ONTAP でランサムウェアの誤検知アラートをクリアした後、Anti_ransomware_attack_backup スナップショットはいつ削除されますか?
環境
- ONTAP 9.17.1
- 自律型ランサムウェア対策(ARP)
回答
- ランサムウェア検出中に作成されたスナップショットは、以下の方法で誤検知アラートを解除した後もすぐには削除されません:
anti-ransomware volume attack clear-suspect -false-positive true
- スナップショットの削除は、2つの独立した保持メカニズムによって制御されます。
- クリア後のデータ保持(イベントベース)
- clear-suspectが実行されたときに開始されます
- 管理元:
arw.snap.retain.hours.after.clear.suspect.false.alertarw.snap.retain.hours.after.clear.suspect.real.attack
- 攻撃バックアップスナップショットのローテーションポリシー(時間ベース)
- スナップショットのライフサイクル制限に基づく
- 管理元:
arw.snap.high.encryption.retain.duration.hours
- クリア後のデータ保持(イベントベース)
- スナップショットは、両方の保持条件が満たされた後にのみ削除されます
- より長い保持期間が、最終的な削除時期を決定します。
注記:この動作により、アラートを解除した後でも、スナップショットは分析や復旧のために利用可能な状態に保たれます。
例:
- 設定:
arw.snap.high.encryption.retain.duration.hours = 240 (10 days)
arw.snap.retain.hours.after.clear.suspect.false.alert = 24 (1 day)
arw.snap.retain.hours.after.clear.suspect.real.attack = 168 (7 days)
- ケース1:
- スナップショットが3日目に誤検出と判定された場合、4日間(3日間+1日間)保持されます。
- しかし、標準の保存期間は10日間であるため、スナップショットは10日後に削除されます。
- ケース2:
- 11日目に偽陽性と判定された場合、データは12日間(11日間+1日間)保持され、標準の10日間の保持期間を超えます。
- その結果、スナップショットは12日後に削除されます。
追加情報
追加情報_text