Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Melindungi data Anda dengan Autonomous Ransomware Protection
Autonomous Ransomware Protection (ARP) adalah fitur NetApp ONTAP berbasis AI yang memantau dan melindungi data Anda dari serangan ransomware dan malware jika klien Windows atau Linux Anda terganggu. Menggunakan pembelajaran mesin, ARP menjadi akrab dengan sistem file ONTAP Anda FSx untuk secara proaktif mendeteksi aktivitas abnormal. ARP tersedia untuk semua yang baru dan yang sudah ada FSx untuk sistem file ONTAP di semua tempat Wilayah AWS Amazon FSx untuk NetApp ONTAP tersedia.
## Bagaimana ARP bekerja
Anda dapat mengaktifkan ARP berdasarkan per volume atau secara default pada semua volume baru dalam SVM menggunakan CLI ONTAP atau REST API. Untuk informasi selengkapnya tentang mengaktifkan ARP, lihat. [Mengaktifkan Perlindungan Ransomware Otonom](enable-ARP.md)
Karena AI ARP dilatih pada kumpulan data yang komprehensif, ARP tidak memerlukan periode pembelajaran agar ARP berjalan pada FlexVol volume, dan karenanya segera dimulai dalam mode aktif. ARP AI juga dilengkapi dengan kemampuan pembaruan otomatis untuk memastikan perlindungan dan ketahanan konstan terhadap ancaman terbaru. Dalam mode aktif, ARP memantau data dan aktivitas yang masuk pada volume untuk mengidentifikasi potensi serangan ransomware dan malware. Untuk informasi selengkapnya, lihat [Apa yang dicari ARP](#ARP-detects). Jika ARP mendeteksi aktivitas abnormal, ONTAP snapshot dibuat secara otomatis untuk membantu Anda memulihkan data sedekat mungkin dengan waktu serangan potensial. Snapshot akan memiliki awalan`Anti_ransomware_backup`, sehingga mudah untuk mengidentifikasi. Jika ditentukan bahwa probabilitas serangan moderat, ONTAP akan menghasilkan pesan Sistem Manajemen Acara (EMS) untuk Anda tinjau. Untuk informasi selengkapnya, lihat [Bagaimana menanggapi dugaan serangan dengan ARP](#suspected-attack-ARP) dan [Memahami peringatan EMS untuk Perlindungan Ransomware Otonom](EMS-ARP.md).
Overhead kinerja untuk ARP minimal untuk sebagian besar beban kerja. Jika volume Anda memiliki beban kerja intensif baca, NetApp rekomendasikan untuk melindungi tidak lebih dari 150 volume tersebut per sistem file. Jika Anda melebihi angka ini, IOPS untuk beban kerja itu mungkin turun hingga 4%. Jika volume Anda memiliki beban kerja intensif tulis, NetApp rekomendasikan untuk melindungi tidak lebih dari 60 volume tersebut per sistem file. Jika tidak, IOPS untuk beban kerja itu mungkin turun hingga 10%. Untuk informasi selengkapnya tentang kinerja, lihat[Amazon FSx untuk kinerja NetApp ONTAPPerforma](performance.md).
Tidak ada biaya tambahan untuk mengaktifkan ARP pada sistem file ONTAP Anda FSx .
## Apa yang dicari ARP
ARP mencari tanda-tanda bahwa klien Windows atau Linux Anda dikompromikan. Secara khusus, ARP mencari jenis aktivitas berikut pada volume:
+ Perubahan entropi, yang berarti perbedaan keacakan data dalam file.
+ Perubahan jenis ekstensi file, yang berarti ekstensi baru tidak konsisten dengan jenis ekstensi yang biasa digunakan. Defaultnya adalah 20 file dengan ekstensi file yang sebelumnya tidak diamati dalam volume.
+ Perubahan file IOPS, yang berarti lonjakan aktivitas volume abnormal dengan data terenkripsi.
