Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Protégez vos données grâce à une protection autonome contre les ransomwares
<a name="ARP"></a>

 La protection autonome contre les ransomwares (ARP) est une fonctionnalité NetApp ONTAP basée sur l'IA qui surveille et protège vos données contre les attaques de ransomwares et de logiciels malveillants si vos clients Windows ou Linux sont compromis. Grâce à l'apprentissage automatique, ARP se familiarise avec vos systèmes de fichiers FSx pour ONTAP afin de détecter de manière proactive les activités anormales. L'ARP est disponible pour tous les systèmes de fichiers ONTAP, nouveaux ou existants FSx , partout où Régions AWS Amazon FSx for NetApp ONTAP est disponible. 

## Comment fonctionne l'ARP
<a name="how-ARP-works"></a>

Vous pouvez activer l'ARP par volume ou par défaut sur tous les nouveaux volumes d'une SVM à l'aide de la ONTAP CLI ou de l'API REST. Pour plus d'informations sur l'activation de l'ARP, consultez[Activer la protection autonome contre les ransomwares](enable-ARP.md).

Comme l'IA d'ARP est entraînée sur un ensemble de données complet, ARP n'a pas besoin de période d'apprentissage pour fonctionner sur des FlexVol volumes, et démarre donc immédiatement en mode actif. ARP AI est également doté d'une fonctionnalité de mise à jour automatique pour garantir une protection et une résilience constantes contre les dernières menaces. En mode actif, l'ARP surveille les données entrantes et l'activité sur le volume afin d'identifier les attaques potentielles de ransomwares et de malwares. Pour de plus amples informations, veuillez consulter [Ce que recherche ARP](#ARP-detects). Si l'ARP détecte une activité anormale, un ONTAP instantané est automatiquement créé pour vous aider à récupérer vos données le plus près possible du moment de l'attaque potentielle. L'instantané aura un préfixe de`Anti_ransomware_backup`, ce qui le rend facile à identifier. S'il est déterminé que la probabilité d'attaque est modérée, un message du système de gestion des événements (EMS) ONTAP sera généré pour que vous puissiez le consulter. Pour plus d’informations, consultez [Comment répondre à une attaque présumée avec l'ARP](#suspected-attack-ARP) et [Comprendre les alertes EMS pour une protection autonome contre les ransomwares](EMS-ARP.md). 

La surcharge de performance de l'ARP est minimale pour la plupart des charges de travail. Si vos volumes ont des charges de travail intensives en lecture, il est NetApp recommandé de ne pas protéger plus de 150 volumes de ce type par système de fichiers. Si vous dépassez ce nombre, les IOPS pour cette charge de travail peuvent chuter jusqu'à 4 %. Si vos volumes ont des charges de travail intensives en écriture, il est NetApp recommandé de ne pas protéger plus de 60 volumes de ce type par système de fichiers. Dans le cas contraire, les IOPS pour cette charge de travail risquent de chuter jusqu'à 10 %. Pour plus d’informations sur les performances, consultez [Amazon FSx pour les performances d' NetApp ONTAPPerformance](performance.md).

L'activation de l'ARP sur votre système de fichiers FSx for ONTAP n'entraîne aucun coût supplémentaire.

## Ce que recherche ARP
<a name="ARP-detects"></a>

L'ARP recherche les signes indiquant que vos clients Windows ou Linux sont compromis. L'ARP recherche en particulier les types d'activité suivants sur le volume :
+ Modifications de l'entropie, c'est-à-dire des différences dans le caractère aléatoire des données d'un fichier.
+ Modifications des types d'extension de fichier, ce qui signifie que la nouvelle extension n'est pas cohérente avec le type d'extension normalement utilisé. La valeur par défaut est de 20 fichiers dont l'extension n'avait pas été observée auparavant dans le volume.
+ Modifications des IOPS des fichiers, ce qui entraîne une augmentation de l'activité anormale du volume avec des données chiffrées.

Vous pouvez modifier les paramètres de détection des ransomwares pour votre volume si nécessaire. Par exemple, si votre volume héberge de nombreux types d'extensions de fichiers. Pour plus d'informations, consultez la section [Gérer les paramètres de détection des attaques de la protection autonome contre les ransomwares ONTAP](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html) dans le centre de NetApp documentation.

**Note**  
L'ARP n'empêche pas les administrateurs malhonnêtes munis d'informations d'identification d'accéder à votre système de fichiers FSx for ONTAP. AWS recommande une approche de sécurité en couches comprenant AWS BackupONTAP des instantanés etSnapLock.

