Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Responder a la actividad anormal detectada por ONTAP ARP

Colaboradores netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Cuando Autonomous Ransomware Protection (ARP) detecta actividad anormal en un volumen protegido, emite una advertencia. Debes evaluar la notificación para determinar si la actividad es aceptable (falso positivo) o si parece un ataque malicioso. Después de categorizar el ataque, puedes borrar la advertencia y las notificaciones sobre actividad anormal.

Cuando categorizas un ataque, las instantáneas ARP se conservan durante un periodo abreviado iniciado por la operación de categorización (ONTAP 9.16.1 y posteriores), o se eliminan instantáneamente cuando borras el evento sospechoso (ONTAP 9.15.1 y anteriores).

Nota A partir de ONTAP 9.11.1, puede modificar el "configuración de retención" para instantáneas ARP.
Acerca de esta tarea

Para volúmenes NAS, ARP muestra una lista de archivos sospechosos cuando detecta cualquier combinación de alta entropía de datos, actividad anormal del volumen con cifrado de datos y extensiones de archivo inusuales.

Desde ONTAP 9.17.1:

  • Para volúmenes NAS: ARP sigue proporcionando archivos sospechosos y tipos de archivo.

  • Para volúmenes SAN (volúmenes que contienen LUNs o espacios de nombres NVMe): ARP evalúa la entropía a nivel de volumen solamente. ONTAP no ve archivos individuales dentro del LUN o espacio de nombres, así que las listas de archivos sospechosos y los tipos de archivos no están disponibles. En su lugar, ARP informa picos a nivel de volumen en el porcentaje de cifrado (picos de entropía).

Los detalles de los picos de entropía de los volúmenes NAS y SAN se notifican en la página Anti-ransomware de System Manager.

Cuando se emite una notificación de advertencia de ARP, responda designando la actividad de una de dos maneras:

  • Falso positivo

    Se espera que el tipo de archivo identificado o el pico de entropía se produzcan en su carga de trabajo y se pueden ignorar.

  • * Potencial ataque de ransomware*

    El tipo de archivo identificado o el pico de entropía es inesperado en su carga de trabajo y debe tratarse como un ataque potencial.

La supervisión normal se reanuda después de actualizar su decisión y borrar las notificaciones de ARP. ARP registra su evaluación en el perfil de evaluación de amenazas y utiliza su decisión para supervisar las actividades posteriores de los archivos.

En caso de sospecha de ataque, debes determinar si realmente es un ataque, responder si lo es y luego borrar las notificaciones y restaurar los datos en el orden que requiera tu método de recuperación y la versión de ONTAP. "Obtenga más información sobre cómo recuperarse de un ataque de ransomware".

Antes de empezar

ARP debe estar protegiendo activamente un volumen y no en modo de aprendizaje o evaluación.

Pasos

Sigue estos pasos cuando necesites clasificar una actividad anormal:

  1. Revisar los detalles de la actividad anormal

  2. Entiende el comportamiento de las instantáneas y las aprobaciones cuando borras un evento sospechoso

  3. Debe realizar una de las siguientes acciones:

Si necesitas restaurar datos, seguirás los pasos indicados en "Restaura los datos de las instantáneas ARP de ONTAP después de un ataque de ransomware".

Revisar los detalles de la actividad anormal

Puedes usar System Manager o la CLI de ONTAP para revisar los detalles de la advertencia ARP antes de elegir un flujo de respuesta.

System Manager

  1. Cuando recibas una notificación de "actividad anormal", sigue el enlace. O bien, ve a Storage > Volumes, busca un volumen afectado y selecciona la pestaña Security.

    Las advertencias se muestran en el panel Overview del menú Events del panel de control de System Manager.

  2. En la pestaña Seguridad, revisa los detalles de la actividad anormal:

    • Para volúmenes NAS, revisa el informe Tipos de archivo sospechosos. Un cuadro de diálogo Tipos de archivo sospechosos muestra las extensiones de archivo y los recuentos de archivos que ARP ha identificado.

    • Tanto para volúmenes NAS como SAN, revisa el informe de picos de entropía, que muestra la ventana de tiempo, la duración, la cantidad de datos escritos y los valores de entropía.

CLI

  1. Cuando reciba una notificación de un ataque de ransomware sospechoso, compruebe la hora y la gravedad del ataque:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Salida de muestra:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    También puede comprobar los mensajes de EMS:

    event log show -message-name callhome.arw.activity.seen

  2. (Opcional, NAS y SAN) Ver los picos de entropía recientes detectados en el volumen:

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    Este comando resume las ventanas de tiempo en las que ONTAP detectó un alto porcentaje de cifrado (pico de entropía). Se aplica tanto a volúmenes NAS como SAN.

