Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Répondre à une activité anormale détectée par ONTAP ARP

Contributeurs netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Lorsque la protection autonome contre les attaques par ransomware (ARP) détecte une activité anormale dans un volume protégé, elle émet un avertissement. Vous devez évaluer la notification pour déterminer si l'activité est acceptable (faux positif) ou si une attaque semble malveillante. Après avoir classé l'attaque, vous pouvez effacer l'avertissement et les avis concernant les fichiers suspects.

Lorsque vous catégorisez une attaque, les instantanés ARP sont soit conservés pendant une période abrégée initiée par l'opération de catégorisation (ONTAP 9.16.1 et versions ultérieures), soit supprimés instantanément (ONTAP 9.15.1 et versions antérieures).

Remarque À partir d' ONTAP 9.11.1, vous pouvez modifier le "paramètres de conservation" pour les instantanés ARP.
Description de la tâche

ARP affiche une liste de fichiers suspects lorsqu'il détecte une combinaison d'entropie de données élevée, d'activité anormale du volume avec chiffrement des données et d'extensions de fichiers inhabituelles. À partir d' ONTAP 9.17.1, pour les environnements NAS et SAN, les pics d'entropie sont également signalés sur la page Anti-ransomware du Gestionnaire système.

Lorsqu'une notification d'avertissement ARP est émise, répondez en désignant l'activité de l'une des deux manières suivantes :

  • Faux positif

    Le type de fichier identifié ou le pic d'entropie est attendu dans votre charge de travail et peut être ignoré.

  • Attaque potentielle par ransomware

    Le type de fichier identifié ou le pic d’entropie est inattendu dans votre charge de travail et doit être traité comme une attaque potentielle.

La surveillance normale reprend après la mise à jour de votre décision et la suppression des notifications ARP. ARP enregistre votre évaluation dans le profil d'évaluation des menaces et utilise votre choix pour surveiller les activités ultérieures du fichier.

Dans le cas d'une attaque suspectée, vous devez déterminer s'il s'agit d'une attaque, y répondre si c'est le cas et restaurer les données protégées avant d'effacer les notifications. "En savoir plus sur la manière de procéder à une reprise après une attaque par ransomware".

Remarque Si vous restaurez un volume entier, il n'y a pas d'avis à effacer.
Avant de commencer

ARP doit protéger activement un volume et non pas être en mode d'apprentissage ou d'évaluation.

Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour répondre à des activités anormales.

System Manager

  1. Lorsque vous recevez une notification d'« activité anormale », suivez le lien. Vous pouvez également accéder à l'onglet « Sécurité » de la vue d'ensemble des « Volumes ».

    Les avertissements s'affichent dans le volet vue d'ensemble du menu Events.

  2. Dans l'onglet Sécurité, examinez les types de fichiers suspects ou le rapport sur les pics d'entropie.

    • Pour les fichiers suspects, examinez chaque type de fichier dans la boîte de dialogue Types de fichiers suspects et marquez chacun d'eux individuellement.

    • Pour les pics d’entropie, examinez le rapport d’entropie.

  3. Enregistrez votre réponse :

    Si vous sélectionnez cette valeur…​

    Prendre cette action…​

    Faux positif

    1. Effectuez l'une des opérations suivantes :

      • Pour les avertissements de type de fichier, sélectionnez Mettre à jour et effacer les types de fichiers suspects.

      • Pour les pics d'entropie, sélectionnez Marquer comme faux positif.

        Ces actions effacent les avertissements concernant les fichiers ou activités suspects. ARP reprend ensuite la surveillance normale du volume. Pour ARP/AI dans ONTAP 9.16.1 et les versions ultérieures, les instantanés ARP sont automatiquement supprimés après une période de conservation abrégée déclenchée par l'opération de catégorisation. Pour ONTAP 9.15.1 et versions antérieures, les snapshots ARP associés sont automatiquement supprimés après la suppression des types de fichiers suspects.

