ARW設定パラメータの説明について

Q1
「arw.snap.max.count 」デザインの背後にある理由は何ですか？

A1

• arw.snap.max.count の設定では、ある時点におけるボリューム内に存在できるARP Snapshotコピーの最大数を指定します。
• 複数のARP Snapshotコピーを許可する根拠は、特に攻撃が疑われる場合に、複数のポイントインタイムを確実に復元できるようにするためです。
• これは、ランサムウェアなどの脅威が短時間に複数回検出される可能性があるシナリオで特に役立ち、データを攻撃が発生する前の状態にリストアするための堅牢なメカニズムを提供します。

Q2：

arw.snap.create.interval.hours 」は何を示していますか？ 

A2：

• 「arw.snap.create.interval.hours 」パラメータ（デフォルト値は4時間）
• これは、前回の検出から4時間以上後に攻撃が検出された場合にARPスナップショットが取得されることを示しています。

Q3：

「arw.snap.normal.retain.interval.hours 」はどのように機能しますか？

A3：

• arw.snap.normal.retain.interval.hours 」パラメータのデフォルト値は48時間です。
•  このパラメータは、ARPスナップショットが自動的に削除されるまでの保持期間を示します。つまり、スナップショットは作成から48時間後に自動的に削除されます。
• このパラメータの動作は、攻撃確率に基づいて変化します。
  • 攻撃の可能性が「低い」または「中程度」の場合、スナップショットは削除されず、 攻撃がクリアされて確率が「なし」に戻るまで保持されます。
  • ロジックの詳細については、「ARPスナップショット保護と攻撃検出について」を参照してください。 

Q4：

 「arw.snap.max.retain.interval.days 」の詳細を説明する

A4：

• arw.snap.max.retain.interval.days 」パラメータはデフォルトの5日に設定されています。
• ARPスナップショットは、スナップショットが中レベルの脅威に関連付けられていない限り、この期間の後に削除されるようにスケジュールされます。中レベルの脅威は、保持期間が長くなる可能性があります。

Q5：

「arw.surge.snap.interval.days 」パラメータをトリガーするのは何ですか？ 
A5：

• 「arw.surge.snap.interval.days 」パラメータはIOサージによって活動化されます。
• これにより、既存のARPスナップショットが存在しない場合でも、IOの増加中に新しいARPスナップショットが作成されます。

Q6：

「arw.snap.new.extns.interval.hours 」はどのように機能しますか？ 
A6：

• 「arw.snap.new.extns.interval.hours 」パラメータは、ラーニングモード中に観察されたボリュームアクティビティに基づいて、新しいファイル拡張子が検出されると、新しいARPスナップショットの作成をトリガーします。
• 新しい拡張に基づく最新のARPスナップショットが指定された間隔（デフォルトは48時間）よりも古い場合、新しいスナップショットが作成されます。
• このプロセスは、「arw.snap.create.interval.hours 」設定に関係なく、既存のARPスナップショットがない場合でも発生します。

Q7：

これらの設定はデフォルトで有効になっていますか。 
A7：

はい。NetAppシステムでは、前述のすべての設定がデフォルトで有効になっており、標準レベルのデータ保護とリカバリ準備が提供されます。