Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Restaurez les données à partir des snapshots ARP ONTAP après une attaque par ransomware

Contributeurs netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

La protection autonome contre les ransomwares (ARP) crée des instantanés pour protéger contre une menace potentielle de ransomware. Vous pouvez utiliser des instantanés ARP ou un autre instantané de votre volume pour restaurer des données.

Description de la tâche

Selon la nature de l'attaque potentielle, vous restaurerez les données de l'une des manières suivantes :

ARP crée des instantanés avec l'un des noms préfixés suivants :

  • Anti_ransomware_periodic_backup : Utilisé dans ONTAP 9.17.1 et versions ultérieures pour les instantanés créés à intervalles réguliers. Par exemple : Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup:Utilisé dans ONTAP 9.17.1 et versions ultérieures pour les instantanés créés en réponse à des anomalies. Par exemple : Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Utilisé dans ONTAP 9.16.1 et versions antérieures avec des instantanés créés en réponse à des anomalies. Par exemple : Anti_ransomware_backup.2022-12-20_1248 .

Avant de commencer
Étapes

Suivez ces étapes lorsque vous devez restaurer des données après qu'ARP a détecté une anomalie :

Choisissez une méthode de restauration

En fonction de l'étendue de la corruption des données et de vos exigences opérationnelles, choisissez une ou plusieurs de ces méthodes de restauration.

  • Restauration d'un instantané de volume : Restaure l'intégralité du volume à partir d'un instantané sélectionné (ARP ou planifié). C'est la méthode la plus rapide, mais elle supprime tous les instantanés créés après le point de restauration.

  • FlexClone® à partir d'un snapshot propre : Crée un volume clone à partir du snapshot sélectionné, en préservant le volume d'origine et tous ses snapshots pour l'analyse forensique ou la restauration des données supplémentaire. Il est recommandé de séparer le clone du volume parent pour isoler le parent infecté du clone propre.

    Apprenez-en davantage sur "création d'un FlexClone volume à partir d'un instantané" et "séparer un FlexClone de son parent".

  • Fichier unique SnapRestore : Restaure des fichiers individuels à partir d’instantanés. Chaque fichier peut provenir d’un instantané différent. Cette option est pratique lorsque le nombre de fichiers concernés est relativement faible (de quelques dizaines à quelques centaines de fichiers).

    En savoir plus sur "restauration d'un seul fichier à partir d'un instantané".

  • Copie de données depuis le .snapshot répertoire : Copie de données du point de montage de l’instantané vers un nouveau volume à l’aide des opérations de copie de fichiers standard. Cette méthode préserve le volume d’origine et les instantanés pour l’analyse.

  • Approche hybride : Le volume est d’abord restauré à l’instantané propre le plus proche à l’aide de SnapRestore, puis tous les fichiers corrompus restants sont restaurés individuellement à partir d’un autre instantané ou d’une sauvegarde externe.

Contraintes et considérations relatives à la reprise

  • Pour ONTAP 9.15.1 et versions antérieures, la libération du verrou de snapshot ARP supprime immédiatement les snapshots ARP. Libérez le verrou uniquement si vous ne prévoyez pas de restaurer à partir d'un snapshot ARP.

  • Le déverrouillage de la protection anti-ransomware avant la restauration à partir d'instantanés antérieurs n'est requis que lorsque vous utilisez volume snapshot restore. Il n'est pas requis pour FlexClone®, SnapRestore de fichier unique, les opérations de copie de données ou des méthodes similaires.

SnapMirror considérations

  • Si le volume fait partie d'une relation SAN synchrone SnapMirror ou de synchronisation active SnapMirror dans ONTAP 9.19.1 RC et que vous prévoyez une restauration au niveau du volume, mettez-le au repos "rompre la relation avant la restauration" puis rétablissez la protection après la restauration.

  • Si vous restaurez un volume protégé par ARP à partir d’un instantané alors qu’il fait partie d’une relation SnapMirror, mettez à jour manuellement toutes les copies miroir après la restauration. Sinon, les copies miroir risquent de devenir inutilisables et il pourrait être nécessaire de les supprimer et de les recréer.

Pour connaître le comportement complet d'interopérabilité de SnapMirror et ARP, y compris les considérations relatives aux instantanés et au basculement, voir "Interopérabilité SnapMirror et ARP".

