本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Autonomous Ransomware Protection 保護您的資料
<a name="ARP"></a>

 自治勒索軟體防護 (ARP) 是一種 NetApp ONTAP AI 驅動的功能，可在 Windows 或 Linux 用戶端遭到入侵時，監控和保護您的資料免受勒索軟體和惡意軟體攻擊。使用機器學習時，ARP 會熟悉 FSx for ONTAP 檔案系統，以主動偵測異常活動。ARP 適用於所有可用 Amazon FSx for NetApp ONTAP 的所有新的和現有的 AWS 區域 FSx for ONTAP 檔案系統。

## ARP 的運作方式
<a name="how-ARP-works"></a>

您可以使用 CLI 或 REST API，以每個磁碟區為基礎或在 SVM ONTAP 中的所有新磁碟區上預設啟用 ARP。如需啟用 ARP 的詳細資訊，請參閱 [啟用自治勒索軟體保護](enable-ARP.md)。

由於 ARP 的 AI 是在全面的資料集上進行訓練，因此不需要學習期間，ARP 就能在 FlexVol 磁碟區上執行，因此會立即以作用中模式啟動。ARP AI 還具有自動更新功能，以確保持續保護和恢復能力以抵禦最新的威脅。在作用中模式中，ARP 會監控磁碟區上的傳入資料和活動，以識別潛在的勒索軟體和惡意軟體攻擊。如需詳細資訊，請參閱[ARP 所尋找的內容](#ARP-detects)。如果 ARP 偵測到任何異常活動，系統會自動建立ONTAP快照，協助您盡可能在接近潛在攻擊的時間復原資料。快照的字首為 `Anti_ransomware_backup`，因此很容易識別。如果判斷攻擊機率為中等， ONTAP將產生事件管理系統 (EMS) 訊息供您檢閱。如需詳細資訊，請參閱[如何使用 ARP 回應可疑的攻擊](#suspected-attack-ARP)及[了解自動勒索軟體防護的 EMS 警示](EMS-ARP.md)。

大多數工作負載的 ARP 效能額外負荷最少。如果您的磁碟區具有讀取密集型工作負載， NetApp建議為每個檔案系統保護不超過 150 個這類磁碟區。如果您超過此數字，該工作負載的 IOPS 最多可能會下降 4%。如果您的磁碟區具有寫入密集型工作負載， NetApp建議為每個檔案系統保護不超過 60 個這類磁碟區。否則，該工作負載的 IOPS 最多可能會下降 10%。如需有關效能的詳細資訊，請參閱 [Amazon FSx for NetApp ONTAP 效能效能](performance.md)。

在 FSx for ONTAP 檔案系統上啟用 ARP 無需額外費用。

## ARP 所尋找的內容
<a name="ARP-detects"></a>

ARP 會尋找 Windows 或 Linux 用戶端遭到入侵的跡象。特別是，ARP 會在磁碟區上尋找下列類型的活動：
+ 熵變更，這表示檔案中資料隨機性的差異。
+ 副檔名類型的變更，這表示新的副檔名與常用的副檔名類型不一致。預設值為 20 個檔案，其副檔名先前未在磁碟區中觀察到。
+ 檔案 IOPS 的變更，這表示具有加密資料的異常磁碟區活動激增。

您可以視需要修改磁碟區的勒索軟體偵測參數。例如，如果您的磁碟區託管許多類型的副檔名。如需詳細資訊，請參閱 NetApp 文件中心中的[管理 ONTAP 自治勒索軟體防護攻擊偵測參數](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html)。

