Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Wiederherstellung von Daten aus ONTAP ARP Snapshots nach einem Ransomware-Angriff

Beitragende netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
Änderungen vorschlagen
PDFs

Autonomous Ransomware Protection (ARP) erstellt Snapshots, um vor einer potenziellen Ransomware-Bedrohung zu schützen. Sie können ARP-Snapshots oder einen anderen Snapshot Ihres Volumes verwenden, um Daten wiederherzustellen.

Über diese Aufgabe

Je nach potenzieller Angriffssituation stellen Sie die Daten auf eine der folgenden Arten wieder her:

ARP erstellt Snapshots mit einem der folgenden vorangestellten Namen:

  • Anti_ransomware_periodic_backup : Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die in regelmäßigen Abständen erstellt werden. Beispiel: Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die als Reaktion auf Anomalien erstellt wurden. Beispiel: Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Wird in ONTAP 9.16.1 und früheren Versionen mit Snapshots verwendet, die als Reaktion auf Anomalien erstellt werden. Beispiel: Anti_ransomware_backup.2022-12-20_1248 .

Bevor Sie beginnen
Schritte

Führen Sie diese Schritte aus, wenn Sie Daten wiederherstellen müssen, nachdem ARP eine Anomalie erkannt hat:

Wählen Sie eine Wiederherstellungsmethode

Je nach Ausmaß der Datenbeschädigung und Ihren betrieblichen Anforderungen wählen Sie eine oder mehrere dieser Wiederherstellungsmethoden.

  • Wiederherstellung eines Volume-Snapshots: Setzt das gesamte Volume auf einen ausgewählten Snapshot (ARP oder geplant) zurück. Dies ist die schnellste Methode, entfernt jedoch alle Snapshots, die nach dem Wiederherstellungspunkt erstellt wurden.

  • FlexClone von einem sauberen Snapshot: Erstellt ein Klon-Volume aus dem ausgewählten Snapshot, wobei das Original-Volume und alle seine Snapshots für forensische Analysen oder zusätzliche Wiederherstellung erhalten bleiben. Es wird empfohlen, den Klon vom übergeordneten Volume zu trennen, um das infizierte übergeordnete Volume vom sauberen Klon zu isolieren.

    Erfahren Sie mehr über "Erstellen eines FlexClone Volume aus einem Snapshot" und "Abspaltung eines FlexClone von seinem Elternteil".

  • Einzeldatei SnapRestore: Stellt einzelne Dateien aus Snapshots wieder her. Jede Datei kann aus einem anderen Snapshot stammen. Dies ist praktisch, wenn die Anzahl der betroffenen Dateien relativ gering ist (zehn bis hundert Dateien).

    Weitere Informationen zu "Wiederherstellen einer einzelnen Datei aus einem Snapshot".

  • Datenkopie aus dem .snapshot Verzeichnis: Kopiert Daten vom Snapshot-Mountpunkt mithilfe standardmäßiger Dateikopiervorgänge auf ein neues Volume. Bei dieser Methode bleiben das Original-Volume und die Snapshots für die Analyse erhalten.

  • Hybridansatz: Das Volume wird zuerst mithilfe von SnapRestore auf den nächstgelegenen sauberen Snapshot zurückgesetzt, dann werden alle verbleibenden beschädigten Dateien einzeln aus einem anderen Snapshot oder externem Backup wiederhergestellt.

Einschränkungen und Überlegungen zur Wiederherstellung

  • Bei ONTAP 9.15.1 und älteren Versionen werden ARP-Snapshots durch das Aufheben der ARP-Snapshot-Sperre sofort gelöscht. Heben Sie die Sperre nur auf, wenn Sie nicht vorhaben, eine Wiederherstellung aus einem ARP-Snapshot durchzuführen.

  • Das Aufheben der Anti-Ransomware-Sperre vor der Wiederherstellung aus früheren Snapshots ist nur erforderlich, wenn Sie volume snapshot restore verwenden. Es ist nicht erforderlich für FlexClone, Einzeldatei SnapRestore, Datenkopiervorgänge oder ähnliche Methoden.

SnapMirror Überlegungen

  • Wenn das Volume Teil einer SnapMirror synchronen oder SnapMirror active sync SAN-Beziehung in ONTAP 9.19.1 RC ist und Sie eine Wiederherstellung auf Volume-Ebene planen, versetzen Sie es in den Quiesce-Modus "Die Beziehung vor der Wiederherstellung aufheben" und stellen Sie den Schutz nach der Wiederherstellung wieder her.

  • Wenn Sie ein ARP-geschütztes Volume aus einem Snapshot wiederherstellen, während es Teil einer SnapMirror Beziehung ist, müssen Sie nach der Wiederherstellung alle Spiegelkopien manuell aktualisieren. Andernfalls können Spiegelkopien unbrauchbar werden und müssen möglicherweise gelöscht und neu erstellt werden.

Für das vollständige SnapMirror und ARP Interoperabilitätsverhalten, einschließlich Snapshot- und Failover-Überlegungen, siehe "SnapMirror und ARP-Interoperabilität".

