Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Reagieren Sie auf ungewöhnliche Aktivität, die durch ONTAP ARP erkannt wurde

Beitragende netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
Änderungen vorschlagen
PDFs

Wenn der autonome Ransomware-Schutz (ARP) ungewöhnliche Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung prüfen, um festzustellen, ob die Aktivität akzeptabel ist (Fehlalarm) oder ob ein Angriff böswillig erscheint. Nachdem Sie den Angriff kategorisiert haben, können Sie die Warnung und Hinweise zu ungewöhnlichen Aktivitäten löschen.

Wenn Sie einen Angriff kategorisieren, werden ARP-Snapshots entweder für einen durch den Kategorisierungsvorgang initiierten verkürzten Zeitraum aufbewahrt (ONTAP 9.16.1 und später) oder sofort gelöscht, wenn Sie das verdächtige Ereignis löschen (ONTAP 9.15.1 und früher).

Hinweis Ab ONTAP 9.11.1 können Sie die "Aufbewahrungseinstellungen" für ARP-Snapshots.
Über diese Aufgabe

Bei NAS-Volumes zeigt ARP eine Liste verdächtiger Dateien an, wenn eine Kombination aus hoher Datenentropie, ungewöhnlicher Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen festgestellt wird.

Beginnend mit ONTAP 9.17.1:

  • Für NAS-Volumes: ARP liefert weiterhin verdächtige Dateien und Dateitypen.

  • Für SAN-Volumes (Volumes, die LUNs oder NVMe-Namespaces enthalten): ARP wertet die Entropie nur auf Volume-Ebene aus. ONTAP sieht keine einzelnen Dateien innerhalb der LUN oder des Namespace, daher sind Listen vermuteter Dateien und Dateitypen nicht verfügbar. Stattdessen meldet ARP Spitzenwerte im Verschlüsselungsprozentsatz auf Volume-Ebene (Entropiespitzen).

Einzelheiten zu Entropiespitzen sowohl für NAS- als auch für SAN-Volumes werden auf der Anti-Ransomware-Seite im System Manager angezeigt.

Wenn eine ARP-Warnmeldung ausgegeben wird, reagieren Sie, indem Sie die Aktivität auf eine der beiden folgenden Arten kennzeichnen:

  • Falsch positiv

    Der identifizierte Dateityp oder die Entropiespitze ist in Ihrer Arbeitslast zu erwarten und kann ignoriert werden.

  • Potenzieller Ransomware-Angriff

    Der identifizierte Dateityp oder die Entropiespitze ist in Ihrer Arbeitslast unerwartet und sollte als potenzieller Angriff behandelt werden.

Die normale Überwachung wird fortgesetzt, nachdem Sie Ihre Entscheidung aktualisiert und die ARP-Benachrichtigungen gelöscht haben. ARP zeichnet Ihre Bewertung im Bedrohungsbewertungsprofil auf und nutzt Ihre Auswahl zur Überwachung nachfolgender Dateiaktivitäten.

Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich tatsächlich um einen Angriff handelt, gegebenenfalls darauf reagieren und anschließend Benachrichtigungen löschen und Daten in der Reihenfolge wiederherstellen, die Ihre Wiederherstellungsmethode und ONTAP Version vorschreiben. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".

Bevor Sie beginnen

ARP muss ein Volume aktiv schützen und darf sich nicht im Lern- oder Evaluierungsmodus befinden.

Schritte

Gehen Sie wie folgt vor, wenn Sie abnormale Aktivitäten klassifizieren müssen:

  1. Details zu abnormalen Aktivitäten prüfen

  2. wenn Sie ein verdächtiges Ereignis löschen,Verstehen Sie das Snapshot-Verhalten und die Genehmigungen, wenn Sie ein verdächtiges Ereignis löschen

  3. Führen Sie einen der folgenden Schritte aus:

Falls Sie Daten wiederherstellen müssen, befolgen Sie die Schritte in "Wiederherstellung von Daten aus ONTAP ARP Snapshots nach einem Ransomware-Angriff".

Details zu abnormalen Aktivitäten prüfen

Sie können den System Manager oder die ONTAP CLI verwenden, um die ARP-Warnungsdetails zu überprüfen, bevor Sie einen Antwortablauf auswählen.