Restauration après une attaque système

Pour la restauration d'instantanés de volume, choisissez l'une de ces procédures en fonction de la source de l'instantané et de la situation :

Restaurer à partir de la dernière image ARP

Choisissez ce flux lorsque vous pouvez restaurer en toute confiance à partir du dernier instantané ARP, qui est l'instantané le plus à jour disponible pour la restauration des données.

System Manager

  1. Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  2. Pour ONTAP 9.16.1 et versions ultérieures, avant d'exécuter une restauration de volume, "effacer les fichiers suspects".

    Remarque Après la suppression des fichiers suspects, l'instantané ARP est conservé pendant 7 jours (par défaut). Si vous avez besoin de plus de temps pour la restauration des données, "ajuster les paramètres de snapshot ARP" augmentez la durée de conservation de l'instantané à la valeur souhaitée. Une fois la restauration des données terminée, vous pouvez réduire cette durée.

  3. Sélectionnez Icône des options de menu à côté de l’instantané ARP le plus récent (Anti_ransomware que vous souhaitez restaurer, puis sélectionnez Restaurer.

  4. Pour ONTAP 9.15.1 et versions antérieures, une fois la restauration terminée, "effacer les fichiers suspects".

CLI

  1. Lister les snapshots dans un volume :

    volume snapshot show -vserver <svm> -volume <volume>

  2. Pour ONTAP 9.16.1 et versions ultérieures, avant d’exécuter volume snapshot restore, "effacer les fichiers suspects".

  3. Restaurer le contenu d'un volume à partir d'un snapshot :

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. Pour ONTAP 9.15.1 et versions antérieures, une fois la restauration terminée, "effacer les fichiers suspects".

Restaurer à partir d'un instantané antérieur

Choisissez cette méthode si vous n'avez pas confiance dans le dernier instantané et souhaitez restaurer à partir d'un instantané antérieur. Libérez le verrou sur le dernier instantané ARP avant de restaurer à partir de l'instantané antérieur.

System Manager

  1. Déverrouillez le verrou sur le dernier instantané ARP :

    1. Sélectionnez stockage > volumes.

    2. Sélectionnez sécurité puis Afficher les types de fichiers suspects.

    3. Marquez les fichiers comme « attaque potentielle par ransomware ».

    4. Sélectionnez Mettre à jour et effacer les types de fichiers suspects.

      Remarque Si vous avez déjà classé l'activité comme une potentielle attaque de ransomware en suivant les étapes dans "Répondre à une activité anormale détectée par ONTAP ARP", il vous suffit d'effacer ici les types de fichiers suspects.

  2. Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  3. Sélectionnez Icône des options de menu à côté de la copie instantanée précédente que vous souhaitez restaurer, puis sélectionnez Restaurer.

CLI

  1. Si vous restaurez à partir d'un instantané antérieur en utilisant volume snapshot restore, marquez l'attaque comme un ransomware potentiel (-false-positive false et supprimez les fichiers suspects pour libérer le verrou :

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilisez l’un des paramètres suivants pour identifier les extensions :

    • [-seq-no integer] : Numéro de séquence du fichier dans la liste des suspects.

    • [-extension text, … ] : Extensions de fichiers

    • [-start-time date_time -end-time date_time] : Heures de début et de fin de la plage de fichiers à effacer, sous la forme « MM/JJ/AAAA HH:MM:SS ».

  2. Lister les snapshots dans un volume :

    volume snapshot show -vserver <svm> -volume <volume>

    L'exemple suivant montre le snapshot dans vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaurer le contenu d'un volume à partir d'un snapshot :

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    L'exemple suivant restaure le contenu de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Restaurer lorsqu'une attaque système n'est pas identifiée

Lorsqu'aucune attaque n'est identifiée, restaurez d'abord à partir de l'instantané ARP le plus récent, puis à partir d'un instantané antérieur de votre choix.

System Manager

  1. Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  2. Sélectionnez Icône des options de menu puis choisissez le cliché instantané le plus récent Anti_ransomware.

  3. Sélectionnez Restaurer.

  4. Retournez au menu Copies d'instantanés, puis choisissez l'instantané précédent que vous souhaitez utiliser.

  5. Sélectionnez Restaurer.

CLI

  1. Commencez par restaurer à partir du dernier instantané ARP :

    1. Lister les snapshots dans un volume :

      volume snapshot show -vserver <svm> -volume <volume>

    2. Restaurer le contenu d'un volume à partir d'un snapshot :

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. Sélectionnez l’instantané précédent que vous souhaitez utiliser et répétez la restauration.

Pour en savoir plus, volume snapshot consultez le "Référence de commande ONTAP".

Informations associées