Responda a actividades anormales
Sugerir cambios
PDF
Cuando la protección de ransomware autónoma (ARP) detecta actividad anormal en un volumen protegido, emite una advertencia. Debe evaluar la notificación para determinar si la actividad es aceptable (falso positivo) o si un ataque parece malicioso.
ARP muestra una lista de archivos sospechosos cuando detecta cualquier combinación de alta entropía de datos, actividad de volumen anormal con cifrado de datos y extensiones de archivo inusuales.
Cuando se emita la advertencia, responda designando la actividad del archivo de una de las dos formas siguientes:
-
Falso positivo
Se espera el tipo de archivo identificado en la carga de trabajo y se puede ignorar.
-
* Potencial ataque de ransomware*
El tipo de archivo identificado no es esperado en su carga de trabajo y debe tratarse como un ataque potencial.
En ambos casos, la monitorización normal se reanuda después de actualizar y borrar los avisos. ARP registra su evaluación en el perfil de evaluación de amenazas, utilizando su elección para supervisar las actividades de archivo posteriores.
En caso de sospecha de un ataque, debes determinar si se trata de un ataque, responder a él si es así y restaurar los datos protegidos antes de borrar los avisos. "Obtenga más información sobre cómo recuperarse de un ataque de ransomware".
|
Si restaura un volumen completo, no hay avisos que borrar. |
ARP debe estar ejecutándose en modo activo.
Puede usar System Manager o la interfaz de línea de comandos de ONTAP para responder a una tarea anormal.
-
Cuando recibas una notificación de actividad anormal, sigue el enlace. Alternativamente, navega a la pestaña Seguridad de la vista general Volúmenes.
Las advertencias se muestran en el panel Overview del menú Events.
-
Cuando aparezca un mensaje que indica que se ha detectado una actividad de volumen anormal, visualice los archivos sospechosos.
En la pestaña Seguridad, selecciona Ver tipos de archivos sospechosos.
-
En el cuadro de diálogo Tipos de archivos sospechosos, examine cada tipo de archivo y márquelo como “Falso positivo” o “Potencial ataque de ransomware”.
Si seleccionó este valor… |
Realice esta acción… |
||
Falso positivo |
Seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión y reanudar el monitoreo normal de ARP.
|
||
Posible ataque de ransomware |
Responda al ataque y restaure datos protegidos. A continuación, seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión y reanudar el monitoreo ARP normal. |
-
Cuando reciba una notificación de un ataque de ransomware sospechoso, compruebe la hora y la gravedad del ataque:
security anti-ransomware volume show -vserver svm_name -volume vol_nameSalida de muestra:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
También puede comprobar los mensajes de EMS:
event log show -message-name callhome.arw.activity.seen -
Generar un informe de ataque y anotar la ubicación de salida:
security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/Salida de muestra:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/" -
Ver el informe en un sistema cliente de administración. Por ejemplo:
[root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08 19 "9/14/2021 01:03:23" test_dir_1/test_file_1.jpg.lckd 20 "9/14/2021 01:03:46" test_dir_2/test_file_2.jpg.lckd 21 "9/14/2021 01:03:46" test_dir_3/test_file_3.png.lckd`
-
Realice una de las siguientes acciones en función de su evaluación de las extensiones de archivo:
-
Falso positivo
Introduzca el siguiente comando para registrar su decisión, agregando la nueva extensión a la lista de los permitidos y reanudar la supervisión anti-ransomware normal:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive trueUtilice uno de los siguientes parámetros para identificar las extensiones:
[-seq-no integer]Número de secuencia del archivo en la lista de sospechosos.
[-extension text, … ]Extensiones de archivo
[-start-time date_time -end-time date_time]Horas de inicio y finalización del intervalo de archivos que se van a borrar, con el formato "MM/DD/AAAA HH:MM:SS". -
Ataque potencial de ransomware
Responda al ataque y. "Recupere los datos de la instantánea de backup creada por ARP". Después de recuperar los datos, introduzca el siguiente comando para registrar su decisión y reanudar la supervisión normal de ARP:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive falseUtilice uno de los siguientes parámetros para identificar las extensiones:
[-seq-no integer]Número de secuencia del archivo en la lista de sospechosos
[-extension text, … ]Extensión de archivo
[-start-time date_time -end-time date_time]Horas de inicio y finalización del intervalo de archivos que se van a borrar, con el formato "MM/DD/AAAA HH:MM:SS".
No hay ningún tipo de archivo sospechoso que borrar si se restaura un volumen completo. Se eliminará la instantánea de copia de seguridad creada por ARP y se borrará el informe de ataque.
-
-
Si está utilizando MAV y se espera
clear-suspectLa operación necesita aprobaciones adicionales, cada aprobador del grupo MAV debe:-
Mostrar la solicitud:
security multi-admin-verify request show -
Apruebe la solicitud para reanudar la supervisión normal antiransomware:
security multi-admin-verify request approve -index[number returned from show request]
La respuesta del último aprobador de grupo indica que el volumen se ha modificado y se registra un falso positivo.
-
-
Si está utilizando MAV y es un aprobador de grupo MAV, también puede rechazar una solicitud clara sospechosa:
security multi-admin-verify request veto -index[number returned from show request]