System Manager

  1. Wenn Sie eine Benachrichtigung über „ungewöhnliche Aktivitäten“ erhalten, folgen Sie dem Link. Alternativ navigieren Sie zu Speicher > Volumes, suchen ein betroffenes Volume und wählen die Registerkarte Sicherheit aus.

    Warnungen werden im System Manager-Dashboard im Bereich Übersicht des Menüs Ereignisse angezeigt.

  2. Überprüfen Sie im Tab Sicherheit die Details zu den ungewöhnlichen Aktivitäten:

    • Überprüfen Sie für NAS-Volumes den Bericht Verdächtige Dateitypen. Ein Dialogfeld Verdächtige Dateitypen zeigt die von ARP identifizierten Dateierweiterungen und Dateianzahlen an.

    • Prüfen Sie für NAS- und SAN-Volumes den Entropiespitzenbericht, der das Zeitfenster, die Dauer, die Menge der geschriebenen Daten und die Entropiewerte anzeigt.

CLI

  1. Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Probenausgabe:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Sie können auch EMS-Nachrichten überprüfen:

    event log show -message-name callhome.arw.activity.seen

  2. (Optional, NAS und SAN) Kürzlich erkannte Entropiespitzen auf dem Volume anzeigen:

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    Dieser Befehl fasst Zeitfenster zusammen, in denen ONTAP einen hohen Verschlüsselungsanteil (Entropiespitze) festgestellt hat. Er gilt sowohl für NAS- als auch für SAN-Volumes.

  3. (Optional) Histogramm des Verschlüsselungsprozentsatzes im Zeitverlauf anzeigen:

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

Verstehen Sie das Snapshot-Verhalten und die Genehmigungen, wenn Sie ein verdächtiges Ereignis löschen

  • Für volume snapshot restore ONTAP 9.16.1 und höher löschen Sie zuerst das verdächtige Ereignis und führen dann die Wiederherstellung durch. Nachdem Sie verdächtige Dateien gelöscht haben, werden ARP-Snapshots je nach Kategorisierung der Aktivität aufbewahrt: 7 Tage (standardmäßig), wenn Sie die Aktivität als potenziellen Ransomware-Angriff markieren, oder 24 Stunden, wenn Sie sie als Fehlalarm einstufen. Das vorherige Löschen entfernt Ihr Wiederherstellungsziel nicht. Außerdem ist die Option zum Löschen verdächtiger Ereignisse nach einer Volume-Wiederherstellung nicht mehr verfügbar, daher müssen Sie vor der Wiederherstellung löschen.

  • Für volume snapshot restore ONTAP 9.15.1 und frühere Versionen führen Sie zuerst die Wiederherstellung durch und löschen dann das verdächtige Ereignis. ARP-Snapshots werden sofort gelöscht, wenn Sie verdächtige Dateien löschen. Daher müssen Sie die Wiederherstellung vor dem Löschen abschließen, um zu vermeiden, dass der Snapshot vor dem Ausführen der Wiederherstellung gelöscht wird.

  • Bei Wiederherstellungsmethoden außer volume snapshot restore (zum Beispiel FlexClone oder Einzeldatei SnapRestore), führen Sie zuerst die Datenwiederherstellung durch und löschen Sie anschließend das verdächtige Ereignis. Diese Methoden beeinträchtigen die Verfügbarkeit der Option „Verdächtiges Ereignis löschen“ nicht.

  • Ab ONTAP 9.13.1, wenn Sie MAV zum Schutz von ARP-Einstellungen verwenden, kann der clear-suspect-Vorgang zusätzliche Genehmigungen erfordern. "Die Genehmigung muss von allen Administratoren eingeholt werden"müssen mit der MAV-Genehmigungsgruppe verknüpft sein, sonst schlägt der Vorgang fehl.

Als falsch positiv einstufen und Überwachung fortsetzen

Verwenden Sie diesen Ablauf, wenn der identifizierte Dateityp oder der Entropieanstieg für die Arbeitslast erwartet wird.

System Manager

  1. Notieren Sie Ihre Antwort:

    • Bei NAS-Dateitypwarnungen wählen Sie die betroffenen Dateien aus, wählen Sie Als falsch positiv markieren und dann Verdächtige Dateitypen aktualisieren und löschen.

