本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用自主勒索软件防护保护您的数据
<a name="ARP"></a>

 自主勒索软件防护（ARP）是一项 NetApp ONTAP 人工智能驱动的功能，可在您的 Windows 或 Linux 客户端遭到入侵时监控和保护您的数据免受勒索软件和恶意软件攻击。使用机器学习，ARP 可熟悉您的 FSx for ONTAP 文件系统，从而主动检测异常活动。在适用于 NetApp ONTAP 的 Amazon FSx 可用的所有 AWS 区域 中，ARP 均适用于所有全新和现有的 FSx for ONTAP 文件系统。

## ARP 工作原理
<a name="how-ARP-works"></a>

您可以使用 ONTAP CLI 或 REST API，在 SVM 中按卷启用 ARP，也可以默认启用所有新卷的 ARP。有关启用 ARP 的更多信息，请参阅 [启用自主勒索软件防护](enable-ARP.md)。

由于 ARP 的 AI 在全面的数据集上进行训练，因此 ARP 无需经过一段时间的学习期即可在 FlexVol 卷上运行，因此可立即以主动模式启动。ARP AI 还具有自动更新功能，确保可抵御最新威胁的持续保护和弹性。主动模式下，ARP 会监控卷上的传入数据和活动，以识别潜在的勒索软件和恶意软件攻击。有关更多信息，请参阅 [ARP 查找的内容](#ARP-detects)。如果 ARP 检测到任何异常活动，ONTAP 会自动创建快照，助您将数据恢复至尽可能接近潜在攻击发生的时间点。快照以 `Anti_ransomware_backup` 为前缀，因此易于识别。如果确定攻击概率为中等，ONTAP 会生成事件管理系统（EMS）消息供您审核。有关更多信息，请参阅 [如何通过 ARP 响应可疑攻击](#suspected-attack-ARP) 和 [了解自主勒索软件防护的 EMS 警报](EMS-ARP.md)。

对于大多数工作负载，ARP 的性能开销不足挂齿。如果您的卷存在读取密集型工作负载，NetApp 建议每个文件系统保护的此类卷不超过 150 个。如果超过此数量，该工作负载的 IOPS 最多可能降低 4%。如果您的卷存在写入密集型工作负载，NetApp 建议每个文件系统保护的此类卷不超过 60 个。否则，该工作负载的 IOPS 最多可能降低 10%。有关性能的更多信息，请参阅 [亚马逊 FSx 为 NetApp ONTAP 性能而设计性能](performance.md)。

在 FSx for ONTAP 文件系统上启用 ARP 不会产生额外费用。

## ARP 查找的内容
<a name="ARP-detects"></a>

ARP 会查找 Windows 或 Linux 客户端是否遭到入侵的迹象。特别是，ARP 会在卷上查找以下类型的活动：
+ 熵的变化，即文件中数据随机性的差异。
+ 文件扩展名类型的变化，即新的扩展名与通常使用的扩展名类型不一致。默认情况下为 20 个文件，其文件扩展名未出现在卷中。
+ 文件 IOPS 的变化，即加密数据的异常卷活动激增。

如有必要，可修改卷的勒索软件检测参数。例如，如果卷托管多种类型的文件扩展名。有关更多信息，请参阅 NetApp 文档中心中的[管理 ONTAP 自主勒索软件防护攻击检测参数](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html)。

**注意**  
ARP 不会阻止使用凭证的恶意管理员访问 FSx for ONTAP 文件系统。AWS 建议采用分层安全方法，包括 AWS Backup、ONTAP 快照和 SnapLock。

## 如何通过 ARP 响应可疑攻击
<a name="suspected-attack-ARP"></a>

如果 ARP 检测到攻击，将生成可用作恢复点的快照。快照已锁定，无法通过常规方式删除。根据攻击的严重程度，还将生成 EMS 警报，显示受影响的卷、攻击概率以及攻击时间线。如需接收卷上新建快照或检测到新文件扩展名的警报，可配置 ARP 以发送此类警报。有关更多信息，请参阅 NetApp 文档中心中的[配置 ARP 警报](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts)。

您可以生成报告，以查看有关可疑攻击的详细信息。查看报告后，可帮助 ONTAP 判断警报是误报还是由可疑攻击所触发。如果将警报标记为可疑攻击，应确定攻击范围，然后从 ARP 创建的快照中恢复数据。如果将攻击标记为误报，则会自动删除 ARP 创建的快照。有关更多信息，请参阅 [响应自主勒索软件防护警报](respond-ARP.md)。

我们建议在 ONTAP CLI 和 REST API 中监控文件系统的 EMS 消息以及卷的状态。有关 ARP 的 EMS 消息的更多信息，请参阅 [了解自主勒索软件防护的 EMS 警报](EMS-ARP.md)。

**Topics**
+ [ARP 工作原理](#how-ARP-works)
+ [ARP 查找的内容](#ARP-detects)
+ [如何通过 ARP 响应可疑攻击](#suspected-attack-ARP)
+ [启用自主勒索软件防护](enable-ARP.md)
+ [响应自主勒索软件防护警报](respond-ARP.md)
+ [了解自主勒索软件防护的 EMS 警报](EMS-ARP.md)