 10 900MB vs0 lun1 36-40% 20 40MB vs0 lun1 41-45% 0 0 vs0 lun1 46-50% 0 0 vs0 lun1 51-55% 0 0 vs0 lun1 56-60% 0 0 vs0 lun1 61-65% 0 0 vs0 lun1 66-70% 0 0 vs0 lun1 71-75% 0 0 vs0 lun1 76-80% 0 0 vs0 lun1 81-85% 0 0 vs0 lun1 86-90% 0 0 vs0 lun1 91-95% 0 0 vs0 lun1 96-100% 0 0 20 entries were displayed.
合適的工作負荷和自適應閾值
評估結果最終會得出以下結果之一,該結果適用於透過區塊裝置偵測評估的 SAN LUN 工作負載和 Hypervisor 虛擬磁碟:
-
此工作負載適用於 ARP。 ARP會自動將自適應閾值設定為高於評估期間最大加密百分比的 10%。 ARP也會持續收集統計資料並定期建立 ARP 快照。
-
該工作負載不適合 ARP。 ARP會自動將自適應閾值設定為評估期間內可見的最大加密百分比。 ARP也會繼續收集統計資料並定期建立 ARP 快照,但係統最終會建議在該磁碟區上停用 ARP。
評估期結束後,ARP會根據評估結果自動設定自適應閾值。
您可以透過執行以下命令來確定評估結果。卷適用性顯示在 `Block device detection status`場地:
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>回應範例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : Active_suitable_workload Block device evaluation start time : 5/16/2025 01:49:01
您也可以顯示評估結果所採用的值閾值:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>回應範例:
Vserver Name : vs_1
Volume Name : vm_2
Block Device Auto Learned Encryption Threshold : 10
...