Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Restaurez les données à partir des snapshots ARP ONTAP après une attaque par ransomware

Contributeurs netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

La protection autonome contre les ransomwares (ARP) crée des instantanés pour vous protéger contre une menace potentielle de ransomware. Vous pouvez utiliser l'un de ces instantanés ARP ou un autre instantané de votre volume pour restaurer vos données.

Description de la tâche

L'ARP crée des instantanés avec l'un des noms suivants ajoutés au début :

  • Anti_ransomware_periodic_backup : Utilisé dans ONTAP 9.17.1 et versions ultérieures pour les instantanés créés à intervalles réguliers. Par exemple : Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup:Utilisé dans ONTAP 9.17.1 et versions ultérieures pour les instantanés créés en réponse à des anomalies. Par exemple : Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Utilisé dans ONTAP 9.16.1 et versions antérieures avec des instantanés créés en réponse à des anomalies. Par exemple : Anti_ransomware_backup.2022-12-20_1248 .

Pour restaurer à partir d'un instantané autre que le Anti_ransomware Après l'identification d'une attaque système, vous devez d'abord libérer l'instantané ARP.

Si aucune attaque système n'est signalée, vous devez d'abord restaurer à partir du Anti_ransomware instantané, puis effectuez une restauration ultérieure du volume à partir de l'instantané que vous choisissez.

Remarque Si le volume protégé par ARP fait partie d'une relation SnapMirror , vous devrez mettre à jour manuellement toutes les copies miroir du volume après sa restauration à partir d'un snapshot. Si vous ignorez cette étape, les copies miroir risquent de devenir inutilisables et de devoir être supprimées puis recréées.
Avant de commencer

"Vous devez marquer l'attaque comme une attaque potentielle de ransomware" avant de restaurer les données à partir d'un instantané.

Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour restaurer vos données.

System Manager
Restauration après une attaque système

  1. Pour effectuer une restauration à partir de l'instantané ARP, passez à l'étape 2. Pour effectuer une restauration à partir d'un snapshot antérieur, vous devez d'abord libérer le verrou sur le snapshot ARP.

    1. Sélectionnez stockage > volumes.

    2. Sélectionnez sécurité puis Afficher les types de fichiers suspects.

    3. Marquez les fichiers comme « attaque potentielle par ransomware ».

    4. Sélectionnez mettre à jour et Effacer les types de fichiers suspects.

  2. Afficher les snapshots dans les volumes :

    Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  3. Sélectionnez Icône des options de menu en regard de l'instantané que vous souhaitez restaurer, puis Restaurer.

Restaurez si aucune attaque système n'a été identifiée

  1. Afficher les snapshots dans les volumes :

    Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  2. Sélectionner Icône des options de menu puis choisissez le Anti_ransomware instantané.

  3. Sélectionnez Restaurer.

  4. Revenez au menu copies Snapshot, puis choisissez l'instantané que vous souhaitez utiliser. Sélectionnez Restaurer.

CLI
Restauration après une attaque système

Pour effectuer une restauration à partir de l'instantané ARP, passez à l'étape 2. Pour restaurer des données à partir de snapshots antérieurs, vous devez libérer le verrou sur le snapshot ARP.

Remarque Si vous utilisez la commande décrite ci-dessous, vous devez libérer la fonctionnalité anti-ransomware SnapLock avant de restaurer les données à partir de copies Snapshot antérieures volume snapshot restore. Si vous restaurez des données à l'aide de FlexClone, de la restauration par alignement de fichier unique ou d'autres méthodes, cela n'est pas nécessaire.

  1. Marquer l'attaque comme une attaque potentielle de ransomware (-false-positive false ) et effacer les fichiers suspects (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilisez l’un des paramètres suivants pour identifier les extensions :

    • [-seq-no integer] : Numéro de séquence du fichier dans la liste des suspects.

    • [-extension text, … ] : Extensions de fichiers

    • [-start-time date_time -end-time date_time] : Heures de début et de fin de la plage de fichiers à effacer, sous la forme « MM/JJ/AAAA HH:MM:SS ».

  2. Lister les snapshots dans un volume :

    volume snapshot show -vserver <SVM> -volume <volume>

    L'exemple suivant montre le snapshot dans vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaurer le contenu d'un volume à partir d'un snapshot :

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    L'exemple suivant restaure le contenu de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaurez si aucune attaque système n'a été identifiée

  1. Lister les snapshots dans un volume :

    volume snapshot show -vserver <SVM> -volume <volume>

    L'exemple suivant montre le snapshot dans vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaurer le contenu d'un volume à partir d'un snapshot :

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    L'exemple suivant restaure le contenu de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Pour en savoir plus, volume snapshot consultez le "Référence de commande ONTAP".

Informations associées