Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Wiederherstellung nach einem Ransomware-Angriff (nach dem Neutralisieren von Vorfällen)

Beitragende

Nachdem Workloads als „Restore needed“ markiert wurden, empfiehlt der BlueXP Ransomware-Schutz einen tatsächlichen Recovery-Zeitpunkt (Recovery Point Actual, RPA) und orchestriert den Workflow für eine ausfallsichere Recovery.

  • Wenn die Applikation oder VM von SnapCenter gemanagt wird, stellt der Ransomware-Schutz von BlueXP die Applikation oder VM wieder in ihren vorherigen Zustand und die letzte Transaktion mithilfe des applikationskonsistenten oder VM-konsistenten Prozesses wieder her. Bei der Applikations- oder VM-konsistenten Wiederherstellung werden alle Daten, die nicht im Storage waren, beispielsweise Daten im Cache oder in einem I/O-Vorgang, zu den Daten des Volume hinzugefügt.

  • Wenn die Applikation oder VM von SnapCenter gemanagt wird und durch BlueXP Backup und Recovery oder BlueXP Ransomware-Schutz gemanagt wird, führt der BlueXP Ransomware-Schutz eine absturzkonsistente Wiederherstellung durch, bei der beispielsweise alle Daten, die sich im Volume zum selben Zeitpunkt befinden, wiederhergestellt werden, wenn das System abgestürzt ist.

    Sie können den Workload wiederherstellen, indem Sie alle Volumes, spezifische Volumes oder bestimmte Dateien auswählen.

Tipp Die Workload-Recovery kann sich auf laufende Workloads auswirken. Sie sollten die Wiederherstellungsprozesse mit den entsprechenden Beteiligten koordinieren.

Ein Workload kann einen der folgenden Wiederherstellungsstatus haben:

  • Wiederherstellung erforderlich: Der Workload muss wiederhergestellt werden.

  • In Bearbeitung: Der Wiederherstellungsvorgang läuft derzeit.

  • Restauriert: Die Arbeitslast wurde wiederhergestellt.

  • Failed: Die Workload-Wiederherstellung konnte nicht abgeschlossen werden.

Zeigen Sie Workloads an, die wiederhergestellt werden können

Überprüfen Sie die Workloads im Recovery-Status „Restore needed“.

Schritte
  1. Führen Sie einen der folgenden Schritte aus:

    • Überprüfen Sie im Dashboard die Gesamtwerte für „benötigte Wiederherstellung“ im Bereich „Warnungen“, und wählen Sie Alle anzeigen.

    • Wählen Sie im Menü Recovery.

  2. Überprüfen Sie die Workload-Informationen auf der Seite Recovery.

    Wiederherstellungsseite

Stellen Sie einen von SnapCenter gemanagten Workload wieder her

Durch den Ransomware-Schutz von BlueXP kann der Storage-Administrator bestimmen, wie Workloads am besten wiederhergestellt werden – entweder aus dem empfohlenen Restore-Punkt oder dem bevorzugten Restore-Punkt.

Der Anwendungsstatus ändert sich, wenn für die Wiederherstellung erforderlich. Die Anwendung wird in ihren vorherigen Zustand von Steuerdateien wiederhergestellt, wenn sie in das Backup eingeschlossen sind. Nach Abschluss der Wiederherstellung wird die Anwendung im LESE-/SCHREIBMODUS geöffnet.

Schritte
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

  2. Überprüfen Sie die Workload-Informationen auf der Seite Recovery.

  3. Wählen Sie einen Workload im Status „Restore needed“ aus.

  4. Wählen Sie zum Wiederherstellen Wiederherstellen.

  5. Umfang der Wiederherstellung: Applikationskonsistent (oder für SnapCenter für VMs ist der Umfang der Wiederherstellung „durch VM“)

  6. Quelle: Wählen Sie den Pfeil nach unten neben Quelle, um Details zu sehen. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

    Tipp Durch den Ransomware-Schutz von BlueXP wird der beste Restore-Punkt als das neueste Backup direkt vor dem Vorfall identifiziert und eine „empfohlene“ Angabe angezeigt.
  7. Ziel: Wählen Sie den Abwärtspfeil neben Ziel, um Details anzuzeigen.

    1. Wählen Sie den ursprünglichen oder alternativen Speicherort aus.

    2. Wählen Sie die Arbeitsumgebung aus.

    3. Wählen Sie Storage VM aus.

  8. Wenn das ursprüngliche Ziel nicht über genügend Speicherplatz verfügt, um den Workload wiederherzustellen, wird eine Zeile „temporärer Speicher“ angezeigt. Sie können den temporären Speicher auswählen, um die Workload-Daten wiederherzustellen. Die wiederhergestellten Daten werden aus dem temporären Speicher in den ursprünglichen Speicherort kopiert. Klicken Sie in der Zeile Temporary Storage auf den Pfeil Down und legen Sie den Zielcluster, die Speicher-VM und den lokalen Tier fest.

