Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Responda a actividades anormales

Colaboradores
PDF

Cuando la protección de ransomware autónoma (ARP) detecta actividad anormal en un volumen protegido, emite una advertencia. Debe evaluar la notificación para determinar si la actividad es aceptable (falso positivo) o si un ataque parece malicioso.

Acerca de esta tarea

ARP muestra una lista de archivos sospechosos cuando detecta cualquier combinación de alta entropía de datos, actividad de volumen anormal con cifrado de datos y extensiones de archivo inusuales.

Cuando se emite la advertencia, puede responder marcando la actividad de archivo de dos maneras:

  • Falso positivo

    Se espera el tipo de archivo identificado en la carga de trabajo y se puede ignorar.

  • Potencial ataque de ransomware

    El tipo de archivo identificado no es esperado en su carga de trabajo y debe tratarse como un ataque potencial.

En ambos casos, la monitorización normal se reanuda después de actualizar y borrar los avisos. ARP registra su evaluación en el perfil de evaluación de amenazas, utilizando su elección para supervisar las actividades de archivo posteriores.

En caso de sospecha de un ataque, debes determinar si se trata de un ataque, responder a él si es así y restaurar los datos protegidos antes de borrar los avisos. "Obtenga más información sobre cómo recuperarse de un ataque de ransomware".

Nota Si restaura un volumen completo, no hay avisos que borrar.
Antes de empezar

ARP debe estar ejecutándose en modo activo.

Pasos

Puede usar System Manager o la interfaz de línea de comandos de ONTAP para responder a una tarea anormal.

System Manager

  1. Cuando recibas una notificación de “actividad anormal”, sigue el enlace o navega a la pestaña Seguridad de la descripción general de Volúmenes.

    Las advertencias se muestran en el panel Overview del menú Events.

  2. Cuando aparezca un mensaje de “actividad de volumen anormal detectada”, consulte los archivos sospechosos.

    En la pestaña Seguridad, selecciona Ver tipos de archivos sospechosos.

  3. En el cuadro de diálogo tipos de archivo sospechosos, examine cada tipo de archivo y márquelo como “falso positivo” o “ataque potencial de ransomware”.

Si seleccionó este valor…​

Realice esta acción…

Falso positivo

Seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión y reanudar el monitoreo normal de ARP.

Nota A partir de ONTAP 9.13.1, si está utilizando MAV para proteger su configuración ARP, la operación claramente sospechosa le solicita que obtenga la aprobación de uno o más administradores adicionales. "La aprobación debe recibirse de todos los administradores" Asociado al grupo de aprobación MAV o la operación fallará.

Posible ataque de ransomware

Responda al ataque y restaure datos protegidos. A continuación, seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión y reanudar el monitoreo ARP normal.
No hay ningún tipo de archivo sospechoso que borrar si se restaura un volumen completo.
CLI

  1. Cuando reciba una notificación de un ataque de ransomware sospechoso, compruebe la hora y la gravedad del ataque:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Salida de muestra:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    También puede comprobar los mensajes de EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Generar un informe de ataque y anotar la ubicación de salida:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Salida de muestra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Ver el informe en un sistema cliente de administración. Por ejemplo:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. Realice una de las siguientes acciones en función de su evaluación de las extensiones de archivo:

    • Falso positivo

      Introduzca el siguiente comando para registrar su decisión, agregando la nueva extensión a la lista de los permitidos y reanudar la supervisión anti-ransomware normal:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Utilice uno de los siguientes parámetros para identificar las extensiones:
      [-seq-no integer] Número de secuencia del archivo en la lista de sospechosos.
      [-extension text, … ] Extensiones de archivo
      [-start-time date_time -end-time date_time] Horas de inicio y finalización del intervalo de archivos que se van a borrar, con el formato "MM/DD/AAAA HH:MM:SS".

    • Ataque potencial de ransomware

      Responda al ataque y. "Recupere los datos de la instantánea de backup creada por ARP". Después de recuperar los datos, introduzca el siguiente comando para registrar su decisión y reanudar la supervisión normal de ARP:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Utilice uno de los siguientes parámetros para identificar las extensiones:
      [-seq-no integer] Número de secuencia del archivo en la lista de sospechosos
      [-extension text, … ] Extensión de archivo
      [-start-time date_time -end-time date_time] Horas de inicio y finalización del intervalo de archivos que se van a borrar, con el formato "MM/DD/AAAA HH:MM:SS".

    No hay ningún tipo de archivo sospechoso que borrar si se restaura un volumen completo. Se eliminará la instantánea de copia de seguridad creada por ARP y se borrará el informe de ataque.

  5. Si está utilizando MAV y se espera clear-suspect La operación necesita aprobaciones adicionales, cada aprobador del grupo MAV hace lo siguiente:

    1. Mostrar la solicitud:

      security multi-admin-verify request show

    2. Apruebe la solicitud para reanudar la supervisión normal antiransomware:

      security multi-admin-verify request approve -index[number returned from show request]

    La respuesta del último aprobador de grupo indica que el volumen se ha modificado y se registra un falso positivo.

  6. Si está utilizando MAV y es un aprobador de grupo MAV, también puede rechazar una solicitud clara sospechosa:

    security multi-admin-verify request veto -index[number returned from show request]

Más información