## Comment répondre à une attaque présumée avec l'ARP
<a name="suspected-attack-ARP"></a>

Si l'ARP détecte une attaque, il génère un instantané qui peut être utilisé comme point de reprise. L'instantané est verrouillé et ne peut pas être supprimé par des moyens normaux. En fonction de la gravité de l'attaque, il générera également une alerte EMS indiquant le volume affecté, la probabilité d'attaque et la chronologie de l'attaque. Si vous souhaitez recevoir des alertes lors de la création d'un nouvel instantané ou de l'observation d'une nouvelle extension de fichier sur votre volume, vous pouvez configurer ARP pour envoyer ces alertes. Pour plus d'informations, consultez [Configurer les alertes ARP](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts) dans le Centre de NetApp documentation.

Vous pouvez générer un rapport pour afficher des informations détaillées sur une attaque présumée. Après avoir examiné le rapport, vous pouvez savoir ONTAP si l'alerte a été générée par un faux positif ou par une attaque présumée. Si vous qualifiez l'alerte d'attaque présumée, vous devez déterminer l'étendue de l'attaque, puis récupérer les données à partir du snapshot créé par l'ARP. Si vous qualifiez l'attaque de faux positif, l'instantané créé par l'ARP est automatiquement supprimé. Pour de plus amples informations, veuillez consulter [Répondre aux alertes de protection autonome contre les ransomwares](respond-ARP.md).

Nous vous recommandons de surveiller les messages EMS de votre système de fichiers et l'état de vos volumes dans la ONTAP CLI et l'API REST. Pour plus d'informations sur les messages EMS pour ARP, consultez[Comprendre les alertes EMS pour une protection autonome contre les ransomwares](EMS-ARP.md).

**Topics**
+ [Comment fonctionne l'ARP](#how-ARP-works)
+ [Ce que recherche ARP](#ARP-detects)
+ [Comment répondre à une attaque présumée avec l'ARP](#suspected-attack-ARP)
+ [Activer la protection autonome contre les ransomwares](enable-ARP.md)
+ [Répondre aux alertes de protection autonome contre les ransomwares](respond-ARP.md)
+ [Comprendre les alertes EMS pour une protection autonome contre les ransomwares](EMS-ARP.md)

# Activer la protection autonome contre les ransomwares
<a name="enable-ARP"></a>

Les procédures suivantes expliquent comment utiliser la ONTAP CLI pour activer le mode actif Autonomous Ransomware Protection (ARP) et comment vérifier que l'ARP est activé. Pour plus d'informations sur l'ARP, consultez[Comment fonctionne l'ARP](ARP.md#how-ARP-works).

## Activation de l'ARP en mode actif
<a name="enable-active-mode-ARP"></a>

**Pour activer l'ARP en mode actif sur un volume existant à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. Remplacez *vol\$1name* et *svm\$1name* par vos propres informations. 

  ```
  security anti-ransomware volume enable -volume vol_name -vserver svm_name
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description)le centre de NetApp documentation.

## Activation de l'ARP par défaut au niveau de la SVM
<a name="enable-ARP-default"></a>

**Pour activer l'ARP par défaut sur une SVM existante à l'aide de la CLI ONTAP**
+ Exécutez la commande suivante. Remplacez *svm\$1name* par vos propres informations. 

  ```
  vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description)le centre de NetApp documentation.

## Vérifier le statut de l'ARP
<a name="verify-ARP-status"></a>

**Pour vérifier l'état de l'ARP à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. 

  ```
  security anti-ransomware volume show
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)le centre de NetApp documentation.

Vous pouvez suspendre temporairement (puis reprendre) l'ARP si vous prévoyez des événements impliquant une charge de travail importante. Pour plus d'informations, consultez [Suspendre la protection autonome contre les ransomwares ONTAP pour exclure les événements liés à la charge de travail de l'analyse](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html) dans le centre de NetApp documentation.

# Répondre aux alertes de protection autonome contre les ransomwares
<a name="respond-ARP"></a>

Les procédures suivantes expliquent comment utiliser la ONTAP CLI pour afficher les alertes ARP (Autonomous Ransomware Protection), générer des rapports d'attaque et prendre des mesures en conséquence. Pour plus d'informations sur la façon dont l'ARP détecte les attaques et y répond, consultez [Ce que recherche ARP](ARP.md#ARP-detects) et[Comment répondre à une attaque présumée avec l'ARP](ARP.md#suspected-attack-ARP).

## Afficher les alertes ARP
<a name="view-ARP-alert"></a>

**Pour afficher une alerte ARP sur un volume à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. Remplacez *svm\$1name* et *vol\$1name* par vos propres informations. 