  9. Quarantäne-Speicherort: Wählen Sie optional, wo Sie potenziell infizierte Daten speichern möchten, bevor Sie den Wiederherstellungsprozess für weitere Analysen nach der Wiederherstellung starten.

  10. Wählen Sie Speichern.

  11. Wählen Sie Weiter.

  12. Überprüfen Sie Ihre Auswahl.

  13. Wählen Sie Wiederherstellen.

  14. Wählen Sie im oberen Menü Recovery aus, um den Workload auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.

Stellen Sie einen nicht von SnapCenter gemanagten Workload wieder her

Durch den Ransomware-Schutz von BlueXP kann der Storage-Administrator bestimmen, wie Workloads am besten wiederhergestellt werden – entweder aus dem empfohlenen Restore-Punkt oder dem bevorzugten Restore-Punkt.

Der Sicherheits-Storage-Administrator kann Daten auf verschiedenen Ebenen wiederherstellen:

  • Alle Volumes werden wiederhergestellt

  • Stellen Sie eine Anwendung auf Volume- oder Datei- und Ordnerebene wieder her.

  • Stellen Sie eine Dateifreigabe auf Volume-, Verzeichnis- oder Datei-/Ordnerebene wieder her.

  • Wiederherstellung von einem Datenspeicher auf VM-Ebene

Der Prozess unterscheidet sich je nach Workload-Typ geringfügig.

Schritte
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

  2. Überprüfen Sie die Workload-Informationen auf der Seite Recovery.

  3. Wählen Sie einen Workload im Status „Restore needed“ aus.

  4. Wählen Sie zum Wiederherstellen Wiederherstellen.

  5. Umfang wiederherstellen: Wählen Sie die Art der Wiederherstellung, die Sie abschließen möchten:

    • Alle Volumes

    • Nach Volumen

    • Nach Datei: Sie können einen Ordner oder einzelne Dateien zur Wiederherstellung angeben.

      Tipp Sie können bis zu 100 Dateien oder einen einzelnen Ordner auswählen.
  6. Fahren Sie mit einem der folgenden Verfahren fort, je nachdem, ob Sie die Anwendung, das Volume oder die Datei ausgewählt haben.

Alle Volumes wiederherstellen

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

  2. Wählen Sie einen Workload im Status „Restore needed“ aus.

  3. Wählen Sie zum Wiederherstellen Wiederherstellen.

  4. Wählen Sie auf der Seite Wiederherstellen im Bereich Wiederherstellen die Option Alle Volumes aus.

    Seite für alle Volumes wiederherstellen

  5. Quelle: Wählen Sie den Pfeil nach unten neben Quelle, um Details zu sehen.

    1. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

      Tipp Der Ransomware-Schutz von BlueXP identifiziert den besten Restore-Punkt als das neueste Backup direkt vor dem Vorfall und zeigt eine „sicherste für alle Volumes“-Anzeige. Dies bedeutet, dass alle Volumes vor dem ersten Angriff auf das erste erkannte Volume auf eine Kopie wiederhergestellt werden.
  6. Ziel: Wählen Sie den Abwärtspfeil neben Ziel, um Details anzuzeigen.

    1. Wählen Sie die Arbeitsumgebung aus.

    2. Wählen Sie Storage VM aus.

    3. Wählen Sie das Aggregat aus.

    4. Ändern Sie das Volume-Präfix, das allen neuen Volumes vorangestellt wird.

      Tipp Der neue Volume-Name wird als Präfix + ursprünglicher Volume-Name + Backup-Name + Backup-Datum angezeigt.
  7. Quarantäne-Speicherort: Wählen Sie optional, wo Sie potenziell infizierte Daten speichern möchten, bevor Sie den Wiederherstellungsprozess für weitere Analysen nach der Wiederherstellung starten.

  8. Wählen Sie Speichern.

  9. Wählen Sie Weiter.

  10. Überprüfen Sie Ihre Auswahl.

