Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Reagieren Sie auf ungewöhnliche Aktivitäten

Beitragende

Wenn Autonomous Ransomware Protection (ARP) abnormale Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung bewerten, um festzustellen, ob die Aktivität erwartet und akzeptabel ist oder ob ein Angriff in Angriff ist.

Über diese Aufgabe

ARP zeigt eine Liste der verdächtigen Dateien an, wenn sie eine beliebige Kombination von hoher Datenentropie, abnormaler Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen erkennt.

Wenn die Warnung ausgegeben wird, können Sie darauf reagieren, indem Sie die Dateiaktivität auf zwei Arten markieren:

  • Falsch positiv

    Der identifizierte Dateityp wird für Ihren Workload erwartet und kann ignoriert werden.

  • Möglicher Ransomware-Angriff

    Der identifizierte Dateityp ist bei Ihrer Workload unerwartet und sollte als potenzieller Angriff behandelt werden.

In beiden Fällen wird die normale Überwachung nach der Aktualisierung und dem Löschen der Benachrichtigungen fortgesetzt. ARP notieren Sie Ihre Bewertung zu seiner Bedrohungsbewertung, aktualisierte Protokolle mit den neuen Dateitypen und verwenden sie für zukünftige Analysen.

Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich um einen Angriff handelt, darauf reagieren, wenn er der Fall ist, und geschützte Daten wiederherstellen, bevor Sie die Benachrichtigungen löschen. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".

Hinweis Wenn Sie ein ganzes Volume wiederhergestellt haben, sind keine Hinweise zu löschen.
Bevor Sie beginnen
  • ARP muss im aktiven Modus ausgeführt werden.

Beispiel 1. Schritte
System Manager
  1. Wenn Sie eine Benachrichtigung über „anormale Aktivität“ erhalten, folgen Sie dem Link oder navigieren Sie zur Registerkarte Sicherheit in der Übersicht Volumes.

    Warnungen werden im Fenster Übersicht des Menüs Ereignisse angezeigt.

  2. Wenn eine Meldung „erkannte anormale Volumenaktivität“ angezeigt wird, zeigen Sie die verdächtigen Dateien an.

    Wählen Sie auf der Registerkarte Sicherheit die Option vermutete Dateitypen anzeigen aus.

  3. Prüfen Sie im Dialogfeld * Verdachtsed File Types* jeden Dateityp und markieren Sie ihn entweder als „False positive“ oder „Potential Ransomware Attack“.

Wenn Sie diesen Wert ausgewählt haben…​

Führen Sie diese Aktion durch…

Falsch Positiv

Wählen Sie Update und Suspect File Types löschen, um Ihre Entscheidung zu erfassen und die normale ARP-Überwachung fortzusetzen.

Hinweis Wenn Sie ab ONTAP 9.13.1 MAV zum Schutz Ihrer ARP-Einstellungen verwenden, werden Sie durch den Clear-Suspect-Vorgang aufgefordert, die Genehmigung eines oder mehrerer zusätzlicher Administratoren einzuholen. "Die Genehmigung muss von allen Administratoren eingeholt werden" Der MAV-Genehmigungsgruppe zugeordnet oder der Vorgang schlägt fehl.

Möglicher Angriff Durch Ransomware

Reagieren Sie auf den Angriff und stellen Sie geschützte Daten wieder her. Wählen Sie dann Update und Suspect File Types löschen, um Ihre Entscheidung aufzuzeichnen und die normale ARP-Überwachung fortzusetzen.
Es gibt keine verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben.

CLI
  1. Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Probenausgabe:

    Vserver Name: vs0
    Volume Name: vol1
    State: enabled
    Attack Probability: moderate
    Attack Timeline: 9/14/2021 01:03:23
    Number of Attacks: 1

    Sie können auch EMS-Nachrichten überprüfen:

    event log show -message-name callhome.arw.activity.seen

  2. Erstellen Sie einen Angriffsbericht, und notieren Sie den Ausgabeland:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Probenausgabe:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08
    
    19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
    20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
    21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`
  4. Nehmen Sie eine der folgenden Aktionen auf Grundlage Ihrer Bewertung der Dateiendungen:

    • Falsch positiv

      Geben Sie den folgenden Befehl ein, um Ihre Entscheidung aufzuzeichnen, die neue Erweiterung zur Liste der zulässigen hinzuzufügen und die normale Anti-Ransomware-Überwachung fortzusetzen:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
      [-seq-no integer] Sequenznummer der Datei in der Liste der Verdächtigen.
      [-extension text, … ] Dateierweiterungen
      [-start-time date_time -end-time date_time] Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“.

    • Möglicher Ransomware-Angriff

      Reagieren Sie auf den Angriff und "Wiederherstellen von Daten aus dem ARP-erstellten Backup-Snapshot". Nachdem die Daten wiederhergestellt wurden, geben Sie den folgenden Befehl ein, um Ihre Entscheidung zu notieren und die normale ARP-Überwachung fortzusetzen:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
      [-seq-no integer] Sequenznummer der Datei in der Liste der Verdächtigen
      [-extension text, … ] Dateierweiterung
      [-start-time date_time -end-time date_time] Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“.

    Es gibt keine verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Der von ARP erstellte Backup-Snapshot wird entfernt und der Angriffsbericht wird gelöscht.

  5. Wenn Sie MAV und ein erwartetes verwenden clear-suspect Für den Betrieb sind zusätzliche Genehmigungen erforderlich. Jeder Genehmiger der MAV-Gruppe führt die folgenden Schritte aus:

    1. Anfrage anzeigen:

      security multi-admin-verify request show

    2. Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:

      security multi-admin-verify request approve -index[number returned from show request]

    Die Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.

  6. Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:

    security multi-admin-verify request veto -index[number returned from show request]