Wiederherstellung von Daten aus ONTAP ARP Snapshots nach einem Ransomware-Angriff
Änderungen vorschlagen
PDFs
Autonomous Ransomware Protection (ARP) erstellt Snapshots zum Schutz vor potenziellen Ransomware-Bedrohungen. Sie können einen dieser ARP-Snapshots oder einen anderen Snapshot Ihres Volumes zur Datenwiederherstellung verwenden.
Das ARP erstellt Snapshots mit einem der folgenden vorangestellten Namen:
-
Anti_ransomware_periodic_backup: Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die in regelmäßigen Abständen erstellt werden. Beispiel:Anti_ransomware_periodic_backup.2025-06-01_1248. -
Anti_ransomware_attack_backup: Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die als Reaktion auf Anomalien erstellt wurden. Beispiel:Anti_ransomware_attack_backup.2025-08-25_1248. -
Anti_ransomware_backup: Wird in ONTAP 9.16.1 und früheren Versionen mit Snapshots verwendet, die als Reaktion auf Anomalien erstellt werden. Beispiel:Anti_ransomware_backup.2022-12-20_1248.
Um eine Wiederherstellung von einem anderen Snapshot als dem Anti_ransomware Snapshot nach der Erkennung eines Systemangriffs müssen Sie zunächst den ARP-Snapshot freigeben.
Wenn kein Systemangriff gemeldet wird, müssen Sie zuerst vom Anti_ransomware Erstellen Sie einen Snapshot und führen Sie anschließend eine Wiederherstellung des Volumes aus dem von Ihnen ausgewählten Snapshot durch.
Weitere Informationen zu SnapMirror Beziehungen und ARP-Snapshots
Wenn das ARP-geschützte Volume Teil einer SnapMirror -Beziehung ist, müssen Sie alle Spiegelkopien des Volumes nach der Wiederherstellung aus einem Snapshot manuell aktualisieren. Wenn Sie diesen Schritt überspringen, werden die Spiegelkopien möglicherweise unbrauchbar und müssen gelöscht und neu erstellt werden.
Wenn das ARP-geschützte Volume Teil einer SnapMirror synchronen oder SnapMirror active sync Beziehung in ONTAP 9.19.1 RC ist, gelten zusätzliche Wiederherstellungsüberlegungen:
-
ARP-Snapshots werden ausschließlich auf dem primären Volume erstellt und gespeichert. Sie werden nicht auf das sekundäre Volume im Rahmen der SnapMirror synchronen oder SnapMirror active sync repliziert.
-
Der ARP-Aktivierungsstatus wird beim Failover nicht repliziert. Sie müssen "ARP erneut aktivieren" auf dem Wiederherstellungsvolume nach dem Failover ausführen.
-
Die Wiederherstellung auf Volume-Ebene (
volume snapshot restore) bei SnapMirror synchron oder SnapMirror active sync Volumes kann es erforderlich machen, die SnapMirror synchron oder SnapMirror active sync Beziehung vorübergehend zu quiescieren oder zu unterbrechen. -
In vielen Fällen können Sie das Unterbrechen von SnapMirror synchron oder SnapMirror active sync vermeiden, indem Sie FlexClone oder Wiederherstellungsvorgänge auf Dateiebene aus ARP- oder anderen Snapshots auf dem primären Volume verwenden.
"Sie müssen den Angriff als potenziellen Ransomware-Angriff markieren" bevor Sie Daten aus einem Snapshot wiederherstellen.
Die Wiederherstellung von Daten kann mit System Manager oder der ONTAP CLI erfolgen.
-
fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Zum Wiederherstellen aus einem früheren Snapshot müssen Sie zuerst die Sperre des ARP-Snapshots freigeben.
-
Wählen Sie Storage > Volumes.
-
Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen.
-
Markieren Sie die Dateien als „potenzieller Ransomware-Angriff“.
-
Wählen Sie Update und Verdächtige Dateitypen löschen.
-
-
Snapshots in Volumes anzeigen:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen Sie
neben dem Snapshot, den Sie wiederherstellen möchten, dann Wiederherstellen.Wenn das Volume Teil einer SnapMirror synchronen oder SnapMirror active sync SAN-Beziehung in ONTAP 9.19.1 RC ist und Sie eine Wiederherstellung auf Volume-Ebene planen, befolgen Sie die SnapMirror synchronen oder SnapMirror active sync Dokumentation, um die Beziehung zu quiescieren oder "die Schutzbeziehung auflösen" bevor Sie mit der Wiederherstellung beginnen, und stellen Sie nach Abschluss der Wiederherstellung den Schutz wieder her.
-
Snapshots in Volumes anzeigen:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen
wählen Sie dann die Anti_ransomwareSchnappschuss. -
Wählen Sie Wiederherstellen.
-
Kehren Sie zum Menü Snapshot-Kopien zurück, und wählen Sie dann den gewünschten Snapshot aus. Wählen Sie Wiederherstellen.
fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Um Daten aus früheren Snapshots wiederherzustellen, müssen Sie die Sperre für den ARP-Snapshot freigeben.
|
Es ist nur erforderlich, den Anti-Ransomware SnapLock vor der Wiederherstellung aus früheren Snapshots freizugeben, wenn Sie den volume snapshot restore Befehl wie unten beschrieben verwenden. Wenn Sie Daten mit FlexClone, Einzeldatei SnapRestore oder anderen Methoden wiederherstellen, ist dies nicht notwendig.
|
-
Markieren Sie den Angriff als potenziellen Ransomware-Angriff (
-false-positive false) und löschen Sie verdächtige Dateien (clear-suspect):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive falseVerwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
-
[-seq-no integer]: Sequenznummer der Datei in der Verdächtigenliste. -
[-extension text, … ]: Dateierweiterungen -
[-start-time date_time -end-time date_time]: Start- und Endzeiten für den zu löschenden Dateibereich im Format „MM/TT/JJJJ HH:MM:SS“.
-
-
Wenn das Volume Teil einer SnapMirror synchronen oder SnapMirror active sync SAN-Beziehung in ONTAP 9.19.1 RC ist und Sie beabsichtigen, eine Wiederherstellung auf Volume-Ebene mit
volume snapshot restoredurchzuführen, versetzen Sie es gemäß der SnapMirror synchronen oder SnapMirror active sync Dokumentation in den Quiesce- oder "die SnapMirror synchron oder SnapMirror active sync Beziehung unterbrechen"-Modus, bevor Sie den Wiederherstellungsvorgang ausführen. -
Listen Sie die Snapshots in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>Das folgende Beispiel zeigt den Snapshot in
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>Das folgende Beispiel stellt den Inhalt von wieder her
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Listen Sie die Snapshots in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>Das folgende Beispiel zeigt den Snapshot in
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>Das folgende Beispiel stellt den Inhalt von wieder her
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Erfahren Sie mehr über volume snapshot in der "ONTAP-Befehlsreferenz".