Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Wiederherstellung von Daten nach einem Ransomware-Angriff

Beitragende
PDFs

Autonomous Ransomware Protection (ARP) erstellt Snapshot-Kopien mit dem Namen Anti_ransomware_backup Potenzielle Ransomware-Bedrohungen werden erkannt. Sie können eine dieser ARP Snapshot Kopien oder eine andere Snapshot Kopie Ihres Volumes zum Wiederherstellen von Daten verwenden.

Über diese Aufgabe

Wenn das Volume über SnapMirror Beziehungen verfügt, replizieren Sie alle gespiegelten Kopien des Volumes unmittelbar nach der Wiederherstellung aus einer Snapshot Kopie manuell. Dadurch können nicht nutzbare Spiegelkopien erstellt werden, die gelöscht und neu erstellt werden müssen.

Zum Wiederherstellen aus einem anderen Snapshot als dem Anti_ransomware_backup Snapshot Nachdem ein Systemangriff erkannt wurde, müssen Sie den ARP-Snapshot zuerst freigeben.

Wenn kein Systemangriff gemeldet wurde, müssen Sie zuerst vom wiederherstellen Anti_ransomware_backup Snapshot-Kopie dann eine nachfolgende Wiederherstellung des Volume von der Snapshot-Kopie Ihrer Wahl abschließen.

Schritte

Die Wiederherstellung von Daten kann mit System Manager oder der ONTAP CLI erfolgen.

System Manager
Wiederherstellung nach einem Systemangriff

  1. fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Um Restores aus einer früheren Snapshot Kopie durchzuführen, müssen Sie zuerst die Sperre des ARP Snapshot freigeben.

    1. Wählen Sie Storage > Volumes.

    2. Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen

    3. Markieren Sie die Dateien als "falsch positiv" .

    4. Wählen Sie Update und Verdächtige Dateitypen löschen

  2. Anzeige der Snapshot Kopien in Volumes:

    Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  3. Wählen Sie Menüoption Neben der Snapshot Kopie, die Sie wiederherstellen möchten, dann Wiederherstellen.

Wiederherstellung, wenn ein Systemangriff nicht erkannt wurde

  1. Anzeige der Snapshot Kopien in Volumes:

    Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  2. Wählen Sie Menüoption Sie wählen die aus Anti_ransomware_backup Snapshot:

  3. Wählen Sie Wiederherstellen.

  4. Kehren Sie zum Menü Snapshot Kopien zurück und wählen Sie dann die Snapshot Kopie aus, die Sie verwenden möchten. Wählen Sie Wiederherstellen.

CLI
Wiederherstellung nach einem Systemangriff

  1. fahren Sie mit Schritt zwei fort, um die Wiederherstellung aus der ARP Snapshot Kopie durchzuführen. Um Daten aus früheren Snapshot Kopien wiederherzustellen, müssen Sie die Sperre des ARP Snapshot freigeben.

    Hinweis Die Anti-Ransomware-SnapLock muss nur freigegeben werden, wenn Sie die verwenden, bevor die Daten aus früheren Snapshot Kopien wiederhergestellt werden volume snap restore Wie unten beschrieben. Wenn Sie Daten mit Flex Clone, Single File Snap Restore oder anderen Methoden wiederherstellen, ist dies nicht erforderlich.

    Markieren Sie den Angriff als „falsch positiv“ und „eindeutig verdächtig“:
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
    Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
    [-seq-no integer] Sequenznummer der Datei in der Liste der Verdächtigen.
    [-extension text, … ] Dateierweiterungen
    [-start-time date_time -end-time date_time] Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“.

  2. Listen Sie die Snapshot Kopien in einem Volume auf:

    volume snapshot show -vserver SVM -volume volume

    Im folgenden Beispiel werden die Snapshot Kopien in angezeigt vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    Im folgenden Beispiel wird der Inhalt von wiederhergestellt vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Wiederherstellung, wenn ein Systemangriff nicht erkannt wurde

  1. Listen Sie die Snapshot Kopien in einem Volume auf:

    volume snapshot show -vserver SVM -volume volume

    Im folgenden Beispiel werden die Snapshot Kopien in angezeigt vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    Im folgenden Beispiel wird der Inhalt von wiederhergestellt vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

  3. Wiederholen Sie die Schritte 1 und 2, um das Volume mithilfe der Desire Snapshot-Kopie wiederherzustellen.

Weitere Informationen