    • Bei Entropiespitzen (NAS und SAN) wählen Sie Als falsch positiv markieren und dann Speichern und verwerfen.

Diese Maßnahmen beseitigen Warnmeldungen zu verdächtigen Dateien (NAS) oder ungewöhnlichen Aktivitäten (NAS und SAN). Anschließend nimmt ARP die normale Überwachung des Volumes wieder auf.

CLI

  1. Führen Sie einen der folgenden Befehle aus, um Ihre Entscheidung zu protokollieren und die normale Überwachung des autonomen Ransomware-Schutzes fortzusetzen:

    • Für NAS-Dateierweiterungen:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      Verwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als falsch positive Ergebnisse zu kennzeichnen: [-extension <text>, …​ ]

    • Bei Entropiespitzen (NAS und SAN):

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      Für SAN-Volumes ist dies die einzige unterstützte Methode zur Kategorisierung abnormaler Aktivitäten; es gibt keine Listen verdächtiger Dateien oder Dateierweiterungen.

  2. Ab ONTAP 9.18.1 können Sie den Status des clear-suspect Vorgangs ermitteln:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Als potenziellen Ransomware-Angriff einstufen und Daten wiederherstellen

Verwenden Sie diesen Ablauf, wenn der ermittelte Dateityp oder der Entropieanstieg für die Arbeitslast unerwartet ist.

System Manager

  1. Klassifizieren Sie die Aktivität:

    • Bei Warnungen zu NAS-Dateitypen markiere ausgewählte Dateien als Potenzieller Ransomware-Angriff.

    • Bei Entropiespitzen (NAS und SAN) wählen Sie Als potenziellen Ransomware-Angriff markieren.

  2. Bevor Sie Daten wiederherstellen, sollten Sie Ihre "Optionen für Wiederherstellungsmethoden" berücksichtigen. Führen Sie dann einen der folgenden Schritte aus:

    • Wenn Sie ein Volume mit ONTAP 9.16.1 und höher wiederherstellen möchten: Löschen Sie die Benachrichtigungen und stellen Sie dann das Volume wieder her:

      1. Klare Hinweise auf den potenziellen Angriff:

        • Bei NAS-Dateitypwarnungen wählen Sie Aktualisieren und Verdächtige Dateitypen löschen.

        • Bei Entropiespitzen (NAS und SAN) wählen Sie Speichern und schließen.

          Hinweis Nach dem Löschen verdächtiger Dateien wird der ARP-Snapshot standardmäßig 7 Tage lang aufbewahrt. Wenn Sie mehr Zeit für die Datenwiederherstellung benötigen, "ARP-Snapshot-Einstellungen anpassen" um die Aufbewahrungsdauer des Snapshots auf den gewünschten Wert zu erhöhen. Nachdem die Datenwiederherstellung abgeschlossen ist, können Sie die Aufbewahrungsdauer wieder verkürzen.

      2. Datenwiederherstellung mithilfe von "der aktuellste ARP-Snapshot oder ein früherer Snapshot".

    • Wenn Sie ein Volume mit ONTAP 9.15.1 oder einer früheren Version wiederherstellen möchten: Stellen Sie das Volume wieder her und löschen Sie anschließend die Benachrichtigungen:

      1. Datenwiederherstellung mithilfe von "der aktuellste ARP-Snapshot oder ein früherer Snapshot".

      2. Die Kategorisierung nach der Datenwiederherstellung abschließen, um die normale ARP-Überwachung wiederaufzunehmen:

        • Bei NAS-Dateitypwarnungen wählen Sie Aktualisieren und Verdächtige Dateitypen löschen.

        • Bei Entropiespitzen (NAS und SAN) wählen Sie Speichern und schließen.

    • Falls Sie eine andere Wiederherstellungsmethode verwenden möchten: Stellen Sie zuerst die Daten wieder her und löschen Sie dann die Benachrichtigungen:

      1. "Stellen Sie Daten mithilfe von FlexClone oder Einzeldatei-SnapRestore wieder her".

