在 ONTAP 中清除误报勒索软件警报后,何时删除 Anti_ransomware_attack_backup 快照
适用于
- ONTAP 9.17.1
- 自动勒索软件防护 (ARP)
回答
- 使用以下方式清除误报警报后,在勒索软件检测期间创建的快照不会立即删除:
anti-ransomware volume attack clear-suspect -false-positive true
- 快照删除由两种独立的保留机制控制。
- 清除后保留(基于事件)
- 执行 clear-suspect 时开始
- 控制方:
arw.snap.retain.hours.after.clear.suspect.false.alertarw.snap.retain.hours.after.clear.suspect.real.attack
- Attack_backup_snapshot 轮换策略(基于时间)
- 基于快照生命周期限制
- 控制者:
arw.snap.high.encryption.retain.duration.hours
- 清除后保留(基于事件)
- 只有在满足两个保留条件后,才会删除快照
- 较长的保留期决定最终的删除时间。
Note: 此行为可确保快照即使在清除警报后仍可用于分析或恢复。
示例:
- 配置:
arw.snap.high.encryption.retain.duration.hours = 240 (10 days)
arw.snap.retain.hours.after.clear.suspect.false.alert = 24 (1 day)
arw.snap.retain.hours.after.clear.suspect.real.attack = 168 (7 days)
- 案例 1:
- 如果快照在第 3 天被标记为误报,它将保留 4 天(3 天 + 1 天)。
- 但是,由于标准保留期为 10 天,因此 10 天后仍将删除快照。
- 案例 2:
- 如果在第11天被标记为假阳性,则将保留12天(11天 + 1天),这超过了标准的10天保留期。
- 因此,快照将在12天后删除。
追加信息
追加信息_text