Versionshinweise
Reagieren Sie auf ungewöhnliche Aktivität, die durch ONTAP ARP erkannt wurde
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
NFS lässt sich mit der CLI managen
-
SMB lässt sich mit der CLI managen
-
Managen von SMB-Servern
-
Managen Sie den Dateizugriff über SMB
-
-
-
Authentifizierung und Zugriffssteuerung
-
Managen Sie die Administratorauthentifizierung und RBAC
-
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mithilfe von Tape Backup
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Wenn Autonomous Ransomware Protection (ARP) abnormale Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung bewerten, um festzustellen, ob die Aktivität akzeptabel ist (falsch positiv) oder ob ein Angriff schädlich erscheint. Nachdem Sie den Angriff kategorisiert haben, können Sie die Warnungen und Hinweise zu verdächtigen Dateien löschen.
Wenn ONTAP eine Auffälligkeit feststellt, wird zudem ein Volume erstellt"Ein ARP-Snapshot", um den besten Recovery-Punkt zu erstellen. ARP-Snapshots werden standardmäßig zwei bis fünf Tage aufbewahrt.
Wenn Sie einen Angriff kategorisieren, werden diese ARP-Snapshots entweder sofort gelöscht (ONTAP 9.15.1 und früher) oder für einen verkürzten Zeitraum aufbewahrt, der durch den Kategorisierungsvorgang eingeleitet wurde (ONTAP 9.16.1 und höher).
|
Ab ONTAP 9.11.1 können Sie die für ARP-Snapshots ändernAufbewahrungseinstellungen. |
ARP zeigt eine Liste der verdächtigen Dateien an, wenn sie eine beliebige Kombination von hoher Datenentropie, abnormaler Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen erkennt.
Wenn die ARP-Warnung ausgegeben wird, antworten Sie, indem Sie die Dateiaktivität auf zwei Arten festlegen:
-
Falsch positiv
Der identifizierte Dateityp wird für Ihren Workload erwartet und kann ignoriert werden.
-
Potenzieller Ransomware-Angriff
Der identifizierte Dateityp ist bei Ihrer Workload unerwartet und sollte als potenzieller Angriff behandelt werden.
In beiden Fällen wird die normale Überwachung nach der Aktualisierung und dem Löschen der Benachrichtigungen fortgesetzt. ARP zeichnet Ihre Bewertung im Bedrohungsprofil auf und verwendet Ihre Wahl zur Überwachung der nachfolgenden Dateiaktivitäten.
Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich um einen Angriff handelt, darauf reagieren, wenn er der Fall ist, und geschützte Daten wiederherstellen, bevor Sie die Benachrichtigungen löschen. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".
|
|
Wenn Sie ein gesamtes Volume wiederherstellen, müssen keine Hinweise gelöscht werden. |
ARP muss aktiv sein und sich nicht im Lernmodus befinden.
Sie können System Manager oder die ONTAP CLI verwenden, um auf anormale Aktivitäten zu reagieren.
-
Wenn Sie eine Benachrichtigung über „abnormale Aktivität“ erhalten, folgen Sie dem Link. Wechseln Sie alternativ zur Registerkarte Sicherheit in der Übersicht Volumes.
Warnungen werden im Fenster Übersicht des Menüs Ereignisse angezeigt.
-
Wenn eine Meldung über die Erkennung von anormalen Volume-Aktivitäten angezeigt wird, zeigen Sie die vermuteten Dateitypen an.
Wählen Sie auf der Registerkarte Sicherheit die Option aus, um die vermuteten Dateitypen zu überprüfen.
-
Prüfen Sie im Dialogfeld vermutete Dateitypen jeden Dateityp und markieren Sie ihn entweder als „falsch positiv“ oder „potentieller Ransomware-Angriff“.
Wenn Sie diesen Wert ausgewählt haben…
Führen Sie diese Aktion durch…
Falsch Positiv
-
Wählen Sie Update und Suspect File Types löschen, um Ihre Entscheidung aufzuzeichnen.
