Reagieren Sie auf ungewöhnliche Aktivitäten
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Wenn Autonomous Ransomware Protection (ARP) abnormale Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung bewerten, um festzustellen, ob die Aktivität erwartet und akzeptabel ist oder ob ein Angriff in Angriff ist.
ARP zeigt eine Liste der verdächtigen Dateien an, wenn sie eine beliebige Kombination von hoher Datenentropie, abnormaler Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen erkennt.
Wenn die Warnung ausgegeben wird, können Sie darauf reagieren, indem Sie die Dateiaktivität auf zwei Arten markieren:
-
Falsch positiv
Der identifizierte Dateityp wird für Ihren Workload erwartet und kann ignoriert werden.
-
Möglicher Ransomware-Angriff
Der identifizierte Dateityp ist bei Ihrer Workload unerwartet und sollte als potenzieller Angriff behandelt werden.
In beiden Fällen wird die normale Überwachung nach der Aktualisierung und dem Löschen der Benachrichtigungen fortgesetzt. ARP notieren Sie Ihre Bewertung zu seiner Bedrohungsbewertung, aktualisierte Protokolle mit den neuen Dateitypen und verwenden sie für zukünftige Analysen.
Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich um einen Angriff handelt, darauf reagieren, wenn er der Fall ist, und geschützte Daten wiederherstellen, bevor Sie die Benachrichtigungen löschen. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".
Wenn Sie ein ganzes Volume wiederhergestellt haben, sind keine Hinweise zu löschen. |
-
ARP muss im aktiven Modus ausgeführt werden.
-
Wenn Sie eine Benachrichtigung über „anormale Aktivität“ erhalten, folgen Sie dem Link oder navigieren Sie zur Registerkarte Sicherheit in der Übersicht Volumes.
Warnungen werden im Fenster Übersicht des Menüs Ereignisse angezeigt.
-
Wenn eine Meldung „erkannte anormale Volumenaktivität“ angezeigt wird, zeigen Sie die verdächtigen Dateien an.
Wählen Sie auf der Registerkarte Sicherheit die Option vermutete Dateitypen anzeigen aus.
-
Prüfen Sie im Dialogfeld * Verdachtsed File Types* jeden Dateityp und markieren Sie ihn entweder als „False positive“ oder „Potential Ransomware Attack“.
Wenn Sie diesen Wert ausgewählt haben… |
Führen Sie diese Aktion durch… |
||
Falsch Positiv |
Wählen Sie Update und Suspect File Types löschen, um Ihre Entscheidung zu erfassen und die normale ARP-Überwachung fortzusetzen.
|
||
Möglicher Angriff Durch Ransomware |
Reagieren Sie auf den Angriff und stellen Sie geschützte Daten wieder her. Wählen Sie dann Update und Suspect File Types löschen, um Ihre Entscheidung aufzuzeichnen und die normale ARP-Überwachung fortzusetzen. |
-
Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:
security anti-ransomware volume show -vserver svm_name -volume vol_name
Probenausgabe:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
Sie können auch EMS-Nachrichten überprüfen:
event log show -message-name callhome.arw.activity.seen
-
Erstellen Sie einen Angriffsbericht, und notieren Sie den Ausgabeland:
security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/
Probenausgabe:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:
[root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08 19 "9/14/2021 01:03:23" test_dir_1/test_file_1.jpg.lckd 20 "9/14/2021 01:03:46" test_dir_2/test_file_2.jpg.lckd 21 "9/14/2021 01:03:46" test_dir_3/test_file_3.png.lckd`
-
Nehmen Sie eine der folgenden Aktionen auf Grundlage Ihrer Bewertung der Dateiendungen:
-
Falsch positiv
Geben Sie den folgenden Befehl ein, um Ihre Entscheidung aufzuzeichnen, die neue Erweiterung zur Liste der zulässigen hinzuzufügen und die normale Anti-Ransomware-Überwachung fortzusetzen:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
[-seq-no integer]
Sequenznummer der Datei in der Liste der Verdächtigen.
[-extension text, … ]
Dateierweiterungen
[-start-time date_time -end-time date_time]
Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“. -
Möglicher Ransomware-Angriff
Reagieren Sie auf den Angriff und "Wiederherstellen von Daten aus dem ARP-erstellten Backup-Snapshot". Nachdem die Daten wiederhergestellt wurden, geben Sie den folgenden Befehl ein, um Ihre Entscheidung zu notieren und die normale ARP-Überwachung fortzusetzen:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
[-seq-no integer]
Sequenznummer der Datei in der Liste der Verdächtigen
[-extension text, … ]
Dateierweiterung
[-start-time date_time -end-time date_time]
Start- und Endzeiten für den zu löhenden Bereich im Format „MM/TT/JJJJ HH:MM:SS“.
Es gibt keine verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Der von ARP erstellte Backup-Snapshot wird entfernt und der Angriffsbericht wird gelöscht.
-
-
Wenn Sie MAV und ein erwartetes verwenden
clear-suspect
Für den Betrieb sind zusätzliche Genehmigungen erforderlich. Jeder Genehmiger der MAV-Gruppe führt die folgenden Schritte aus:-
Anfrage anzeigen:
security multi-admin-verify request show
-
Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:
security multi-admin-verify request approve -index[number returned from show request]
Die Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.
-
-
Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:
security multi-admin-verify request veto -index[number returned from show request]