Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Responder a la actividad anormal detectada por ONTAP ARP

Colaboradores netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Cuando la protección de ransomware autónoma (ARP) detecta actividad anormal en un volumen protegido, emite una advertencia. Debe evaluar la notificación para determinar si la actividad es aceptable (falso positivo) o si un ataque parece malicioso. Después de categorizar el ataque, puede borrar la advertencia y los avisos sobre archivos sospechosos.

Cuando se categoriza un ataque, las instantáneas de ARP se conservan durante un período abreviado iniciado por la operación de categorización (ONTAP 9.16.1 y posteriores) o se eliminan instantáneamente (ONTAP 9.15.1 y anteriores).

Nota A partir de ONTAP 9.11.1, puede modificar el "configuración de retención" para instantáneas ARP.
Acerca de esta tarea

ARP muestra una lista de archivos sospechosos al detectar cualquier combinación de alta entropía de datos, actividad anormal de volumen con cifrado de datos y extensiones de archivo inusuales. A partir de ONTAP 9.17.1, tanto para entornos NAS como SAN, los detalles de los picos de entropía también se informan en la página Antiransomware del Administrador del Sistema.

Cuando se emite una notificación de advertencia de ARP, responda designando la actividad de una de dos maneras:

  • Falso positivo

    Se espera que el tipo de archivo identificado o el pico de entropía se produzcan en su carga de trabajo y se pueden ignorar.

  • * Potencial ataque de ransomware*

    El tipo de archivo identificado o el pico de entropía es inesperado en su carga de trabajo y debe tratarse como un ataque potencial.

La supervisión normal se reanuda después de actualizar su decisión y borrar las notificaciones de ARP. ARP registra su evaluación en el perfil de evaluación de amenazas y utiliza su decisión para supervisar las actividades posteriores de los archivos.

En caso de sospecha de un ataque, debes determinar si se trata de un ataque, responder a él si es así y restaurar los datos protegidos antes de borrar los avisos. "Obtenga más información sobre cómo recuperarse de un ataque de ransomware".

Nota Si restaura un volumen completo, no hay avisos que borrar.
Antes de empezar

ARP debe estar protegiendo activamente un volumen y no en modo de aprendizaje o evaluación.

Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para responder a una actividad anormal.

System Manager

  1. Cuando reciba una notificación de "actividad anormal", siga el enlace. También puede ir a la pestaña Seguridad de la vista general de Volúmenes.

    Las advertencias se muestran en el panel Overview del menú Events.

  2. En la pestaña Seguridad, revise los tipos de archivos sospechosos o el informe de picos de entropía.

    • Para los archivos sospechosos, examine cada tipo de archivo en el cuadro de diálogo Tipos de archivos sospechosos y marque cada uno individualmente.

    • Para picos de entropía, examine el informe de entropía.

  3. Graba tu respuesta:

    Si selecciona este valor…​

    Realice esta acción…​

    Falso positivo

    1. Debe realizar una de las siguientes acciones:

      • Para obtener advertencias sobre el tipo de archivo, seleccione Actualizar y borrar tipos de archivos sospechosos.

      • Para picos de entropía, seleccione Marcar como falso positivo.

        Estas acciones borran las advertencias sobre archivos o actividad sospechosos. ARP reanuda la supervisión normal del volumen. En ONTAP 9.16.1 y versiones posteriores, las instantáneas de ARP se eliminan automáticamente tras un periodo de retención abreviado activado por la operación de categorización. En ONTAP 9.15.1 y versiones anteriores, las instantáneas de ARP relacionadas se eliminan automáticamente tras borrar los tipos de archivo sospechosos.

      Nota A partir de ONTAP 9.13.1, si está utilizando MAV para proteger su configuración ARP, la operación claramente sospechosa le solicita que obtenga la aprobación de uno o más administradores adicionales. "La aprobación debe recibirse de todos los administradores" Asociado al grupo de aprobación MAV o la operación fallará.

    Posible ataque de ransomware

    1. Responder al ataque:

    2. Una vez completada la restauración de datos, registre su decisión y reanude la supervisión normal de ARP:

      • Para obtener advertencias sobre el tipo de archivo, seleccione Actualizar y borrar tipos de archivos sospechosos.

      • Para picos de entropía, seleccione Marcar como posible ataque de ransomware y seleccione Guardar y descartar.

    Nota No hay avisos de tipos de archivos sospechosos que borrar si ha restaurado un volumen completo.

    Al registrar su decisión, se borra el informe de ataque. En ONTAP 9.16.1 y versiones posteriores, las instantáneas de ARP se eliminan automáticamente tras un periodo de retención abreviado activado por la operación de categorización. En ONTAP 9.15.1 y versiones anteriores, tras restaurar un volumen, las instantáneas de ARP se eliminan automáticamente.
CLI

  1. Cuando reciba una notificación de un ataque de ransomware sospechoso, compruebe la hora y la gravedad del ataque:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Salida de muestra:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    También puede comprobar los mensajes de EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Generar un informe de ataque y anotar la ubicación de salida:

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    Comando de ejemplo:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    Salida de muestra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Ver el informe en un sistema cliente de administración. Por ejemplo:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. Realice una de las siguientes acciones según su evaluación de las extensiones de archivo o los picos de entropía:

    • Falso positivo

      Ejecute uno de los siguientes comandos para registrar su decisión y reanudar la supervisión normal de Autonomous Ransomware Protection:

      • Para extensiones de archivo:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        Utilice el siguiente parámetro opcional para identificar sólo extensiones específicas como falsos positivos:

        • [-extension <text>, … ]: Extensiones de archivo

      • Para picos de entropía:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • Ataque potencial de ransomware

      Responder al ataque y "Recupere los datos de la instantánea de backup creada por ARP". Una vez recuperados los datos, ejecute uno de los siguientes comandos para registrar su decisión y reanudar la monitorización normal de ARP

      • Para extensiones de archivo:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        Utilice el siguiente parámetro opcional para identificar solo extensiones específicas como posible ransomware:

        • [-extension <text>, … ]: Extensión de archivo

      • Para picos de entropía:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    Este clear-suspect Esta operación borra el informe de ataque. No hay avisos de tipo de archivo sospechoso que borrar si se restauró un volumen completo. En ONTAP 9.16.1 y versiones posteriores, las instantáneas de ARP se eliminan automáticamente tras un periodo de retención abreviado activado por la operación de categorización. En ONTAP 9.15.1 y versiones anteriores, las instantáneas de ARP se eliminan automáticamente tras restaurar un volumen o borrar un evento sospechoso.

  5. Si utiliza MAV y una clear-suspect operación esperada necesita aprobaciones adicionales, cada aprobador de grupo MAV debe:

    1. Mostrar la solicitud:

      security multi-admin-verify request show

    2. Apruebe la solicitud para reanudar la supervisión normal antiransomware:

      security multi-admin-verify request approve -index[<number returned from show request>]

      La respuesta del último aprobador de grupo indica que el volumen se ha modificado y se registra un falso positivo.

  6. Si está utilizando MAV y es un aprobador de grupo MAV, también puede rechazar una solicitud clara sospechosa:

    security multi-admin-verify request veto -index[<number returned from show request>]
Información relacionada