**注意**  
ARP 不會阻止具有登入資料的惡意管理員存取 FSx for ONTAP 檔案系統。 AWS 建議使用分層安全方法 AWS Backup，包括ONTAP快照和 SnapLock。

## 如何使用 ARP 回應可疑的攻擊
<a name="suspected-attack-ARP"></a>

如果 ARP 偵測到攻擊，則會產生快照，做為復原點。快照已鎖定，無法透過正常方式刪除。根據攻擊的嚴重性，它也會產生 EMS 警示，顯示受影響的磁碟區、攻擊機率和攻擊時間表。如果您想要在磁碟區上接收建立新快照或觀察新副檔名的提醒，您可以設定 ARP 來傳送這些提醒。如需詳細資訊，請參閱 NetApp 文件中心中的[設定 ARP 警示](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts)。

您可以產生報告來檢視可疑攻擊的詳細資訊。檢閱報告後，您可以判斷ONTAP警示是由誤報或可疑攻擊產生。如果您將警示標記為可疑的攻擊，您應該判斷攻擊範圍，然後從 ARP 建立的快照復原資料。如果您將攻擊標記為誤報，則會自動刪除 ARP 建立的快照。如需詳細資訊，請參閱[回應自治勒索軟體防護警示](respond-ARP.md)。

建議您監控檔案系統的 EMS 訊息，以及 CLI 和 REST API ONTAP 中的磁碟區狀態。如需 ARP 的 EMS 訊息詳細資訊，請參閱 [了解自動勒索軟體防護的 EMS 警示](EMS-ARP.md)。

**Topics**
+ [ARP 的運作方式](#how-ARP-works)
+ [ARP 所尋找的內容](#ARP-detects)
+ [如何使用 ARP 回應可疑的攻擊](#suspected-attack-ARP)
+ [啟用自治勒索軟體保護](enable-ARP.md)
+ [回應自治勒索軟體防護警示](respond-ARP.md)
+ [了解自動勒索軟體防護的 EMS 警示](EMS-ARP.md)

# 啟用自治勒索軟體保護
<a name="enable-ARP"></a>

下列程序說明如何使用 ONTAP CLI 啟用自治勒索軟體防護 (ARP) 作用中模式，以及如何驗證 ARP 已啟用。如需 ARP 的詳細資訊，請參閱 [ARP 的運作方式](ARP.md#how-ARP-works)。

## 在作用中模式中啟用 ARP
<a name="enable-active-mode-ARP"></a>

**使用 ONTAPCLI 在現有磁碟區上以作用中模式啟用 ARP**
+ 執行下列命令。將 *vol\$1name* 和 *svm\$1name* 取代為您自己的資訊。

  ```
  security anti-ransomware volume enable -volume vol_name -vserver svm_name
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description) 。

## 根據預設，在 SVM 層級啟用 ARP
<a name="enable-ARP-default"></a>

**使用 CLI 在現有 SVM ONTAP 上預設啟用 ARP**
+ 執行下列命令。將 *svm\$1name* 取代為您自己的資訊。

  ```
  vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description) 。

## 驗證 ARP 的狀態
<a name="verify-ARP-status"></a>

**使用 ONTAPCLI 驗證 ARP 狀態**
+ 執行下列命令。

  ```
  security anti-ransomware volume show
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) 。

如果您預期工作負載繁重，您可以暫停 （然後繼續） ARP。如需詳細資訊，請參閱 NetApp 文件中心中的[暫停 ONTAP 自治勒索軟體防護，將工作負載事件排除在分析之外](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html)。

# 回應自治勒索軟體防護警示
<a name="respond-ARP"></a>

下列程序說明如何使用 ONTAP CLI 來檢視自治勒索軟體防護 (ARP) 警示、產生攻擊報告，以及對報告採取動作。如需 ARP 如何偵測和回應攻擊的詳細資訊，請參閱 [ARP 所尋找的內容](ARP.md#ARP-detects)和 [如何使用 ARP 回應可疑的攻擊](ARP.md#suspected-attack-ARP)。

## 檢視 ARP 提醒
<a name="view-ARP-alert"></a>

**使用 CLI 檢視磁碟區的 ARP ONTAP 提醒**
+ 執行下列命令。將 *svm\$1name* 和 *vol\$1name* 取代為您自己的資訊。