Wenn Sie ab ONTAP 9.13.1 MAV zum Schutz Ihrer ARP-Einstellungen verwenden, werden Sie durch den Clear-Suspect-Vorgang aufgefordert, die Genehmigung eines oder mehrerer zusätzlicher Administratoren einzuholen. "Die Genehmigung muss von allen Administratoren eingeholt werden" Der MAV-Genehmigungsgruppe zugeordnet oder der Vorgang schlägt fehl. Mit dieser Aktion werden Warnmeldungen zu verdächtigen Dateien gelöscht. ARP setzt dann die normale Überwachung des Volume fort. Bei ONTAP 9.15.1 und früheren Versionen werden die ARP-Snapshots automatisch gelöscht, nachdem Sie vermutete Dateitypen gelöscht haben. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht.
Möglicher Angriff Durch Ransomware
-
Reagieren Sie auf den Angriff und "Stellen Sie geschützte Daten wieder her".
-
Wählen Sie Update und Suspect File Types löschen, um Ihre Entscheidung zu erfassen und die normale ARP-Überwachung fortzusetzen.
Durch diese Aktion wird der Angriffsbericht gelöscht. Es gibt keine vermuteten Dateitypbenachrichtigungen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Bei ONTAP 9.15.1 und älteren Versionen werden die ARP-Snapshots nach der Wiederherstellung eines Volumes automatisch gelöscht. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht.
-
-
Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>CliProbenausgabe:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
Sie können auch EMS-Nachrichten überprüfen:
event log show -message-name callhome.arw.activity.seenCli -
Erstellen Sie einen Angriffsbericht, und notieren Sie den Ausgabeland:
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name:]vol_name/[sub-dir-name]>CliBeispielbefehl:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
Probenausgabe:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:
cat report_file_vs0_vol1_14-09-2021_01-21-08
-
Nehmen Sie eine der folgenden Aktionen auf Grundlage Ihrer Bewertung der Dateiendungen:
-
Falsch positiv
Führen Sie den folgenden Befehl aus, um Ihre Entscheidung aufzuzeichnen, und fügen Sie die neue Erweiterung zur Liste der zulässigen hinzu, und nehmen Sie die normale Überwachung des autonomen Ransomware-Schutzes wieder auf:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive trueCliVerwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als falsch-positive zu identifizieren:
-
[-extension <text>, … ]: DateierweiterungenDurch diesen
clear-suspectVorgang werden Warnmeldungen zu verdächtigen Dateien gelöscht. ARP setzt dann die normale Überwachung des Volume fort. Bei ONTAP 9.15.1 und früheren Versionen werden die ARP-Snapshots automatisch gelöscht, nachdem Sie vermutete Dateitypen gelöscht haben. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht.
-
-
Möglicher Ransomware-Angriff
Reagieren Sie auf den Angriff und "Wiederherstellen von Daten aus dem ARP-erstellten Backup-Snapshot". Nachdem die Daten wiederhergestellt sind, führen Sie den folgenden Befehl aus, um Ihre Entscheidung aufzuzeichnen und die normale ARP-Überwachung fortzusetzen:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive falseCliMit dem folgenden optionalen Parameter können Sie nur bestimmte Erweiterungen als potenzielle Ransomware identifizieren:
-
[-extension <text>, … ]: DateierweiterungDurch diesen
clear-suspectVorgang wird der Angriffsbericht gelöscht. Es gibt keine vermuteten Dateitypbenachrichtigungen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Bei ONTAP 9.15.1 und älteren Versionen werden die ARP-Snapshots nach der Wiederherstellung eines Volumes automatisch gelöscht. Bei ARP/AI in ONTAP 9.16.1 und höher werden ARP-Snapshots nach einer durch den Kategorisierungsvorgang ausgelösten verkürzten Aufbewahrungsfrist automatisch gelöscht.
-
-
-
Wenn Sie MAV verwenden und für einen erwarteten
clear-suspectVorgang zusätzliche Genehmigungen erforderlich sind, muss jeder Genehmiger der MAV-Gruppe:-
Anfrage anzeigen:
security multi-admin-verify request showCli -
Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:
security multi-admin-verify request approve -index[<number returned from show request>]CliDie Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.
-
-
Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:
security multi-admin-verify request veto -index[<number returned from show request>]Cli