  11. Wählen Sie Wiederherstellen.

  12. Wählen Sie im oberen Menü Recovery aus, um den Workload auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.

Stellen Sie einen Applikations-Workload auf Volume-Ebene wieder her

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

  2. Wählen Sie einen Applikations-Workload im Status „Restore needed“ aus.

  3. Wählen Sie zum Wiederherstellen Wiederherstellen.

  4. Wählen Sie auf der Seite Wiederherstellen im Bereich Wiederherstellen die Option nach Volume aus.

    Nach Volume-Seite wiederherstellen

  5. Wählen Sie in der Liste der Volumes das Volume aus, das Sie wiederherstellen möchten.

  6. Quelle: Wählen Sie den Pfeil nach unten neben Quelle, um Details zu sehen.

    1. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

      Tipp Durch den Ransomware-Schutz von BlueXP wird der beste Restore-Punkt als das neueste Backup direkt vor dem Vorfall identifiziert und eine „empfohlene“ Angabe angezeigt.
  7. Ziel: Wählen Sie den Abwärtspfeil neben Ziel, um Details anzuzeigen.

    1. Wählen Sie die Arbeitsumgebung aus.

    2. Wählen Sie Storage VM aus.

    3. Wählen Sie das Aggregat aus.

    4. Überprüfen Sie den neuen Volume-Namen.

      Tipp Der neue Volume-Name wird als ursprünglicher Volume-Name + Backup-Name + Backup-Datum angezeigt.
  8. Quarantäne-Speicherort: Wählen Sie optional, wo Sie potenziell infizierte Daten speichern möchten, bevor Sie den Wiederherstellungsprozess für weitere Analysen nach der Wiederherstellung starten.

  9. Wählen Sie Speichern.

  10. Wählen Sie Weiter.

  11. Überprüfen Sie Ihre Auswahl.

  12. Wählen Sie Wiederherstellen.

  13. Wählen Sie im oberen Menü Recovery aus, um den Workload auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.

Stellen Sie einen Applikations-Workload auf Dateiebene wieder her

Bevor Sie einen Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite Warnungen zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.

Sie können einen Anwendungs-Workload auf Dateiebene in derselben oder einer anderen Arbeitsumgebung wiederherstellen.

Schritte, um die Liste der betroffenen Dateien zu erhalten

Auf der Seite Warnungen können Sie die Liste der betroffenen Dateien abrufen.

Tipp Wenn ein Volume mehrere Warnmeldungen enthält, müssen Sie für jede Warnmeldung die CSV-Liste der betroffenen Dateien herunterladen.
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

  2. Sortieren Sie auf der Seite Warnungen die Ergebnisse nach Workload, um die Warnungen für den Anwendungs-Workload anzuzeigen, den Sie wiederherstellen möchten.

  3. Wählen Sie aus der Liste der Warnmeldungen für diesen Workload eine Warnmeldung aus.

  4. Wählen Sie für diese Warnung einen einzelnen Vorfall aus.

    Liste der betroffenen Dateien für eine bestimmte Warnung

  5. Um die vollständige Liste der Dateien zu sehen, wählen Sie Klicken Sie hier oben im Bereich betroffene Dateien.

  6. Wählen Sie für diesen Vorfall das Download-Symbol aus, und laden Sie die Liste der betroffenen Dateien im CSV-Format herunter.

Schritte zum Wiederherstellen dieser Dateien
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

  2. Wählen Sie einen Applikations-Workload im Status „Restore needed“ aus.

  3. Wählen Sie zum Wiederherstellen Wiederherstellen.

  4. Wählen Sie auf der Seite Wiederherstellen im Bereich Wiederherstellen die Option nach Datei aus.

  5. Wählen Sie in der Liste der Volumes das Volume aus, das die Dateien enthält, die Sie wiederherstellen möchten.

  6. Wiederherstellungspunkt: Wählen Sie den Abwärtspfeil neben Wiederherstellungspunkt, um Details anzuzeigen. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

    Hinweis In der Spalte „Grund“ im Teilfenster „Wiederherstellungspunkte“ wird der Grund für den Snapshot oder das Backup als „geplante“ oder „automatisierte Antwort auf Ransomware-Vorfälle“ angezeigt.
  7. Dateien:

    • Dateien automatisch auswählen: Lassen Sie den Ransomware-Schutz von BlueXP die Dateien auswählen, die wiederhergestellt werden sollen.

    • Liste der Dateien hochladen: Laden Sie eine CSV-Datei hoch, die die Liste der betroffenen Dateien enthält, die Sie von der Alerts-Seite erhalten haben oder die Sie haben. Sie können bis zu 10,000 Dateien gleichzeitig wiederherstellen.

      Laden Sie eine CSV-Datei hoch, in der die betroffenen Dateien für die Warnmeldung aufgeführt sind

    • Dateien manuell auswählen: Wählen Sie bis zu 10,000 Dateien oder einen einzelnen Ordner für die Wiederherstellung aus.

