Restaura los datos de las instantáneas ARP de ONTAP después de un ataque de ransomware
Sugerir cambios
PDF
La Protección Autónoma contra Ransomware (ARP) crea instantáneas para protegerse contra una posible amenaza de ransomware. Puede usar una de estas instantáneas de ARP u otra instantánea de su volumen para restaurar los datos.
El ARP crea instantáneas con uno de los siguientes nombres antepuestos:
-
Anti_ransomware_periodic_backup: Se utiliza en ONTAP 9.17.1 y versiones posteriores para instantáneas creadas a intervalos regulares. Por ejemplo,Anti_ransomware_periodic_backup.2025-06-01_1248. -
Anti_ransomware_attack_backup:Se utiliza en ONTAP 9.17.1 y versiones posteriores para instantáneas creadas en respuesta a anomalías. Por ejemplo,Anti_ransomware_attack_backup.2025-08-25_1248. -
Anti_ransomware_backup: Se utiliza en ONTAP 9.16.1 y versiones anteriores con instantáneas creadas en respuesta a anomalías. Por ejemplo,Anti_ransomware_backup.2022-12-20_1248.
Para restaurar desde una instantánea distinta a la Anti_ransomware Instantánea después de identificar un ataque al sistema, primero debe publicar la instantánea ARP.
Si no se informa de ningún ataque al sistema, primero debe restaurar desde el Anti_ransomware instantánea y luego complete una restauración posterior del volumen a partir de la instantánea que elija.
Más información sobre las relaciones SnapMirror y las instantáneas ARP
Si el volumen protegido por ARP forma parte de una relación SnapMirror , deberá actualizar manualmente todas las copias reflejadas del volumen después de restaurarlo desde una instantánea. Si omite este paso, las copias reflejadas podrían quedar inutilizables y será necesario eliminarlas y volver a crearlas.
Si el volumen protegido por ARP forma parte de una relación síncrona de SnapMirror o de sincronización activa de SnapMirror en ONTAP 9.19.1 RC, se aplican consideraciones de recuperación adicionales:
-
Las instantáneas ARP se crean y conservan solo en el volumen primario. No se replican en el volumen secundario como parte de SnapMirror synchronous o SnapMirror active sync.
-
El estado de habilitación de ARP no se replica durante la conmutación por error. Necesitas "habilitar ARP de nuevo" en el volumen de recuperación después de la conmutación por error.
-
La restauración a nivel de volumen (
volume snapshot restore) en volúmenes SnapMirror síncronos o SnapMirror active sync podría requerir que temporalmente pongas en pausa o rompas la relación SnapMirror síncrona o SnapMirror active sync. -
En muchos casos, puedes evitar romper SnapMirror synchronous o SnapMirror active sync usando FlexClone u operaciones de restauración a nivel de archivo desde ARP u otras instantáneas en el volumen primario.
"Debes marcar el ataque como un posible ataque de ransomware" antes de restaurar datos desde una instantánea.
Puede usar System Manager o la interfaz de línea de comandos de ONTAP para restaurar los datos.
-
Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar desde una instantánea anterior, primero debe liberar el bloqueo en la instantánea ARP.
-
Seleccione almacenamiento > volúmenes.
-
Seleccione Seguridad y luego Ver tipos de archivos sospechosos.
-
Marque los archivos como «posible ataque de ransomware».
-
Seleccione Actualizar y Borrar tipos de archivos sospechosos.
-
-
Mostrar las instantáneas en los volúmenes:
Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.
-
Seleccione
junto a la instantánea que desea restaurar y luego Restaurar.Si el volumen forma parte de una relación SAN SnapMirror synchronous o SnapMirror active sync en ONTAP 9.19.1 RC y planeas realizar una restauración a nivel de volumen, sigue la documentación de SnapMirror synchronous o SnapMirror active sync para poner en estado de quiesce o "romper la relación de protección" antes de iniciar la restauración, y luego restablece la protección después de que la restauración haya finalizado.
-
Mostrar las instantáneas en los volúmenes:
Selecciona Almacenamiento > Volúmenes y, a continuación, selecciona el volumen y Copias instantáneas.
-
Seleccionar
Luego elige el Anti_ransomwareinstantánea. -
Seleccione Restaurar.
-
Vuelva al menú Copias de instantánea y, a continuación, elija la instantánea que desea utilizar. Seleccione Restaurar.
Para restaurar desde la instantánea ARP, vaya al paso dos. Para restaurar datos de instantáneas anteriores, debe liberar el bloqueo en la instantánea ARP.
|
Sólo es necesario liberar el anti-ransomware SnapLock antes de restaurar desde instantáneas anteriores si estás utilizando el comando volume snapshot restore como se indica a continuación. Si estás restaurando datos usando FlexClone, SnapRestore de archivo único u otros métodos, esto no es necesario.
|
-
Marcar el ataque como un posible ataque de ransomware (
-false-positive false) y borrar archivos sospechosos (clear-suspect):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive falseUtilice uno de los siguientes parámetros para identificar las extensiones:
-
[-seq-no integer]:Número de secuencia del archivo en la lista de sospechosos. -
[-extension text, … ]: Extensiones de archivo -
[-start-time date_time -end-time date_time]:Horas de inicio y finalización para el rango de archivos que se borrarán, en el formato "MM/DD/AAAA HH:MM:SS".
-
-
Si el volumen forma parte de una relación SAN SnapMirror synchronous o SnapMirror active sync en ONTAP 9.19.1 RC y tienes pensado realizar una restauración a nivel de volumen con
volume snapshot restore, realiza quiesce o "romper la relación SnapMirror synchronous o SnapMirror active sync" según la documentación de SnapMirror synchronous o SnapMirror active sync antes de ejecutar la operación de restauración. -
Enumere las snapshots en un volumen:
volume snapshot show -vserver <SVM> -volume <volume>El siguiente ejemplo muestra la snapshot en
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Restaure el contenido de un volumen a partir de una copia de Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>El siguiente ejemplo restaura el contenido de
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Enumere las snapshots en un volumen:
volume snapshot show -vserver <SVM> -volume <volume>El siguiente ejemplo muestra la snapshot en
vol1:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Restaure el contenido de un volumen a partir de una copia de Snapshot:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>El siguiente ejemplo restaura el contenido de
vol1:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Obtenga más información sobre volume snapshot en el "Referencia de comandos del ONTAP".