  3. (Opcional) Ve un histograma del porcentaje de cifrado a lo largo del tiempo:

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

Entiende el comportamiento de las instantáneas y las aprobaciones cuando borras un evento sospechoso

  • Para volume snapshot restore en ONTAP 9.16.1 y versiones posteriores, primero borra el evento sospechoso y luego realiza la restauración. Después de borrar los archivos sospechosos, las instantáneas de ARP se conservan según cómo clasifiques la actividad: 7 días (por defecto) si marcas la actividad como un posible ataque de ransomware, o 24 horas si la marcas como un falso positivo. Borrar primero no elimina tu objetivo de restauración. Además, la opción clear-suspect deja de estar disponible después de una restauración de volumen, así que debes borrar antes de restaurar.

  • Para volume snapshot restore en ONTAP 9.15.1 y versiones anteriores, realiza primero la restauración y luego borra el evento sospechoso. Las instantáneas de ARP se eliminan inmediatamente cuando borras los archivos sospechosos, así que debes completar la restauración antes de borrar para evitar perder la instantánea antes de que se pueda ejecutar la operación de restauración.

  • Para métodos de recuperación distintos de volume snapshot restore (por ejemplo, FlexClone o SnapRestore de archivo único), realiza primero la recuperación de datos y luego borra el evento sospechoso. Estos métodos no afectan la disponibilidad de la opción clear-suspect.

  • A partir de ONTAP 9.13.1, si usas MAV para proteger la configuración de ARP, la clear-suspect operación puede requerir aprobaciones adicionales. "La aprobación debe recibirse de todos los administradores" asociadas al grupo de aprobaciones MAV o la operación fallará.

Clasificar como falso positivo y reanudar el monitoreo

Usa este flujo cuando el tipo de archivo identificado o el pico de entropía sea esperado para la carga de trabajo.

System Manager

  1. Graba tu respuesta:

    • Para los avisos de tipo de archivo NAS, elige los archivos afectados, selecciona Marcar como falso positivo y luego elige Actualizar y borrar tipos de archivo sospechosos.

    • Para los picos de entropía (NAS y SAN), selecciona Marcar como falso positivo y luego selecciona Guardar y descartar.

Estas acciones eliminan los avisos de advertencia sobre archivos sospechosos (NAS) o actividad anormal (NAS y SAN). ARP luego reanuda la supervisión normal del volumen.

CLI

  1. Ejecute uno de los siguientes comandos para registrar su decisión y reanudar la supervisión normal de Autonomous Ransomware Protection:

    • Para extensiones de archivo NAS:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      Usa el siguiente parámetro opcional para identificar solo extensiones específicas como falsos positivos: [-extension <text>, …​ ]

    • Para picos de entropía (NAS y SAN):

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      Para los volúmenes SAN, esta es la única forma admitida para categorizar la actividad anormal; no hay listas de archivos sospechosos ni extensiones de archivos.

  2. A partir de ONTAP 9.18.1, puedes determinar el estado de la operación clear-suspect:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Clasificar como posible ataque de ransomware y recuperar datos

Usa este flujo cuando el tipo de archivo identificado o el pico de entropía sea inesperado para la carga de trabajo.

System Manager

  1. Clasifica la actividad:

    • Para las advertencias sobre el tipo de archivo NAS, marca los archivos seleccionados como Potencial ataque de ransomware.

    • Para los picos de entropía (NAS y SAN), selecciona Mark as potential ransomware attack.

  2. Antes de recuperar los datos, debes tener en cuenta tu "opciones del método de recuperación". Luego, haz una de las siguientes cosas:

    • Si tienes previsto restaurar un volumen con ONTAP 9.16.1 y posteriores: Borra las notificaciones y luego restaura el volumen:

      1. Avisos claros para el ataque potencial:

        • Para los avisos de tipo de archivo NAS, selecciona Actualizar y borrar tipos de archivo sospechosos.

        • Para los picos de entropía (NAS y SAN), selecciona Guardar y descartar.

          Nota Después de borrar los archivos sospechosos, la instantánea ARP se conserva durante 7 días (por defecto). Si necesitas más tiempo para la recuperación de datos, "ajustar la configuración de instantáneas ARP" para aumentar el tiempo de retención de la instantánea al valor que desees. Cuando termines la recuperación de datos, puedes disminuir el tiempo de retención.