      Wählen Sie die Dateien manuell aus, um sie wiederherzustellen

    Hinweis Wenn Dateien mit dem ausgewählten Wiederherstellungspunkt nicht wiederhergestellt werden können, wird eine Meldung angezeigt, die die Anzahl der Dateien angibt, die nicht wiederhergestellt werden können, und Sie können die Liste dieser Dateien herunterladen, indem Sie Liste der betroffenen Dateien herunterladen auswählen.
  8. Ziel: Wählen Sie den Abwärtspfeil neben Ziel, um Details anzuzeigen.

    1. Legen Sie fest, wo die Daten wiederhergestellt werden sollen: Ursprünglicher Quellspeicherort oder alternativer Speicherort, den Sie angeben können.

      Tipp Während die ursprünglichen Dateien oder das ursprüngliche Verzeichnis durch die wiederhergestellten Daten überschrieben werden, bleiben die ursprünglichen Datei- und Ordnernamen unverändert, es sei denn, Sie geben neue Namen an.
    2. Wählen Sie die Arbeitsumgebung aus.

    3. Wählen Sie Storage VM aus.

    4. Geben Sie optional den Pfad ein.

      Tipp Wenn Sie keinen Pfad für die Wiederherstellung angeben, werden die Dateien auf einem neuen Volume im Verzeichnis der obersten Ebene wiederhergestellt.
    5. Wählen Sie aus, ob die Namen der wiederhergestellten Dateien oder des Verzeichnisses den Namen des aktuellen Speicherorts oder anderer Namen haben sollen.

  9. Quarantäne-Speicherort: Wählen Sie optional, wo Sie potenziell infizierte Daten speichern möchten, bevor Sie den Wiederherstellungsprozess für weitere Analysen nach der Wiederherstellung starten.

  10. Wählen Sie Weiter.

  11. Überprüfen Sie Ihre Auswahl.

  12. Wählen Sie Wiederherstellen.

  13. Wählen Sie im oberen Menü Recovery aus, um den Workload auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.

Wiederherstellung einer Dateifreigabe oder eines Datastore

  1. Wählen Sie nach Auswahl einer wiederherzustellenden Dateifreigabe oder eines Datastore auf der Seite Wiederherstellen im Bereich Wiederherstellen die Option nach Volume aus.

    Wiederherstellungsseite mit Dateifreigabe-Wiederherstellung

  2. Wählen Sie in der Liste der Volumes das Volume aus, das Sie wiederherstellen möchten.

  3. Quelle: Wählen Sie den Pfeil nach unten neben Quelle, um Details zu sehen.

    1. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

      Tipp Durch den Ransomware-Schutz von BlueXP wird der beste Restore-Punkt als das neueste Backup direkt vor dem Vorfall identifiziert und eine „empfohlene“ Angabe angezeigt.
  4. Ziel: Wählen Sie den Abwärtspfeil neben Ziel, um Details anzuzeigen.

    1. Legen Sie fest, wo die Daten wiederhergestellt werden sollen: Ursprünglicher Quellspeicherort oder alternativer Speicherort, den Sie angeben können.

      Tipp Während die ursprünglichen Dateien oder das ursprüngliche Verzeichnis durch die wiederhergestellten Daten überschrieben werden, bleiben die ursprünglichen Datei- und Ordnernamen unverändert, es sei denn, Sie geben neue Namen an.
    2. Wählen Sie die Arbeitsumgebung aus.

    3. Wählen Sie Storage VM aus.

    4. Geben Sie optional den Pfad ein.

      Tipp Wenn Sie keinen Pfad für die Wiederherstellung angeben, werden die Dateien auf einem neuen Volume im Verzeichnis der obersten Ebene wiederhergestellt.
  5. Wählen Sie Speichern.

  6. Überprüfen Sie Ihre Auswahl.

  7. Wählen Sie Wiederherstellen.

  8. Wählen Sie im Menü * Recovery* aus, um die Arbeitslast auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.

Stellen Sie eine VM-Dateifreigabe auf VM-Ebene wieder her

Fahren Sie auf der Seite Wiederherstellung mit den folgenden Schritten fort, nachdem Sie eine wiederherzustellende VM ausgewählt haben.

  1. Quelle: Wählen Sie den Pfeil nach unten neben Quelle, um Details zu sehen.

    Wiederherstellungsseite, die eine wiederherzustellende VM anzeigt

  2. Wählen Sie den Wiederherstellungspunkt aus, den Sie zum Wiederherstellen der Daten verwenden möchten.

  3. Ziel: Zum ursprünglichen Standort.

  4. Wählen Sie Weiter.

  5. Überprüfen Sie Ihre Auswahl.

  6. Wählen Sie Wiederherstellen.

  7. Wählen Sie im Menü * Recovery* aus, um die Arbeitslast auf der Seite Recovery zu überprüfen, auf der sich der Status des Vorgangs durch die Zustände bewegt.