      Remarque À partir de ONTAP 9.13.1, si vous utilisez MAV pour protéger vos paramètres ARP, l'opération Effacer-suspect vous invite à obtenir l'approbation d'un ou de plusieurs administrateurs supplémentaires. "L'approbation doit être reçue de tous les administrateurs" Associé au groupe d'approbation MAV ou l'opération échouera.

    Attaques par ransomware potentielles

    1. Répondre à l’attaque :

    2. Une fois la restauration des données terminée, enregistrez votre décision et reprenez la surveillance ARP normale :

      • Pour les avertissements de type de fichier, sélectionnez Mettre à jour et effacer les types de fichiers suspects.

      • Pour les pics d'entropie, sélectionnez Marquer comme attaque potentielle par ransomware et sélectionnez Enregistrer et ignorer.

    Remarque Il n'y a aucun avis de type de fichier suspect à effacer si vous avez restauré un volume entier.

    L'enregistrement de votre décision efface le rapport d'attaque. Pour ARP/AI dans ONTAP 9.16.1 et les versions ultérieures, les instantanés ARP sont automatiquement supprimés après une période de conservation abrégée déclenchée par l'opération de catégorisation. Pour ONTAP 9.15.1 et les versions antérieures, les snapshots ARP sont automatiquement supprimés après la restauration d'un volume.
CLI

  1. Lorsque vous recevez une notification d'attaque par ransomware suspectée, vérifiez l'heure et la gravité de l'attaque :

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Sortie d'échantillon :

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Vous pouvez également vérifier les messages EMS :

    event log show -message-name callhome.arw.activity.seen

  2. Générer un rapport d’attaque et spécifier où l’enregistrer :

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    Exemple de commande :

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    Sortie d'échantillon :

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Afficher le rapport sur un système client d'administration. Par exemple :

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. Effectuez l’une des actions suivantes en fonction de votre évaluation des extensions de fichiers ou des pics d’entropie :

    • Faux positif

      Exécutez l’une des commandes suivantes pour enregistrer votre décision et reprendre la surveillance normale de la protection autonome contre les ransomwares :

      • Pour les extensions de fichiers :

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        Utilisez le paramètre facultatif suivant pour identifier uniquement des extensions spécifiques comme de faux positifs :

        • [-extension <text>, … ]: Extensions de fichier

      • Pour les pics d'entropie :

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • Attaque par ransomware potentielle

      Répondez à l'attaque et "Récupérez les données à partir de l'instantané de sauvegarde créé par ARP" Une fois les données récupérées, exécutez l’une des commandes suivantes pour enregistrer votre décision et reprendre la surveillance ARP normale :

      • Pour les extensions de fichiers :

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        Utilisez le paramètre facultatif suivant pour identifier uniquement des extensions spécifiques en tant que ransomware potentiel :

        • [-extension <text>, … ]: Extension de fichier

      • Pour les pics d'entropie :

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    Ce clear-suspect L'opération efface le rapport d'attaque. Aucun avis de type de fichier suspect n'est à effacer si vous avez restauré un volume entier. Pour ARP/AI dans ONTAP 9.16.1 et les versions ultérieures, les instantanés ARP sont automatiquement supprimés après une période de conservation abrégée déclenchée par l'opération de catégorisation. Pour ONTAP 9.15.1 et les versions antérieures, les instantanés ARP sont automatiquement supprimés après la restauration d'un volume ou la suppression d'un événement suspect.

  5. Si vous utilisez MAV et un attendu clear-suspect L'opération nécessite des approbations supplémentaires, chaque approbateur de groupe MAV doit :

    1. Afficher la demande :

      security multi-admin-verify request show

    2. Approuver la demande de reprise de la surveillance anti-ransomware classique :

      security multi-admin-verify request approve -index[<number returned from show request>]

      La réponse du dernier approbateur de groupe indique que le volume a été modifié et qu'un faux positif est enregistré.

  6. Si vous utilisez MAV et que vous êtes un approbateur de groupe MAV, vous pouvez également rejeter une demande claire-suspecte :

    security multi-admin-verify request veto -index[<number returned from show request>]
Informations associées