Anda dapat memodifikasi parameter deteksi ransomware untuk volume Anda jika perlu. Misalnya, jika volume Anda menampung banyak jenis ekstensi file. Untuk informasi selengkapnya, lihat [Mengelola parameter deteksi serangan Perlindungan Ransomware Otonomi ONTAP di Pusat Dokumentasi](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html). NetApp
**catatan**
ARP tidak mencegah administrator nakal dengan kredensil mengakses sistem file ONTAP Anda. FSx AWS merekomendasikan pendekatan keamanan berlapis termasuk AWS Backup, ONTAP snapshot, dan. SnapLock
## Bagaimana menanggapi dugaan serangan dengan ARP
Jika ARP mendeteksi serangan, itu akan menghasilkan snapshot yang dapat digunakan sebagai titik pemulihan. Snapshot terkunci dan tidak dapat dihapus dengan cara normal. Tergantung pada tingkat keparahan serangan, itu juga akan menghasilkan peringatan EMS yang menunjukkan volume yang terpengaruh, probabilitas serangan, dan garis waktu serangan. Jika Anda ingin menerima peringatan untuk pembuatan snapshot baru atau pengamatan ekstensi file baru pada volume Anda, Anda dapat mengonfigurasi ARP untuk mengirim peringatan ini. Untuk informasi selengkapnya, lihat [Mengkonfigurasi peringatan ARP di Pusat](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts) NetApp Dokumentasi.
Anda dapat membuat laporan untuk melihat informasi rinci tentang serangan yang dicurigai. Setelah Anda meninjau laporan, Anda dapat mengetahui ONTAP apakah peringatan itu dihasilkan oleh positif palsu atau serangan yang dicurigai. Jika Anda memberi label peringatan sebagai serangan yang dicurigai, Anda harus menentukan ruang lingkup serangan dan kemudian memulihkan data dari snapshot yang dibuat ARP. Jika Anda memberi label serangan sebagai positif palsu, snapshot yang dibuat ARP akan dihapus secara otomatis. Untuk informasi selengkapnya, lihat [Menanggapi peringatan Autonomous Ransomware Protection](respond-ARP.md).
Kami merekomendasikan untuk memantau pesan EMS sistem file Anda dan status volume Anda di ONTAP CLI dan REST API. Untuk informasi selengkapnya tentang pesan EMS untuk ARP, lihat[Memahami peringatan EMS untuk Perlindungan Ransomware Otonom](EMS-ARP.md).
**Topics**
+ [Bagaimana ARP bekerja](#how-ARP-works)
+ [Apa yang dicari ARP](#ARP-detects)
+ [Bagaimana menanggapi dugaan serangan dengan ARP](#suspected-attack-ARP)
+ [Mengaktifkan Perlindungan Ransomware Otonom](enable-ARP.md)
+ [Menanggapi peringatan Autonomous Ransomware Protection](respond-ARP.md)
+ [Memahami peringatan EMS untuk Perlindungan Ransomware Otonom](EMS-ARP.md)
# Mengaktifkan Perlindungan Ransomware Otonom
Prosedur berikut menjelaskan cara menggunakan ONTAP CLI untuk mengaktifkan mode aktif Autonomous Ransomware Protection (ARP) serta cara memverifikasi bahwa ARP diaktifkan. Untuk informasi lebih lanjut tentang ARP, lihat[Bagaimana ARP bekerja](ARP.md#how-ARP-works).
## Mengaktifkan ARP dalam mode aktif
**Untuk mengaktifkan ARP dalam mode aktif pada volume yang ada menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *vol\$1name* dan *svm\$1name* dengan informasi Anda sendiri.
```
security anti-ransomware volume enable -volume vol_name -vserver svm_name
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description)di pusat NetApp dokumentasi.
## Mengaktifkan ARP secara default di tingkat SVM
**Untuk mengaktifkan ARP secara default pada SVM yang ada menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *svm\$1name* dengan informasi Anda sendiri.
```
vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description)di pusat NetApp dokumentasi.
## Memverifikasi status ARP
**Untuk memverifikasi status ARP menggunakan CLI ONTAP**
+ Jalankan perintah berikut.
```
security anti-ransomware volume show
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)di pusat NetApp dokumentasi.
Anda dapat menangguhkan sementara (dan kemudian melanjutkan) ARP jika Anda mengantisipasi peristiwa beban kerja yang berat. Untuk informasi selengkapnya, lihat [Menjeda ONTAP Autonomous Ransomware Protection untuk mengecualikan peristiwa beban kerja dari analisis](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html) di Pusat Dokumentasi. NetApp
# Menanggapi peringatan Autonomous Ransomware Protection
Prosedur berikut menjelaskan cara menggunakan ONTAP CLI untuk melihat peringatan Autonomous Ransomware Protection (ARP), menghasilkan laporan serangan, dan mengambil tindakan atas laporan. Untuk informasi lebih lanjut tentang bagaimana ARP mendeteksi dan merespons serangan, lihat dan. [Apa yang dicari ARP](ARP.md#ARP-detects) [Bagaimana menanggapi dugaan serangan dengan ARP](ARP.md#suspected-attack-ARP)
## Melihat peringatan ARP
**Untuk melihat peringatan ARP pada volume menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *svm\$1name* dan *vol\$1name* dengan informasi Anda sendiri.