  ```
  security anti-ransomware volume show -vserver svm_name -volume vol_name
  ```

  執行 命令後，您會看到類似下列範例的輸出：

  ```
  Vserver Name: fsx
  Volume Name: vol1
  State: enabled
  Attack Probability: moderate
  Attack Timeline: 9/14/2021 01:03:23
  Number of Attacks: 1
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description) 。

## 產生 ARP 報告
<a name="generate-ARP-report"></a>

**使用 CLI 產生 ARP ONTAP 報告**
+ 執行下列命令。將 *vol\$1name* 和 */file\$1location/* 取代為您自己的資訊。產生報告後，您可以在用戶端系統上檢視報告。

  ```
  security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description) 。

## 對 ARP 報告採取動作
<a name="take-action-ARP"></a>

**使用 CLI 從 ARP ONTAP 報告對誤報攻擊採取行動**
+ 執行下列命令。將 *svm\$1name*、*vol\$1name* 和 *【延伸識別符】* 取代為您自己的資訊。

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
  ```

  如需此命令的詳細資訊，請參閱 NetApp 文件中心的 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) 。
**注意**  
當您將警示標記為誤報時，它會更新勒索軟體設定檔。這麼做之後，您不會再次收到有關該特定案例的提醒。

**使用 CLI 從 ARP ONTAP 報告對潛在攻擊採取動作**
+ 執行下列命令。將 *svm\$1name*、*vol\$1name* 和 *【延伸識別符】* 取代為您自己的資訊。

  ```
  security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
  ```

  如需此命令的詳細資訊，請參閱 [https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description) NetApp 文件中心的 。

# 了解自動勒索軟體防護的 EMS 警示
<a name="EMS-ARP"></a>

您可以使用NetApp ONTAP's事件管理系統 (EMS) 來監控與 ARP 相關的事件，包括潛在的攻擊。如需 ARP 及其偵測攻擊方式的詳細資訊，請參閱 [ARP 的運作方式](ARP.md#how-ARP-works)和 [ARP 所尋找的內容](ARP.md#ARP-detects)。

下表包含與 ARP 相關的所有提醒。如需 EMS 的詳細資訊，請參閱 [監控 FSx 的 ONTAP EMS 事件](ems-events.md)。


****  

| EMS 訊息名稱 | EMS 訊息描述 | 
| --- | --- | 
|  `arw.analytics.ext.report`  |  當反勒索軟體分析產生或更新磁碟區的**可疑副檔名**報告時，就會發生此訊息。  | 
|  `arw.analytics.high.entropy`  |  當高熵性資料日誌訊息的數量 （與勒索軟體偵測和分析相關） 超過磁碟區的預先定義閾值時，就會發生此訊息。  | 
|  `arw.analytics.probability`  |  當磁碟區`low``high`上的反勒索軟體攻擊機率已從 變更為 時，就會發生此訊息。  | 
|  `arw.analytics.report`  |  產生或更新磁碟區的反勒索軟體分析報告時，會發生此訊息。  | 
|  `arw.analytics.suspects`  |  當反勒索軟體分析產生的可疑項目清單成長到需要進一步調查的時間點時，就會發生此訊息。  | 
|  `arw.new.file.extn.seen`  |  在啟用反勒索軟體的磁碟區中觀察到新的副檔名時，就會發生此訊息。其目的是立即通知使用者所觀察到的延伸項目，以便及時進行調查。  | 
|  `arw.snapshot.created`  |  在啟用反勒索軟體的磁碟區中建立新的 ARP 快照時，就會發生此訊息。此外，它提供建立快照原因的相關資訊。  | 
|  `arw.volume.state`  |  當磁碟區的反勒索軟體狀態變更時，就會發生此訊息。  | 
|  `arw.vserver.state`  |  此訊息會在 SVM 的反勒索軟體狀態變更時發生。  |