Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Répondre à une activité anormale détectée par ONTAP ARP

Contributeurs netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Lorsque la protection autonome contre les ransomwares (ARP) détecte une activité anormale sur un volume protégé, elle émet un avertissement. Vous devez analyser la notification afin de déterminer si l'activité est acceptable (faux positif) ou si une attaque semble malveillante. Après avoir catégorisé l'attaque, vous pouvez supprimer l'avertissement et les notifications concernant l'activité anormale.

Lorsque vous catégorisez une attaque, les instantanés ARP sont soit conservés pendant une période abrégée initiée par l'opération de catégorisation (ONTAP 9.16.1 et versions ultérieures), soit supprimés instantanément lorsque vous effacez l'événement suspecté (ONTAP 9.15.1 et versions antérieures).

Remarque À partir d' ONTAP 9.11.1, vous pouvez modifier le "paramètres de conservation" pour les instantanés ARP.
Description de la tâche

Pour les volumes NAS, ARP affiche une liste de fichiers suspects lorsqu'il détecte une combinaison d'entropie de données élevée, d'activité de volume anormale avec chiffrement des données et d'extensions de fichiers inhabituelles.

À partir de ONTAP 9.17.1 :

  • Pour les volumes NAS : ARP continue de fournir des fichiers et des types de fichiers suspects.

  • Pour les volumes SAN (volumes contenant des LUN ou des espaces de noms NVMe) : ARP évalue l’entropie uniquement au niveau du volume. ONTAP ne voit pas les fichiers individuels à l’intérieur du LUN ou de l’espace de noms, donc les listes de fichiers suspects et les types de fichiers ne sont pas disponibles. À la place, ARP signale des pics d’entropie du pourcentage de chiffrement au niveau du volume (pics d’entropie).

Les détails des pics d'entropie pour les volumes NAS et SAN sont indiqués sur la page Anti-ransomware dans System Manager.

Lorsqu'une notification d'avertissement ARP est émise, répondez en désignant l'activité de l'une des deux manières suivantes :

  • Faux positif

    Le type de fichier identifié ou le pic d'entropie est attendu dans votre charge de travail et peut être ignoré.

  • Attaque potentielle par ransomware

    Le type de fichier identifié ou le pic d’entropie est inattendu dans votre charge de travail et doit être traité comme une attaque potentielle.

La surveillance normale reprend après la mise à jour de votre décision et la suppression des notifications ARP. ARP enregistre votre évaluation dans le profil d'évaluation des menaces et utilise votre choix pour surveiller les activités ultérieures du fichier.

En cas de suspicion d'attaque, vous devez déterminer s'il s'agit bien d'une attaque, y répondre le cas échéant, puis effacer les notifications et restaurer les données dans l'ordre requis par votre méthode de restauration et la version d'ONTAP. "En savoir plus sur la manière de procéder à une reprise après une attaque par ransomware".

Avant de commencer

ARP doit protéger activement un volume et non pas être en mode d'apprentissage ou d'évaluation.

Étapes

Suivez ces étapes lorsque vous devez classifier une activité anormale :

  1. Examiner les détails de l'activité anormale

  2. Comprendre le comportement des instantanés et les approbations lors de la suppression d'un événement suspect

  3. Effectuez l'une des opérations suivantes :

Si vous devez restaurer des données, vous utiliserez les étapes décrites dans "Restaurez les données à partir des snapshots ARP ONTAP après une attaque par ransomware".

Examiner les détails de l'activité anormale

Vous pouvez utiliser System Manager ou l'interface de ligne de commande ONTAP pour consulter les détails des avertissements ARP avant de choisir un flux de réponse.

System Manager

  1. Lorsque vous recevez une notification d’« activité anormale », suivez le lien. Vous pouvez également accéder à Stockage > Volumes, trouver un volume concerné et sélectionner l’onglet Sécurité.

    Les avertissements s'affichent dans le volet Vue d'ensemble du menu Événements du tableau de bord System Manager.