Wiederherstellung nach einem Systemangriff

Für die Wiederherstellung von Volume-Snapshots wählen Sie je nach Snapshot-Quelle und Situation einen dieser Abläufe:

Wiederherstellung vom aktuellsten ARP-Snapshot

Wählen Sie diesen Ablauf, wenn Sie die Wiederherstellung sicher vom aktuellsten ARP-Snapshot durchführen können, da dies der aktuellste für die Wiederherstellung verfügbare Snapshot ist.

System Manager

  1. Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  2. Bei ONTAP 9.16.1 und höher, bevor Sie eine Volume-Wiederherstellung durchführen, "Verdächtige Dateien löschen".

    Hinweis Nach dem Löschen verdächtiger Dateien wird der ARP-Snapshot standardmäßig 7 Tage lang aufbewahrt. Wenn Sie mehr Zeit für die Datenwiederherstellung benötigen, "ARP-Snapshot-Einstellungen anpassen" um die Aufbewahrungsdauer des Snapshots auf den gewünschten Wert zu erhöhen. Nachdem die Datenwiederherstellung abgeschlossen ist, können Sie die Aufbewahrungsdauer wieder verkürzen.

  3. Wählen Sie Symbol für Menüoptionen neben dem zuletzt gespeicherten ARP-Snapshot (Anti_ransomware aus, den Sie wiederherstellen möchten, und wählen Sie dann Wiederherstellen.

  4. Für ONTAP 9.15.1 und frühere Versionen gilt nach Abschluss der Wiederherstellung "Verdächtige Dateien löschen".

CLI

  1. Listen Sie die Snapshots in einem Volume auf:

    volume snapshot show -vserver <svm> -volume <volume>

  2. Für ONTAP 9.16.1 und höher, bevor Sie volume snapshot restore ausführen, "Verdächtige Dateien löschen".

  3. Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. Für ONTAP 9.15.1 und frühere Versionen gilt nach Abschluss der Wiederherstellung "Verdächtige Dateien löschen".

Wiederherstellung aus einem früheren Snapshot

Wählen Sie diesen Ablauf, wenn Sie dem aktuellsten Snapshot nicht vertrauen und einen früheren Snapshot wiederherstellen möchten. Geben Sie die Sperre des aktuellsten ARP-Snapshots frei, bevor Sie den früheren Snapshot wiederherstellen.

System Manager

  1. Die Sperre für den aktuellsten ARP-Snapshot aufheben:

    1. Wählen Sie Storage > Volumes.

    2. Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen.

    3. Markieren Sie die Dateien als „potenzieller Ransomware-Angriff“.

    4. Wählen Sie Aktualisieren und Verdächtige Dateitypen löschen.

      Hinweis Wenn Sie die Aktivität bereits anhand der Schritte in "Reagieren Sie auf ungewöhnliche Aktivität, die durch ONTAP ARP erkannt wurde" als potenziellen Ransomware-Angriff eingestuft haben, müssen Sie hier nur noch die verdächtigen Dateitypen löschen.

  2. Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  3. Wählen Sie Symbol für Menüoptionen neben dem früheren Snapshot, den Sie wiederherstellen möchten, und wählen Sie dann Wiederherstellen.

CLI

  1. Wenn Sie eine Wiederherstellung aus einem früheren Snapshot durchführen volume snapshot restore, markieren Sie den Angriff als potenzielle Ransomware (-false-positive false und löschen Sie verdächtige Dateien, um die Sperre aufzuheben:

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:

    • [-seq-no integer] : Sequenznummer der Datei in der Verdächtigenliste.

    • [-extension text, … ] : Dateierweiterungen

    • [-start-time date_time -end-time date_time] : Start- und Endzeiten für den zu löschenden Dateibereich im Format „MM/TT/JJJJ HH:MM:SS“.

  2. Listen Sie die Snapshots in einem Volume auf:

    volume snapshot show -vserver <svm> -volume <volume>

    Das folgende Beispiel zeigt den Snapshot in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    Das folgende Beispiel stellt den Inhalt von wieder her vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Wiederherstellung, wenn ein Systemangriff nicht erkannt wird

Wenn kein Angriff erkannt wird, stellen Sie zuerst den aktuellsten ARP-Snapshot wieder her und anschließend einen früheren Snapshot Ihrer Wahl.

System Manager

  1. Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  2. Wählen Sie Symbol für Menüoptionen und wählen Sie dann den aktuellsten Anti_ransomware Snapshot aus.

  3. Wählen Sie Wiederherstellen.

  4. Kehren Sie zum Menü Snapshot Copies zurück und wählen Sie dann den früheren Snapshot aus, den Sie verwenden möchten.

  5. Wählen Sie Wiederherstellen.

CLI

  1. Zuerst vom aktuellsten ARP-Snapshot wiederherstellen:

    1. Listen Sie die Snapshots in einem Volume auf:

      volume snapshot show -vserver <svm> -volume <volume>

    2. Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. Wählen Sie den früheren Snapshot aus, den Sie verwenden möchten, und wiederholen Sie die Wiederherstellung.

Erfahren Sie mehr über volume snapshot in der "ONTAP-Befehlsreferenz".

Verwandte Informationen