Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Réagir à une activité anormale

Contributeurs
PDF

Lorsque la protection autonome contre les attaques par ransomware (ARP) détecte une activité anormale dans un volume protégé, elle émet un avertissement. Vous devez évaluer la notification pour déterminer si l'activité est acceptable (faux positif) ou si une attaque semble malveillante.

Description de la tâche

ARP affiche une liste des fichiers suspects lorsqu'il détecte une combinaison de données entropie élevée, une activité de volume anormale avec chiffrement des données et des extensions de fichier inhabituelles.

Lorsque l'avertissement est émis, vous pouvez répondre en marquant l'activité du fichier de l'une des deux façons suivantes :

  • Faux positif

    Le type de fichier identifié est attendu dans votre charge de travail et peut être ignoré.

  • Attaque potentielle par ransomware

    Le type de fichier identifié est inattendu dans votre charge de travail et doit être traité comme une attaque potentielle.

Dans les deux cas, la surveillance normale reprend après la mise à jour et la suppression des avis. ARP enregistre votre évaluation dans le profil d'évaluation des menaces, en utilisant votre choix pour surveiller les activités de fichiers suivantes.

Dans le cas d'une attaque suspectée, vous devez déterminer s'il s'agit d'une attaque, y répondre si c'est le cas et restaurer les données protégées avant d'effacer les notifications. "En savoir plus sur la manière de procéder à une reprise après une attaque par ransomware".

Remarque Si vous restaurez un volume entier, il n'y a pas d'avis à effacer.
Avant de commencer

ARP doit être exécuté en mode actif.

Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commandes de ONTAP pour répondre à une tâche anormale.

System Manager

  1. Lorsque vous recevez une notification d’activité anormale, suivez le lien ou naviguez jusqu’à l’onglet sécurité de l’aperçu volumes.

    Les avertissements s'affichent dans le volet vue d'ensemble du menu Events.

  2. Lorsqu'un message "activité de volume anormale détectée" s'affiche, consultez les fichiers suspects.

    Dans l'onglet sécurité, sélectionnez Afficher les types de fichiers suspects.

  3. Dans la boîte de dialogue types de fichiers suspects, examinez chaque type de fichier et marquez-le comme “Faux positif” ou “attaque par ransomware potentielle”.

Si vous avez sélectionné cette valeur…​

Prendre cette action…

Faux positif

Sélectionnez mettre à jour et Effacer les types de fichiers suspects pour enregistrer votre décision et reprendre la surveillance ARP normale.

Remarque À partir de ONTAP 9.13.1, si vous utilisez MAV pour protéger vos paramètres ARP, l'opération Effacer-suspect vous invite à obtenir l'approbation d'un ou de plusieurs administrateurs supplémentaires. "L'approbation doit être reçue de tous les administrateurs" Associé au groupe d'approbation MAV ou l'opération échouera.

Attaques par ransomware potentielles

Répondez aux attaques et restaurez les données protégées. Sélectionnez ensuite Update et Clear suspect File types pour enregistrer votre décision et reprendre la surveillance ARP normale.
Il n'existe aucun type de fichier suspect à effacer si vous avez restauré un volume entier.
CLI

  1. Lorsque vous recevez une notification d'attaque par ransomware suspectée, vérifiez l'heure et la gravité de l'attaque :

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Sortie d'échantillon :

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    Vous pouvez également vérifier les messages EMS :

    event log show -message-name callhome.arw.activity.seen

  2. Générez un rapport d'attaque et notez l'emplacement de sortie :

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Sortie d'échantillon :

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Afficher le rapport sur un système client d'administration. Par exemple :

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. Suivez l'une des actions suivantes en fonction de votre évaluation des extensions de fichier :

    • Faux positif

      Entrez la commande suivante pour enregistrer votre décision, en ajoutant la nouvelle extension à la liste de ceux autorisés et en redonnant une surveillance anti-ransomware normale :
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Utilisez l'un des paramètres suivants pour identifier les extensions :
      [-seq-no integer] Numéro de séquence du fichier dans la liste des suspects.
      [-extension text, … ] Extensions de fichier
      [-start-time date_time -end-time date_time] Heures de début et de fin pour la plage de fichiers à effacer, sous la forme "MM/JJ/AAAA HH:MM:SS".

    • Attaque par ransomware potentielle

      Répondez à l'attaque et "Récupérez les données à partir de l'instantané de sauvegarde créé par ARP". Une fois les données récupérées, entrez la commande suivante pour enregistrer votre décision et reprendre la surveillance ARP normale :

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Utilisez l'un des paramètres suivants pour identifier les extensions :
      [-seq-no integer] Numéro de séquence du fichier dans la liste des suspects
      [-extension text, … ] Extension de fichier
      [-start-time date_time -end-time date_time] Heures de début et de fin pour la plage de fichiers à effacer, sous la forme "MM/JJ/AAAA HH:MM:SS".

    Il n'existe aucun type de fichier suspect à effacer si vous avez restauré un volume entier. L'instantané de sauvegarde créé par ARP sera supprimé et le rapport d'attaque sera effacé.

  5. Si vous utilisez MAV et un attendu clear-suspect L'opération nécessite des approbations supplémentaires, chaque approbateur de groupe MAV effectue les opérations suivantes :

    1. Afficher la demande :

      security multi-admin-verify request show

    2. Approuver la demande de reprise de la surveillance anti-ransomware classique :

      security multi-admin-verify request approve -index[number returned from show request]

    La réponse du dernier approbateur de groupe indique que le volume a été modifié et qu'un faux positif est enregistré.

  6. Si vous utilisez MAV et que vous êtes un approbateur de groupe MAV, vous pouvez également rejeter une demande claire-suspecte :

    security multi-admin-verify request veto -index[number returned from show request]

Plus d'informations