  2. Dans l'onglet Sécurité, consultez les détails de l'activité anormale :

    • Pour les volumes NAS, consultez le rapport Types de fichiers suspects. Une boîte de dialogue Types de fichiers suspects affiche les extensions et le nombre de fichiers qu'ARP a identifiés.

    • Pour les volumes NAS et SAN, consultez le rapport de pic d'entropie, qui indique la période, la durée, la quantité de données écrites et les valeurs d'entropie.

CLI

  1. Lorsque vous recevez une notification d'attaque par ransomware suspectée, vérifiez l'heure et la gravité de l'attaque :

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Sortie d'échantillon :

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Vous pouvez également vérifier les messages EMS :

    event log show -message-name callhome.arw.activity.seen

  2. (Facultatif, NAS et SAN) Afficher les pics d'entropie récents détectés sur le volume :

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    Cette commande récapitule les périodes durant lesquelles ONTAP a détecté un pourcentage de chiffrement élevé (pic d'entropie). Elle s'applique aux volumes NAS et SAN.

  3. (Facultatif) Affichez un histogramme du pourcentage de chiffrement au fil du temps :

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

Comprendre le comportement des instantanés et les approbations lors de la suppression d'un événement suspect

  • Pour volume snapshot restore ONTAP 9.16.1 et versions ultérieures, effacez d'abord l'événement suspect, puis effectuez la restauration. Après avoir effacé les fichiers suspects, les instantanés ARP sont conservés selon la façon dont vous catégorisez l'activité : 7 jours (par défaut) si vous marquez l'activité comme une attaque de ransomware potentielle, ou 24 heures si vous la marquez comme un faux positif. L'effacement préalable ne supprime pas votre cible de restauration. De plus, l'option clear-suspect devient indisponible après une restauration de volume, vous devez donc effacer avant de restaurer.

  • Pour volume snapshot restore ONTAP 9.15.1 et versions antérieures, effectuez d'abord la restauration, puis effacez l'événement suspect. Les instantanés ARP sont immédiatement supprimés lors de l'effacement des fichiers suspects, vous devez donc terminer la restauration avant l'effacement afin d'éviter de perdre l'instantané avant que l'opération de restauration puisse s'exécuter.

  • Pour les méthodes de restauration des données autres que volume snapshot restore (par exemple, FlexClone® ou SnapRestore de fichier unique), effectuez d'abord la restauration des données, puis effacez l'événement suspect. Ces méthodes n'affectent pas la disponibilité de l'option d'effacement des suspects.

  • À partir d'ONTAP 9.13.1, si vous utilisez MAV pour protéger les paramètres ARP, l' `clear-suspect`opération peut nécessiter des approbations supplémentaires. "L'approbation doit être reçue de tous les administrateurs"associées au groupe d'approbation MAV ou l'opération échouera.

Classer comme faux positif et reprendre la surveillance

Utilisez ce flux lorsque le type de fichier identifié ou le pic d'entropie est attendu pour la charge de travail.

System Manager

  1. Enregistrez votre réponse :

    • Pour les avertissements concernant les types de fichiers NAS, choisissez les fichiers concernés, sélectionnez Marquer comme faux positif, puis choisissez Mettre à jour et effacer les types de fichiers suspects.

    • Pour les pics d'entropie (NAS et SAN), sélectionnez Marquer comme faux positif, puis sélectionnez Enregistrer et ignorer.

Ces actions effacent les avertissements concernant les fichiers suspects (NAS) ou les activités anormales (NAS et SAN). ARP reprend ensuite la surveillance normale du volume.

CLI

  1. Exécutez l’une des commandes suivantes pour enregistrer votre décision et reprendre la surveillance normale de la protection autonome contre les ransomwares :

    • Pour les extensions de fichiers NAS :

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      Utilisez le paramètre optionnel suivant pour identifier uniquement certaines extensions comme faux positifs : [-extension <text>, …​ ]

    • Pour les pics d'entropie (NAS et SAN) :

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      Pour les volumes SAN, il s'agit de la seule méthode prise en charge pour catégoriser une activité anormale ; il n'existe pas de listes de fichiers suspects ni d'extensions de fichiers.

