Responda a actividades anormales
Cuando la protección de ransomware autónoma (ARP) detecta actividad anormal en un volumen protegido, emite una advertencia. Debe evaluar la notificación para determinar si la actividad es aceptable (falso positivo) o si un ataque parece malicioso. Después de categorizar el ataque, puede borrar la advertencia y los avisos sobre archivos sospechosos.
Cuando ONTAP detecta una anomalía, también crea "Una instantánea ARP" el volumen para crear el mejor punto de recuperación. De forma predeterminada, las instantáneas de ARP se retienen de dos a cinco días.
Cuando categoriza un ataque, estas instantáneas ARP se eliminan instantáneamente (ONTAP 9.15.1 y anteriores) o se conservan durante un período abreviado iniciado por la operación de categorización (ONTAP 9.16.1 y posteriores).
A partir de ONTAP 9.11.1, se puede modificar configuración de retenciónel para las snapshots de ARP. |
ARP muestra una lista de archivos sospechosos cuando detecta cualquier combinación de alta entropía de datos, actividad de volumen anormal con cifrado de datos y extensiones de archivo inusuales.
Cuando se emite la advertencia ARP, responda designando la actividad del archivo de una de las dos formas siguientes:
-
Falso positivo
Se espera el tipo de archivo identificado en la carga de trabajo y se puede ignorar.
-
* Potencial ataque de ransomware*
El tipo de archivo identificado no es esperado en su carga de trabajo y debe tratarse como un ataque potencial.
En ambos casos, la monitorización normal se reanuda después de actualizar y borrar los avisos. ARP registra su evaluación en el perfil de evaluación de amenazas, utilizando su elección para supervisar las actividades de archivo posteriores.
En caso de sospecha de un ataque, debes determinar si se trata de un ataque, responder a él si es así y restaurar los datos protegidos antes de borrar los avisos. "Obtenga más información sobre cómo recuperarse de un ataque de ransomware".
Si restaura un volumen completo, no hay avisos que borrar. |
ARP debe estar ejecutándose en modo activo.
Puede usar System Manager o la interfaz de línea de comandos de ONTAP para responder a una actividad anormal.
-
Cuando recibas una notificación de actividad anormal, sigue el enlace. Alternativamente, navega a la pestaña Seguridad de la vista general Volúmenes.
Las advertencias se muestran en el panel Overview del menú Events.
-
Cuando aparezca un mensaje sobre la detección de actividad de volumen anormal, vea los tipos de archivo sospechosos.
En la pestaña Seguridad, seleccione la opción para revisar los tipos de archivos sospechosos.
-
En el cuadro de diálogo Tipos de archivos sospechosos, examine cada tipo de archivo y márquelo como “Falso positivo” o “Potencial ataque de ransomware”.
Si seleccionó este valor…
Realice esta acción…
Falso positivo
-
Seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión.
A partir de ONTAP 9.13.1, si está utilizando MAV para proteger su configuración ARP, la operación claramente sospechosa le solicita que obtenga la aprobación de uno o más administradores adicionales. "La aprobación debe recibirse de todos los administradores" Asociado al grupo de aprobación MAV o la operación fallará. Esta acción borra los avisos de advertencia sobre archivos sospechosos. A continuación, ARP reanuda la monitorización normal del volumen. Para ONTAP 9.15.1 y versiones anteriores, después de borrar los tipos de archivos sospechosos, las instantáneas ARP se eliminan automáticamente. Para ARP/AI en ONTAP 9.16.1 y versiones posteriores, las instantáneas ARP se eliminan automáticamente después de un período de retención abreviado activado por la operación de categorización.
Posible ataque de ransomware
-
Responder al ataque y "restaure los datos protegidos".
-
Seleccione Actualizar y Borrar tipos de archivos sospechosos para registrar su decisión y reanudar el monitoreo normal de ARP.
Esta acción borra el informe de ataque. No existen avisos sospechosos de tipo de archivo que borrar si restauró un volumen completo. Para ONTAP 9.15.1 y versiones anteriores, después de restaurar un volumen, las snapshots de ARP se eliminan automáticamente. Para ARP/AI en ONTAP 9.16.1 y versiones posteriores, las instantáneas ARP se eliminan automáticamente después de un período de retención abreviado activado por la operación de categorización.
-
-
Cuando reciba una notificación de un ataque de ransomware sospechoso, compruebe la hora y la gravedad del ataque:
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>
Salida de muestra:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
También puede comprobar los mensajes de EMS:
event log show -message-name callhome.arw.activity.seen
-
Generar un informe de ataque y anotar la ubicación de salida:
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name:]vol_name/[sub-dir-name]>`
Comando de ejemplo:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
Salida de muestra:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
Ver el informe en un sistema cliente de administración. Por ejemplo:
cat report_file_vs0_vol1_14-09-2021_01-21-08
-
Realice una de las siguientes acciones en función de su evaluación de las extensiones de archivo:
-
Falso positivo
Ejecute el siguiente comando para registrar su decisión, agregando la nueva extensión a la lista de los permitidos, y reanude la supervisión normal de la protección autónoma contra ransomware:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive true
Utilice el siguiente parámetro opcional para identificar sólo extensiones específicas como falsos positivos:
-
[-extension <text>, … ]
: Extensiones de archivoEsta
clear-suspect
operación borra los avisos de advertencia sobre archivos sospechosos. A continuación, ARP reanuda la monitorización normal del volumen. Para ONTAP 9.15.1 y versiones anteriores, después de borrar los tipos de archivos sospechosos, las instantáneas ARP se eliminan automáticamente. Para ARP/AI en ONTAP 9.16.1 y versiones posteriores, las instantáneas ARP se eliminan automáticamente después de un período de retención abreviado activado por la operación de categorización.
-
-
Ataque potencial de ransomware
Responder al ataque y "Recupere los datos de la instantánea de backup creada por ARP". Después de recuperar los datos, ejecute el siguiente comando para registrar su decisión y reanudar la supervisión normal de ARP:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false
Utilice el siguiente parámetro opcional para identificar solo extensiones específicas como posible ransomware:
-
[-extension <text>, … ]
: Extensión de archivo`clear-suspect`Esta operación borra el informe de ataque. No existen avisos sospechosos de tipo de archivo que borrar si restauró un volumen completo. Para ONTAP 9.15.1 y versiones anteriores, después de restaurar un volumen, las snapshots de ARP se eliminan automáticamente. Para ARP/AI en ONTAP 9.16.1 y versiones posteriores, las instantáneas ARP se eliminan automáticamente después de un período de retención abreviado activado por la operación de categorización.
-
-
-
Si está utilizando MAV y se espera
clear-suspect
La operación necesita aprobaciones adicionales, cada aprobador del grupo MAV debe:-
Mostrar la solicitud:
security multi-admin-verify request show
-
Apruebe la solicitud para reanudar la supervisión normal antiransomware:
security multi-admin-verify request approve -index[<number returned from show request>]
La respuesta del último aprobador de grupo indica que el volumen se ha modificado y se registra un falso positivo.
-
-
Si está utilizando MAV y es un aprobador de grupo MAV, también puede rechazar una solicitud clara sospechosa:
security multi-admin-verify request veto -index[<number returned from show request>]