Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Reagieren Sie auf ungewöhnliche Aktivitäten

Beitragende
PDFs

Wenn Autonomous Ransomware Protection (ARP) abnormale Aktivitäten in einem geschützten Volume erkennt, wird eine Warnung ausgegeben. Sie sollten die Benachrichtigung bewerten, um festzustellen, ob die Aktivität akzeptabel ist (falsch positiv) oder ob ein Angriff schädlich erscheint.

Über diese Aufgabe

ARP zeigt eine Liste der verdächtigen Dateien an, wenn sie eine beliebige Kombination von hoher Datenentropie, abnormaler Volume-Aktivität mit Datenverschlüsselung und ungewöhnlichen Dateierweiterungen erkennt.

Wenn die Warnung ausgegeben wird, antworten Sie, indem Sie die Dateiaktivität auf zwei Arten festlegen:

  • Falsch positiv

    Der identifizierte Dateityp wird für Ihren Workload erwartet und kann ignoriert werden.

  • Potenzieller Ransomware-Angriff

    Der identifizierte Dateityp ist bei Ihrer Workload unerwartet und sollte als potenzieller Angriff behandelt werden.

In beiden Fällen wird die normale Überwachung nach der Aktualisierung und dem Löschen der Benachrichtigungen fortgesetzt. ARP zeichnet Ihre Bewertung im Bedrohungsprofil auf und verwendet Ihre Wahl zur Überwachung der nachfolgenden Dateiaktivitäten.

Im Falle eines vermuteten Angriffs müssen Sie feststellen, ob es sich um einen Angriff handelt, darauf reagieren, wenn er der Fall ist, und geschützte Daten wiederherstellen, bevor Sie die Benachrichtigungen löschen. "Erfahren Sie mehr darüber, wie Sie nach einem Ransomware-Angriff wiederherstellen können".

Hinweis Wenn Sie ein gesamtes Volume wiederherstellen, müssen keine Hinweise gelöscht werden.
Bevor Sie beginnen

ARP muss im aktiven Modus ausgeführt werden.

Schritte

Sie können System Manager oder die ONTAP CLI verwenden, um auf eine anormale Aufgabe zu reagieren.

System Manager

  1. Wenn Sie eine Benachrichtigung über „abnormale Aktivität“ erhalten, folgen Sie dem Link. Wechseln Sie alternativ zur Registerkarte Sicherheit in der Übersicht Volumes.

    Warnungen werden im Fenster Übersicht des Menüs Ereignisse angezeigt.

  2. Wenn die Meldung „erkannte abnormale Volumenaktivität“ angezeigt wird, zeigen Sie die verdächtigen Dateien an.

    Wählen Sie auf der Registerkarte Sicherheit die Option vermutete Dateitypen anzeigen aus.

  3. Prüfen Sie im Dialogfeld vermutete Dateitypen jeden Dateityp und markieren Sie ihn entweder als „falsch positiv“ oder „potentieller Ransomware-Angriff“.

Wenn Sie diesen Wert ausgewählt haben…​

Führen Sie diese Aktion durch…

Falsch Positiv

Wählen Sie Update und Suspect File Types löschen, um Ihre Entscheidung zu erfassen und die normale ARP-Überwachung fortzusetzen.

Hinweis Wenn Sie ab ONTAP 9.13.1 MAV zum Schutz Ihrer ARP-Einstellungen verwenden, werden Sie durch den Clear-Suspect-Vorgang aufgefordert, die Genehmigung eines oder mehrerer zusätzlicher Administratoren einzuholen. "Die Genehmigung muss von allen Administratoren eingeholt werden" Der MAV-Genehmigungsgruppe zugeordnet oder der Vorgang schlägt fehl.

Möglicher Angriff Durch Ransomware

Reagieren Sie auf den Angriff und stellen Sie geschützte Daten wieder her. Wählen Sie dann Update und Suspect File Types löschen, um Ihre Entscheidung aufzuzeichnen und die normale ARP-Überwachung fortzusetzen. Es gibt keine verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben.
CLI

  1. Wenn Sie eine Benachrichtigung über einen vermuteten Ransomware-Angriff erhalten, überprüfen Sie die Zeit und den Schweregrad des Angriffs:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Probenausgabe:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    Sie können auch EMS-Nachrichten überprüfen:

    event log show -message-name callhome.arw.activity.seen

  2. Erstellen Sie einen Angriffsbericht, und notieren Sie den Ausgabeland:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Probenausgabe:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Zeigt den Bericht auf einem Administrator-Client-System an. Beispiel:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. Nehmen Sie eine der folgenden Aktionen auf Grundlage Ihrer Bewertung der Dateiendungen:

    • Falsch positiv

      Geben Sie den folgenden Befehl ein, um Ihre Entscheidung aufzuzeichnen, die neue Erweiterung zur Liste der zulässigen hinzuzufügen und die normale Anti-Ransomware-Überwachung fortzusetzen:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
      [-seq-no integer] Sequenznummer der Datei in der Liste Verdächtiger.
      [-extension text, … ] Dateierweiterungen
      [-start-time date_time -end-time date_time] Start- und Endzeiten für den zu lötenden Dateibereich im Format „MM/TT/JJJJ HH:MM:SS“.

    • Möglicher Ransomware-Angriff

      Reagieren Sie auf den Angriff und "Wiederherstellen von Daten aus dem ARP-erstellten Backup-Snapshot". Nachdem die Daten wiederhergestellt wurden, geben Sie den folgenden Befehl ein, um Ihre Entscheidung zu notieren und die normale ARP-Überwachung fortzusetzen:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Verwenden Sie einen der folgenden Parameter, um die Erweiterungen zu identifizieren:
      [-seq-no integer] Sequenznummer der Datei in der Liste Verdächtige
      [-extension text, … ] Dateierweiterung
      [-start-time date_time -end-time date_time] Start- und Endzeiten für den Bereich der zu lötenden Dateien, im Format "MM/TT/JJJJ HH:MM:SS".

    Es gibt keine verdächtigen Dateitypen, die gelöscht werden müssen, wenn Sie ein ganzes Volume wiederhergestellt haben. Der von ARP erstellte Backup-Snapshot wird entfernt und der Angriffsbericht wird gelöscht.

  5. Wenn Sie MAV verwenden und für einen erwarteten clear-suspect Vorgang zusätzliche Genehmigungen erforderlich sind, muss jeder Genehmiger der MAV-Gruppe:

    1. Anfrage anzeigen:

      security multi-admin-verify request show

    2. Genehmigen Sie die Anforderung, das normale Anti-Ransomware-Monitoring fortzusetzen:

      security multi-admin-verify request approve -index[number returned from show request]

    Die Antwort für den letzten Gruppengenehmiger zeigt an, dass das Volume geändert und ein false positive aufgezeichnet wurde.

  6. Wenn Sie MAV verwenden und ein Genehmiger der MAV-Gruppe sind, können Sie auch eine eindeutige Anforderung ablehnen:

    security multi-admin-verify request veto -index[number returned from show request]

Weitere Informationen