Wiederherstellung von Daten nach einem Ransomware-Angriff
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Autonomous Ransomware Protection (ARP) erstellt Snapshot-Kopien mit dem Namen Anti_ransomware_backup
Potenzielle Ransomware-Bedrohungen werden erkannt. Sie können eine dieser ARP Snapshot Kopien oder eine andere Snapshot Kopie Ihres Volumes zum Wiederherstellen von Daten verwenden.
Wenn das Volume über SnapMirror Beziehungen verfügt, replizieren Sie alle gespiegelten Kopien des Volumes unmittelbar nach der Wiederherstellung aus einer Snapshot Kopie manuell. Dadurch können nicht nutzbare Spiegelkopien erstellt werden, die gelöscht und neu erstellt werden müssen.
Zum Wiederherstellen aus einem anderen Snapshot als dem Anti_ransomware_backup
Snapshot Nachdem ein Systemangriff erkannt wurde, müssen Sie den ARP-Snapshot zuerst freigeben.
Wenn kein Systemangriff gemeldet wurde, müssen Sie zuerst vom wiederherstellen Anti_ransomware_backup
Snapshot-Kopie dann eine nachfolgende Wiederherstellung des Volume von der Snapshot-Kopie Ihrer Wahl abschließen.
Die Wiederherstellung von Daten kann mit System Manager oder der ONTAP CLI erfolgen.
-
fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Um Restores aus einer früheren Snapshot Kopie durchzuführen, müssen Sie zuerst die Sperre des ARP Snapshot freigeben.
-
Wählen Sie Storage > Volumes.
-
Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen
-
Markieren Sie die Dateien als "falsch positiv" .
-
Wählen Sie Update und Verdächtige Dateitypen löschen
-
-
Anzeige der Snapshot Kopien in Volumes:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen Sie neben der Snapshot Kopie, die Sie wiederherstellen möchten, dann Restore aus.
-
Anzeige der Snapshot Kopien in Volumes:
Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.
-
Wählen Sie sie aus, wählen Sie den Snapshot aus
Anti_ransomware_backup
. -
Wählen Sie Wiederherstellen.
-
Kehren Sie zum Menü Snapshot Kopien zurück und wählen Sie dann die Snapshot Kopie aus, die Sie verwenden möchten. Wählen Sie Wiederherstellen.
-
fahren Sie mit Schritt zwei fort, um die Wiederherstellung aus der ARP Snapshot Kopie durchzuführen. Um Daten aus früheren Snapshot Kopien wiederherzustellen, müssen Sie die Sperre des ARP Snapshot freigeben.
Die Anti-Ransomware-SnapLock muss nur freigegeben werden, wenn Sie die verwenden, bevor die Daten aus früheren Snapshot Kopien wiederhergestellt werden volume snap restore
Wie unten beschrieben. Wenn Sie Daten mit Flex Clone, Single File Snap Restore oder anderen Methoden wiederherstellen, ist dies nicht erforderlich.Markieren Sie den Angriff als „falsch positiv“ und „eindeutig verdächtig“:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
[-seq-no integer]
Sequenznummer der Datei in der Liste der Verdächtigen.
[-extension text, … ]
Dateierweiterungen
[-start-time date_time -end-time date_time]
Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“. -
Listen Sie die Snapshot Kopien in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>
Im folgenden Beispiel werden die Snapshot Kopien in angezeigt
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
Im folgenden Beispiel wird der Inhalt von wiederhergestellt
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Listen Sie die Snapshot Kopien in einem Volume auf:
volume snapshot show -vserver <SVM> -volume <volume>
Im folgenden Beispiel werden die Snapshot Kopien in angezeigt
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Stellen Sie den Inhalt eines Volumes aus einer Snapshot Kopie wieder her:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>
Im folgenden Beispiel wird der Inhalt von wiederhergestellt
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Wiederholen Sie die Schritte 1 und 2, um das Volume mithilfe der Desire Snapshot-Kopie wiederherzustellen.