      2. Recupera datos mediante "la instantánea ARP más reciente o una instantánea anterior".

    • Si tienes previsto restaurar un volumen con ONTAP 9.15.1 y versiones anteriores: Restaura el volumen y luego borra las notificaciones:

      1. Recupera datos mediante "la instantánea ARP más reciente o una instantánea anterior".

      2. Finaliza la categorización tras la restauración de datos para reanudar la supervisión normal de ARP:

        • Para los avisos de tipo de archivo NAS, selecciona Actualizar y borrar tipos de archivo sospechosos.

        • Para los picos de entropía (NAS y SAN), selecciona Guardar y descartar.

    • Si piensas utilizar otro método de restauración: Restaura primero los datos y luego borra las notificaciones:

      1. "Recupera datos usando FlexClone o SnapRestore de archivo único".

      2. Finaliza la categorización tras la restauración de datos para reanudar la supervisión normal de ARP:

        • Para los avisos de tipo de archivo NAS, selecciona Actualizar y borrar tipos de archivo sospechosos.

        • Para los picos de entropía (NAS y SAN), selecciona Guardar y descartar.

          Nota Al registrar tu decisión se borra el informe de ataque.
CLI

  1. (Sólo volúmenes NAS) Crea un informe de ataque:

    1. Genera un informe de ataque y especifica dónde guardarlo.

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      Comando de ejemplo:

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      Salida de muestra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. Ver el informe en un sistema cliente de administración. Por ejemplo:

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      Nota Este comando no es compatible con volúmenes que contienen LUN o espacios de nombres NVMe (cargas de trabajo SAN).

  2. Elige un "método de recuperación". Luego haz una de las siguientes cosas:

    • Si planeas usar volume snapshot restore: Sigue la secuencia específica de la versión:

      • ONTAP 9.16.1 y posteriores: Borra primero el ataque y luego ejecuta volume snapshot restore:

        1. Ejecuta uno de los siguientes comandos para borrar los archivos sospechosos:

          • Para extensiones de archivo NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Usa el siguiente parámetro opcional para identificar solo extensiones específicas como posible ransomware: [-extension <text>, …​ ]

          • Para picos de entropía (NAS y SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Para volúmenes SAN, usa este comando para confirmar el ataque antes de la recuperación. Esto actualiza la evaluación de amenazas ARP para la carga de trabajo SAN.

        2. Recupera datos usando "una instantánea ARP reciente o una instantánea anterior".

      • ONTAP 9.15.1 y anteriores: Ejecuta volume snapshot restore primero y luego borra el ataque:

        1. Recupera datos usando "una instantánea ARP reciente o una instantánea anterior".

        2. Ejecuta uno de los siguientes comandos para borrar los archivos sospechosos:

          • Para extensiones de archivo NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Usa el siguiente parámetro opcional para identificar solo extensiones específicas como posible ransomware: [-extension <text>, …​ ]

          • Para picos de entropía (NAS y SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Para volúmenes SAN, usa este comando para confirmar el ataque después de la recuperación. Esto actualiza la evaluación de amenazas ARP para la carga de trabajo SAN.

    • Si planeas usar otros métodos de recuperación: Restaura primero los datos y luego elimina el ataque:

      1. Recupera datos usando "FlexClone o archivo único SnapRestore".

      2. Ejecuta uno de los siguientes comandos para borrar los archivos sospechosos:

        • Para extensiones de archivo NAS:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          Usa el siguiente parámetro opcional para identificar solo extensiones específicas como posible ransomware: [-extension <text>, …​ ]

        • Para picos de entropía (NAS y SAN):

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          Para volúmenes SAN, usa este comando para confirmar el ataque después de la recuperación. Esto actualiza la evaluación de amenazas ARP para la carga de trabajo SAN.

  3. A partir de ONTAP 9.18.1, puedes determinar el estado de la operación clear-suspect:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Opciones de verificación multiadministrador

Si estás usando la verificación multiadministrador (MAV) y una operación prevista de clear-suspect necesita aprobaciones adicionales, cada aprobador del grupo MAV debe:

  1. Mostrar la solicitud:

    security multi-admin-verify request show

  2. Apruebe la solicitud para reanudar la supervisión normal antiransomware:

    security multi-admin-verify request approve -index[<number returned from show request>]

    La respuesta del último aprobador de grupo indica que el volumen se ha modificado y se registra un falso positivo.

Si está utilizando MAV y es un aprobador de grupo MAV, también puede rechazar una solicitud clara sospechosa:

security multi-admin-verify request veto -index[<number returned from show request>]
Información relacionada