Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Reagieren Sie auf ungewöhnliche Aktivität, die durch ONTAP ARP erkannt wurde

Beitragende netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDFs

Wenn Autonomous Ransomware Protection (ARP) abnormale Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung bewerten, um festzustellen, ob die Aktivität akzeptabel ist (falsch positiv) oder ob ein Angriff schädlich erscheint. Nachdem Sie den Angriff kategorisiert haben, können Sie die Warnungen und Hinweise zu verdächtigen Dateien löschen.

Wenn Sie einen Angriff kategorisieren, werden ARP-Snapshots entweder für einen verkürzten Zeitraum aufbewahrt, der durch den Kategorisierungsvorgang eingeleitet wird (ONTAP 9.16.1 und höher), oder sofort gelöscht (ONTAP 9.15.1 und früher).

Hinweis Ab ONTAP 9.11.1 können Sie die "Aufbewahrungseinstellungen" für ARP-Snapshots.
Über diese Aufgabe

ARP zeigt eine Liste verdächtiger Dateien an, wenn es eine Kombination aus hoher Datenentropie, anormaler Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen erkennt. Ab ONTAP 9.17.1 für NAS- und SAN-Umgebungen werden Details zu Entropiespitzen auch auf der Anti-Ransomware-Seite im System Manager gemeldet.

Wenn eine ARP-Warnmeldung ausgegeben wird, reagieren Sie, indem Sie die Aktivität auf eine der beiden folgenden Arten kennzeichnen:

  • Falsch positiv

    Der identifizierte Dateityp oder die Entropiespitze ist in Ihrer Arbeitslast zu erwarten und kann ignoriert werden.

  • Potenzieller Ransomware-Angriff

    Der identifizierte Dateityp oder die Entropiespitze ist in Ihrer Arbeitslast unerwartet und sollte als potenzieller Angriff behandelt werden.

Die normale Überwachung wird fortgesetzt, nachdem Sie Ihre Entscheidung aktualisiert und die ARP-Benachrichtigungen gelöscht haben. ARP zeichnet Ihre Bewertung im Bedrohungsbewertungsprofil auf und nutzt Ihre Auswahl zur Überwachung nachfolgender Dateiaktivitäten.

Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich um einen Angriff handelt, darauf reagieren, wenn er der Fall ist, und geschützte Daten wiederherstellen, bevor Sie die Benachrichtigungen löschen. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".

Hinweis Wenn Sie ein gesamtes Volume wiederherstellen, müssen keine Hinweise gelöscht werden.
Bevor Sie beginnen

ARP muss ein Volume aktiv schützen und darf sich nicht im Lern- oder Evaluierungsmodus befinden.

Schritte

Sie können System Manager oder die ONTAP CLI verwenden, um auf anormale Aktivitäten zu reagieren.

System Manager

  1. Wenn Sie eine Benachrichtigung über ungewöhnliche Aktivitäten erhalten, folgen Sie dem Link. Alternativ können Sie in der Übersicht „Volumes“ zur Registerkarte „Sicherheit“ navigieren.

    Warnungen werden im Fenster Übersicht des Menüs Ereignisse angezeigt.

  2. Überprüfen Sie auf der Registerkarte Sicherheit den Bericht zu verdächtigen Dateitypen oder Entropiespitzen.

    • Untersuchen Sie bei verdächtigen Dateien jeden Dateityp im Dialogfeld Verdächtige Dateitypen und markieren Sie jeden einzeln.

    • Untersuchen Sie den Entropiebericht auf Entropiespitzen.

  3. Notieren Sie Ihre Antwort:

    Wenn Sie diesen Wert auswählen…​

    Führen Sie diese Aktion durch…​

    Falsch Positiv

    1. Führen Sie einen der folgenden Schritte aus:

      • Wählen Sie bei Dateitypwarnungen Aktualisieren und verdächtige Dateitypen löschen.

      • Wählen Sie für Entropiespitzen Als falsch positiv markieren.

