Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Wiederherstellung von Daten aus ONTAP ARP Snapshots nach einem Ransomware-Angriff

Beitragende netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDFs

Autonomous Ransomware Protection (ARP) erstellt Snapshots zum Schutz vor potenziellen Ransomware-Bedrohungen. Sie können einen dieser ARP-Snapshots oder einen anderen Snapshot Ihres Volumes zur Datenwiederherstellung verwenden.

Über diese Aufgabe

Das ARP erstellt Snapshots mit einem der folgenden vorangestellten Namen:

  • Anti_ransomware_periodic_backup : Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die in regelmäßigen Abständen erstellt werden. Beispiel: Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Wird in ONTAP 9.17.1 und höher für Snapshots verwendet, die als Reaktion auf Anomalien erstellt wurden. Beispiel: Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Wird in ONTAP 9.16.1 und früheren Versionen mit Snapshots verwendet, die als Reaktion auf Anomalien erstellt werden. Beispiel: Anti_ransomware_backup.2022-12-20_1248 .

Um eine Wiederherstellung von einem anderen Snapshot als dem Anti_ransomware Snapshot nach der Erkennung eines Systemangriffs müssen Sie zunächst den ARP-Snapshot freigeben.

Wenn kein Systemangriff gemeldet wird, müssen Sie zuerst vom Anti_ransomware Erstellen Sie einen Snapshot und führen Sie anschließend eine Wiederherstellung des Volumes aus dem von Ihnen ausgewählten Snapshot durch.

Hinweis Wenn das ARP-geschützte Volume Teil einer SnapMirror -Beziehung ist, müssen Sie alle Spiegelkopien des Volumes nach der Wiederherstellung aus einem Snapshot manuell aktualisieren. Wenn Sie diesen Schritt überspringen, werden die Spiegelkopien möglicherweise unbrauchbar und müssen gelöscht und neu erstellt werden.
Bevor Sie beginnen

"Sie müssen den Angriff als potenziellen Ransomware-Angriff markieren" bevor Sie Daten aus einem Snapshot wiederherstellen.

Schritte

Die Wiederherstellung von Daten kann mit System Manager oder der ONTAP CLI erfolgen.

System Manager
Wiederherstellung nach einem Systemangriff

  1. fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Zum Wiederherstellen aus einem früheren Snapshot müssen Sie zuerst die Sperre des ARP-Snapshots freigeben.

    1. Wählen Sie Storage > Volumes.

    2. Wählen Sie Sicherheit und dann vermutete Dateitypen anzeigen.

    3. Markieren Sie die Dateien als „potenzieller Ransomware-Angriff“.

    4. Wählen Sie Update und Verdächtige Dateitypen löschen.

  2. Snapshots in Volumes anzeigen:

    Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  3. Wählen Sie Symbol für Menüoptionen neben dem Snapshot, den Sie wiederherstellen möchten, dann Wiederherstellen.

Wiederherstellung, wenn ein Systemangriff nicht erkannt wurde

  1. Snapshots in Volumes anzeigen:

    Wählen Sie Storage > Volumes, dann das Volume und Snapshot Copies aus.

  2. Wählen Symbol für Menüoptionen wählen Sie dann die Anti_ransomware Schnappschuss.

  3. Wählen Sie Wiederherstellen.

  4. Kehren Sie zum Menü Snapshot-Kopien zurück, und wählen Sie dann den gewünschten Snapshot aus. Wählen Sie Wiederherstellen.

CLI
Wiederherstellung nach einem Systemangriff

fahren Sie mit Schritt 2 fort, um die Wiederherstellung aus dem ARP-Snapshot durchzuführen. Um Daten aus früheren Snapshots wiederherzustellen, müssen Sie die Sperre für den ARP-Snapshot freigeben.

Hinweis Es ist nur notwendig, die Anti-Ransomware-SnapLock vor der Wiederherstellung aus früheren Snapshots freizugeben, wenn Sie den Befehl wie unten beschrieben verwenden volume snapshot restore. Wenn Sie Daten mit FlexClone, Single File Snap Restore oder anderen Methoden wiederherstellen, ist dies nicht erforderlich.

  1. Markieren Sie den Angriff als potenziellen Ransomware-Angriff (-false-positive false ) und löschen Sie verdächtige Dateien (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:

    • [-seq-no integer] : Sequenznummer der Datei in der Verdächtigenliste.

    • [-extension text, … ] : Dateierweiterungen

    • [-start-time date_time -end-time date_time] : Start- und Endzeiten für den zu löschenden Dateibereich im Format „MM/TT/JJJJ HH:MM:SS“.

  2. Listen Sie die Snapshots in einem Volume auf:

    volume snapshot show -vserver <SVM> -volume <volume>

    Das folgende Beispiel zeigt den Snapshot in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Das folgende Beispiel stellt den Inhalt von wieder her vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Wiederherstellung, wenn ein Systemangriff nicht erkannt wurde

  1. Listen Sie die Snapshots in einem Volume auf:

    volume snapshot show -vserver <SVM> -volume <volume>

    Das folgende Beispiel zeigt den Snapshot in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Wiederherstellen des Inhalts eines Volumes aus einem Snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Das folgende Beispiel stellt den Inhalt von wieder her vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Erfahren Sie mehr über volume snapshot in der "ONTAP-Befehlsreferenz".

Verwandte Informationen