  ```
  security anti-ransomware volume show -vserver svm_name -volume vol_name
  ```

  Après avoir exécuté la commande, vous verrez un résultat similaire à l'exemple suivant :

  ```
  Vserver Name: fsx
  Volume Name: vol1
  State: enabled
  Attack Probability: moderate
  Attack Timeline: 9/14/2021 01:03:23
  Number of Attacks: 1
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)le centre de NetApp documentation.

## Génération de rapports ARP
<a name="generate-ARP-report"></a>

**Pour générer des rapports ARP à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. Remplacez *vol\$1name* et */file\$1location/* par vos propres informations. Après avoir généré le rapport, vous pouvez le consulter sur un système client. 

  ```
  security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description)le centre de NetApp documentation.

## Prendre des mesures concernant les rapports ARP
<a name="take-action-ARP"></a>

**Pour agir en cas d'attaque faussement positive à partir d'un rapport ARP à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. Remplacez *svm\$1name**vol\$1name*, et *[extension identifiers]* par vos propres informations. 

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)le centre de NetApp documentation.
**Note**  
Lorsque vous marquez une alerte comme un faux positif, le profil du ransomware est mis à jour. Une fois cela fait, vous ne recevrez plus d'alerte concernant ce scénario en particulier.

**Pour agir face à une attaque potentielle à partir d'un rapport ARP à l'aide de la ONTAP CLI**
+ Exécutez la commande suivante. Remplacez *svm\$1name**vol\$1name*, et *[extension identifiers]* par vos propres informations. 

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
  ```

  Pour plus d'informations sur cette commande, consultez [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)le centre de NetApp documentation.

# Comprendre les alertes EMS pour une protection autonome contre les ransomwares
<a name="EMS-ARP"></a>

Vous pouvez utiliser le système de gestion des NetApp ONTAP's événements (EMS) pour surveiller les événements liés à l'ARP, y compris les attaques potentielles. Pour plus d'informations sur l'ARP et sur la façon dont il détecte les attaques, consultez [Comment fonctionne l'ARP](ARP.md#how-ARP-works) et[Ce que recherche ARP](ARP.md#ARP-detects). 

Le tableau suivant contient toutes les alertes liées à l'ARP. Pour plus d'informations sur l'EMS, consultez[Surveillance FSx des événements ONTAP EMS](ems-events.md). 


****  

| Nom du message EMS | Description du message EMS | 
| --- | --- | 
|  `arw.analytics.ext.report`  |  Ce message apparaît lorsque les analyses anti-ransomware génèrent ou mettent à jour le rapport sur les **extensions de fichiers suspectes** pour un volume.  | 
|  `arw.analytics.high.entropy`  |  Ce message apparaît lorsque le nombre de messages du journal de données à entropie élevée (relatifs à la détection et à l'analyse des ransomwares) dépasse le seuil prédéfini pour un volume.  | 
|  `arw.analytics.probability`  |  Ce message apparaît lorsque la probabilité d'une attaque anti-ransomware est passée de `low` à `high` sur un volume.  | 
|  `arw.analytics.report`  |  Ce message apparaît lorsqu'un rapport d'analyse anti-ransomware est généré ou mis à jour pour un volume.  | 
|  `arw.analytics.suspects`  |  Ce message apparaît lorsqu'une liste de suspects générée par les analyses anti-ransomware s'allonge au point de nécessiter une enquête plus approfondie.  | 
|  `arw.new.file.extn.seen`  |  Ce message apparaît lorsqu'une nouvelle extension de fichier est détectée dans un volume activé contre les ransomwares. Son objectif est d'informer rapidement l'utilisateur de l'extension observée, ce qui permet une enquête rapide.  | 
|  `arw.snapshot.created`  |  Ce message apparaît lorsqu'un nouvel instantané ARP est créé dans un volume activé contre les ransomwares. En outre, il fournit des informations sur la raison pour laquelle l'instantané a été créé.  | 
|  `arw.volume.state`  |  Ce message apparaît lorsque l'état anti-ransomware d'un volume est modifié.  | 
|  `arw.vserver.state`  |  Ce message apparaît lorsque l'état anti-ransomware d'une SVM est modifié.  |