      2. Nach der Datenwiederherstellung die Kategorisierung abschließen, um die normale ARP-Überwachung wiederaufzunehmen:

        • Bei NAS-Dateitypwarnungen wählen Sie Aktualisieren und Verdächtige Dateitypen löschen.

        • Bei Entropiespitzen (NAS und SAN) wählen Sie Speichern und schließen.

          Hinweis Durch das Protokollieren Ihrer Entscheidung wird der Angriffsbericht gelöscht.
CLI

  1. (Nur NAS-Volumes) Erstellen Sie einen Angriffsbericht:

    1. Generieren Sie einen Angriffsbericht und geben Sie an, wo dieser gespeichert werden soll.

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      Beispielbefehl:

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      Probenausgabe:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      Hinweis Dieser Befehl wird auf Volumes, die LUNs oder NVMe-Namespaces enthalten (SAN-Workloads), nicht unterstützt.

  2. Wählen Sie eine "Wiederherstellungsmethode". Führen Sie dann einen der folgenden Schritte aus:

    • Wenn Sie volume snapshot restore verwenden möchten: Befolgen Sie die versionsspezifische Reihenfolge:

      • ONTAP 9.16.1 und höher: Zuerst den Angriff beseitigen, dann volume snapshot restore ausführen:

        1. Führen Sie einen der folgenden Befehle aus, um die verdächtigen Dateien zu löschen:

          • Für NAS-Dateierweiterungen:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Verwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als potenzielle Ransomware zu identifizieren: [-extension <text>, …​ ]

          • Bei Entropiespitzen (NAS und SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Verwenden Sie diesen Befehl bei SAN-Volumes, um den Angriff vor der Wiederherstellung zu bestätigen. Dadurch wird die ARP-Bedrohungsanalyse für die SAN-Workload aktualisiert.

        2. Datenwiederherstellung mithilfe von "ein aktueller ARP-Snapshot oder ein älterer Snapshot".

      • ONTAP 9.15.1 und früher: Führen Sie volume snapshot restore zuerst den Befehl aus, dann entfernen Sie den Angriff:

        1. Datenwiederherstellung mithilfe von "ein aktueller ARP-Snapshot oder ein älterer Snapshot".

        2. Führen Sie einen der folgenden Befehle aus, um die verdächtigen Dateien zu löschen:

          • Für NAS-Dateierweiterungen:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Verwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als potenzielle Ransomware zu identifizieren: [-extension <text>, …​ ]

          • Bei Entropiespitzen (NAS und SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Verwenden Sie diesen Befehl für SAN-Volumes, um den Angriff nach der Wiederherstellung zu bestätigen. Dadurch wird die ARP-Bedrohungsanalyse für die SAN-Workload aktualisiert.

    • Falls Sie andere Wiederherstellungsmethoden verwenden möchten: Stellen Sie zuerst die Daten wieder her und beseitigen Sie dann den Angriff:

      1. Datenwiederherstellung mithilfe von "FlexClone oder Einzeldatei SnapRestore".

      2. Führen Sie einen der folgenden Befehle aus, um die verdächtigen Dateien zu löschen:

        • Für NAS-Dateierweiterungen:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          Verwenden Sie den folgenden optionalen Parameter, um nur bestimmte Erweiterungen als potenzielle Ransomware zu identifizieren: [-extension <text>, …​ ]

        • Bei Entropiespitzen (NAS und SAN):

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          Verwenden Sie diesen Befehl für SAN-Volumes, um den Angriff nach der Wiederherstellung zu bestätigen. Dadurch wird die ARP-Bedrohungsanalyse für die SAN-Workload aktualisiert.

  3. Ab ONTAP 9.18.1 können Sie den Status des clear-suspect Vorgangs ermitteln:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Optionen zur Verifizierung durch mehrere Administratoren

Wenn Sie die Multi-Admin-Verifizierung (MAV) verwenden und ein erwarteter clear-suspect Vorgang zusätzliche Genehmigungen erfordert, muss jeder Genehmiger einer MAV-Gruppe:

  1. Anfrage anzeigen:

    security multi-admin-verify request show

  2. Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:

    security multi-admin-verify request approve -index[<number returned from show request>]

    Die Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.

Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:

security multi-admin-verify request veto -index[<number returned from show request>]
Verwandte Informationen