Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Restaurez les données après une attaque par ransomware

Contributeurs
PDF

La protection anti-ransomware autonome (ARP) crée des copies Snapshot nommées Anti_ransomware_backup lorsqu'il détecte une menace potentielle de ransomware. Vous pouvez utiliser l'une de ces copies snapshot ARP ou une autre copie Snapshot de votre volume pour restaurer les données.

Description de la tâche

Si le volume possède des relations SnapMirror, répliquez manuellement toutes les copies miroir du volume immédiatement après la restauration à partir d'une copie Snapshot. Cette opération risque d'entraîner des copies miroir inutilisables qui doivent d'être supprimées et recréées.

Pour effectuer une restauration à partir d'une copie Snapshot autre que le Anti_ransomware_backup Instantané après l'identification d'une attaque système, vous devez d'abord libérer l'instantané ARP.

Si aucune attaque système n'a été signalée, vous devez d'abord restaurer à partir du Anti_ransomware_backup La copie Snapshot effectue ensuite une restauration ultérieure du volume à partir de la copie Snapshot de votre choix.

Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour restaurer vos données.

System Manager
Restauration après une attaque système

  1. Pour effectuer une restauration à partir de l'instantané ARP, passez à l'étape 2. Pour effectuer une restauration à partir d'une copie Snapshot antérieure, vous devez d'abord libérer le verrouillage de l'instantané ARP.

    1. Sélectionnez stockage > volumes.

    2. Sélectionnez sécurité puis Afficher les types de fichiers suspects

    3. Marquez les fichiers comme « Faux positif » .

    4. Sélectionnez mettre à jour et Effacer les types de fichiers suspects

  2. Afficher les copies Snapshot dans des volumes :

    Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  3. Sélectionnez Option de menu En regard de la copie Snapshot que vous souhaitez restaurer, puis de Restore.

Restaurez si aucune attaque système n'a été identifiée

  1. Afficher les copies Snapshot dans des volumes :

    Sélectionnez stockage > volumes, puis sélectionnez le volume et copies Snapshot.

  2. Sélectionnez Option de menu ils choisissent le Anti_ransomware_backup Snapshot.

  3. Sélectionnez Restaurer.

  4. Revenez au menu copies Snapshot, puis choisissez la copie Snapshot que vous souhaitez utiliser. Sélectionnez Restaurer.

CLI
Restauration après une attaque système

  1. Pour effectuer une restauration à partir de la copie ARP Snapshot, passez à l'étape 2. Pour restaurer des données à partir de copies Snapshot antérieures, vous devez libérer le verrouillage de l'instantané ARP.

    Remarque Si vous utilisez la, vous devez libérer la fonctionnalité anti-ransomware SnapLock avant de restaurer vos données à partir de copies Snapshot antérieures volume snap restore comme décrit ci-dessous. Si vous restaurez des données à l'aide de Flex Clone, de Single File Snap Restore ou d'autres méthodes, cela n'est pas nécessaire.

    Marquer l'attaque comme « faux positif » et « suspect clair » :
    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
    Utilisez l'un des paramètres suivants pour identifier les extensions :
    [-seq-no integer] Numéro de séquence du fichier dans la liste des suspects.
    [-extension text, … ] Extensions de fichier
    [-start-time date_time -end-time date_time] Heures de début et de fin pour la plage de fichiers à effacer, sous la forme "MM/JJ/AAAA HH:MM:SS".

  2. Lister les copies Snapshot dans un volume :

    volume snapshot show -vserver SVM -volume volume

    L'exemple suivant montre les copies Snapshot dans vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaurer le contenu d'un volume à partir d'une copie Snapshot :

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    L'exemple suivant restaure le contenu de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaurez si aucune attaque système n'a été identifiée

  1. Lister les copies Snapshot dans un volume :

    volume snapshot show -vserver SVM -volume volume

    L'exemple suivant montre les copies Snapshot dans vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaurer le contenu d'un volume à partir d'une copie Snapshot :

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    L'exemple suivant restaure le contenu de vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

  3. Répétez les étapes 1 et 2 pour restaurer le volume à l'aide de la copie Snapshot souhaitée.

Plus d'informations