```
security anti-ransomware volume show -vserver svm_name -volume vol_name
```
Setelah menjalankan perintah, Anda akan melihat output yang mirip dengan contoh berikut:
```
Vserver Name: fsx
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)di pusat NetApp dokumentasi.
## Menghasilkan laporan ARP
**Untuk menghasilkan laporan ARP menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *vol\$1name* dan */file\$1location/* dengan informasi Anda sendiri. Setelah Anda membuat laporan, Anda dapat melihatnya di sistem klien.
```
security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description)di pusat NetApp dokumentasi.
## Mengambil tindakan atas laporan ARP
**Untuk mengambil tindakan atas serangan positif palsu dari laporan ARP menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *svm\$1name**vol\$1name*,, dan *[extension identifiers]* dengan informasi Anda sendiri.
```
security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)di pusat NetApp dokumentasi.
**catatan**
Ketika Anda menandai peringatan sebagai positif palsu, itu memperbarui profil ransomware. Setelah melakukannya, Anda tidak akan menerima peringatan tentang skenario tertentu lagi.
**Untuk mengambil tindakan terhadap serangan potensial dari laporan ARP menggunakan CLI ONTAP**
+ Jalankan perintah berikut. Ganti *svm\$1name**vol\$1name*,, dan *[extension identifiers]* dengan informasi Anda sendiri.
```
security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
```
Untuk informasi selengkapnya tentang perintah ini, lihat [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)di pusat NetApp dokumentasi.
# Memahami peringatan EMS untuk Perlindungan Ransomware Otonom
Anda dapat menggunakan NetApp ONTAP's Events Management System (EMS) untuk memantau peristiwa yang terkait dengan ARP termasuk potensi serangan. Untuk informasi lebih lanjut tentang ARP dan cara mendeteksi serangan, lihat [Bagaimana ARP bekerja](ARP.md#how-ARP-works) dan. [Apa yang dicari ARP](ARP.md#ARP-detects)
Tabel berikut berisi semua peringatan yang terkait dengan ARP. Untuk informasi lebih lanjut tentang EMS, lihat[Pemantauan FSx untuk acara ONTAP EMS](ems-events.md).
****
| Nama pesan EMS | Deskripsi pesan EMS |
| --- | --- |
| `arw.analytics.ext.report` | Pesan ini terjadi ketika analitik anti-ransomware menghasilkan atau memperbarui laporan **ekstensi file yang mencurigakan** untuk volume. |
| `arw.analytics.high.entropy` | Pesan ini terjadi ketika jumlah pesan log data entropi tinggi (berkaitan dengan deteksi dan analisis ransomware) melewati ambang batas yang telah ditentukan untuk volume. |
| `arw.analytics.probability` | Pesan ini terjadi ketika probabilitas serangan anti-ransomware telah berubah dari `high` pada `low` volume. |
| `arw.analytics.report` | Pesan ini terjadi ketika laporan analitik anti-ransomware dibuat atau diperbarui untuk volume. |
| `arw.analytics.suspects` | Pesan ini terjadi ketika daftar tersangka yang dihasilkan oleh analitik anti-ransomware tumbuh ke titik di mana penyelidikan lebih lanjut diperlukan. |
| `arw.new.file.extn.seen` | Pesan ini terjadi ketika ekstensi file baru diamati dalam volume yang diaktifkan anti-ransomware. Tujuannya adalah untuk segera memberi tahu pengguna tentang ekstensi yang diamati, yang memungkinkan penyelidikan tepat waktu. |
| `arw.snapshot.created` | Pesan ini terjadi ketika snapshot ARP baru dibuat dalam volume yang diaktifkan anti-ransomware. Selain itu, ini memberikan informasi tentang alasan mengapa snapshot dibuat. |
| `arw.volume.state` | Pesan ini terjadi ketika status anti-ransomware dari volume diubah. |
| `arw.vserver.state` | Pesan ini terjadi ketika keadaan anti-ransomware SVM diubah. |