        Diese Aktionen löschen Warnhinweise zu verdächtigen Dateien oder Aktivitäten. ARP nimmt anschließend die normale Überwachung des Volumes wieder auf. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht. Bei ONTAP 9.15.1 und früheren Versionen werden zugehörige ARP-Snapshots automatisch gelöscht, nachdem Sie verdächtige Dateitypen gelöscht haben.

      Hinweis Wenn Sie ab ONTAP 9.13.1 MAV zum Schutz Ihrer ARP-Einstellungen verwenden, werden Sie durch den Clear-Suspect-Vorgang aufgefordert, die Genehmigung eines oder mehrerer zusätzlicher Administratoren einzuholen. "Die Genehmigung muss von allen Administratoren eingeholt werden" Der MAV-Genehmigungsgruppe zugeordnet oder der Vorgang schlägt fehl.

    Möglicher Angriff Durch Ransomware

    1. Reagieren Sie auf den Angriff:

    2. Nachdem die Datenwiederherstellung abgeschlossen ist, protokollieren Sie Ihre Entscheidung und nehmen Sie die normale ARP-Überwachung wieder auf:

      • Wählen Sie bei Dateitypwarnungen Aktualisieren und verdächtige Dateitypen löschen.

      • Wählen Sie für Entropiespitzen Als potenziellen Ransomware-Angriff markieren und dann Speichern und verwerfen.

    Hinweis Es gibt keine Hinweise zu verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben.

    Durch die Aufzeichnung Ihrer Entscheidung wird der Angriffsbericht gelöscht. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht. Bei ONTAP 9.15.1 und früheren Versionen werden die ARP-Snapshots nach der Wiederherstellung eines Volumes automatisch gelöscht.
CLI

  1. Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Probenausgabe:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Sie können auch EMS-Nachrichten überprüfen:

    event log show -message-name callhome.arw.activity.seen

  2. Erstellen Sie einen Angriffsbericht und geben Sie an, wo dieser gespeichert werden soll:

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    Beispielbefehl:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    Probenausgabe:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. Führen Sie basierend auf Ihrer Auswertung der Dateierweiterungen oder Entropiespitzen eine der folgenden Aktionen aus:

    • Falsch positiv

      Führen Sie einen der folgenden Befehle aus, um Ihre Entscheidung zu protokollieren und die normale Überwachung des autonomen Ransomware-Schutzes fortzusetzen:

      • Für Dateierweiterungen:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        Verwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als falsch-positive zu identifizieren:

        • [-extension <text>, … ]: Dateierweiterungen

      • Für Entropiespitzen:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • Möglicher Ransomware-Angriff

      Reagieren Sie auf den Angriff und "Wiederherstellen von Daten aus dem ARP-erstellten Backup-Snapshot". Nachdem die Daten wiederhergestellt wurden, führen Sie einen der folgenden Befehle aus, um Ihre Entscheidung zu protokollieren und die normale ARP-Überwachung fortzusetzen

      • Für Dateierweiterungen:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        Mit dem folgenden optionalen Parameter können Sie nur bestimmte Erweiterungen als potenzielle Ransomware identifizieren:

        • [-extension <text>, … ]: Dateierweiterung

      • Für Entropiespitzen:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    Das clear-suspect Der Vorgang löscht den Angriffsbericht. Es gibt keine Hinweise zu verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht. Bei ONTAP 9.15.1 und früheren Versionen werden ARP-Snapshots automatisch gelöscht, nachdem Sie ein Volume wiederhergestellt oder ein verdächtiges Ereignis gelöscht haben.

  5. Wenn Sie MAV verwenden und für einen erwarteten clear-suspect Vorgang zusätzliche Genehmigungen erforderlich sind, muss jeder Genehmiger der MAV-Gruppe:

    1. Anfrage anzeigen:

      security multi-admin-verify request show

    2. Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:

      security multi-admin-verify request approve -index[<number returned from show request>]

      Die Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.

  6. Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:

    security multi-admin-verify request veto -index[<number returned from show request>]
Verwandte Informationen