  2. À partir de ONTAP 9.18.1, vous pouvez déterminer l'état de l' `clear-suspect`opération :

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Classer comme une attaque potentielle de ransomware et récupérer les données

Utilisez ce flux lorsque le type de fichier identifié ou le pic d'entropie est inattendu pour la charge de travail.

System Manager

  1. Classer l'activité :

    • Pour les avertissements relatifs aux types de fichiers NAS, marquez les fichiers sélectionnés comme Attaque potentielle par ransomware.

    • Pour les pics d'entropie (NAS et SAN), sélectionnez Marquer comme attaque potentielle de ransomware.

  2. Avant de récupérer vos données, vous devez tenir compte de votre "options de récupération". Ensuite, effectuez l'une des actions suivantes :

    • Si vous prévoyez de restaurer un volume avec ONTAP 9.16.1 et versions ultérieures : Effacez les notifications, puis restaurez le volume :

      1. Avertissements clairs concernant l'attaque potentielle :

        • Pour les avertissements concernant le type de fichier NAS, sélectionnez Mettre à jour et effacer les types de fichiers suspects.

        • Pour les pics d'entropie (NAS et SAN), sélectionnez Enregistrer et ignorer.

          Remarque Après la suppression des fichiers suspects, l'instantané ARP est conservé pendant 7 jours (par défaut). Si vous avez besoin de plus de temps pour la restauration des données, "ajuster les paramètres de snapshot ARP" augmentez la durée de conservation de l'instantané à la valeur souhaitée. Une fois la restauration des données terminée, vous pouvez réduire cette durée.

      2. Récupérez les données en utilisant "l'instantané ARP le plus récent ou un instantané antérieur".

    • Si vous prévoyez de restaurer un volume avec ONTAP 9.15.1 ou une version antérieure : Restaurez le volume, puis supprimez les notifications :

      1. Récupérez les données en utilisant "l'instantané ARP le plus récent ou un instantané antérieur".

      2. Finalisez la catégorisation après la restauration des données pour reprendre la surveillance ARP normale :

        • Pour les avertissements concernant le type de fichier NAS, sélectionnez Mettre à jour et effacer les types de fichiers suspects.

        • Pour les pics d'entropie (NAS et SAN), sélectionnez Enregistrer et ignorer.

    • Si vous prévoyez d'utiliser une autre méthode de restauration : Restaurez d'abord les données, puis effacez les notifications :

      1. "Récupérez des données à l'aide de FlexClone ou de SnapRestore fichier unique".

      2. Finalisez la catégorisation après la restauration des données afin de reprendre la surveillance ARP normale :

        • Pour les avertissements concernant le type de fichier NAS, sélectionnez Mettre à jour et effacer les types de fichiers suspects.

        • Pour les pics d'entropie (NAS et SAN), sélectionnez Enregistrer et ignorer.

          Remarque L'enregistrement de votre décision efface le rapport d'attaque.
CLI

  1. (Volumes NAS uniquement) Créer un rapport d'attaque :

    1. Générez un rapport d'attaque et indiquez où l'enregistrer.

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      Exemple de commande :

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      Sortie d'échantillon :

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. Afficher le rapport sur un système client d'administration. Par exemple :

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      Remarque Cette commande n'est pas prise en charge sur les volumes contenant des LUN ou des espaces de noms NVMe (charges de travail SAN).

  2. Choisissez une "méthode de récupération". Ensuite, effectuez l'une des actions suivantes :

    • Si vous prévoyez d'utiliser volume snapshot restore : Suivez la séquence spécifique à la version :

      • ONTAP 9.16.1 et versions ultérieures : Éliminez d’abord l’attaque, puis exécutez volume snapshot restore :

        1. Exécutez l'une des commandes suivantes pour supprimer les fichiers suspects :

          • Pour les extensions de fichiers NAS :

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilisez le paramètre optionnel suivant pour identifier uniquement certaines extensions comme étant potentiellement des ransomwares : [-extension <text>, …​ ]

          • Pour les pics d'entropie (NAS et SAN) :

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Pour les volumes SAN, utilisez cette commande afin de confirmer l'attaque avant la récupération. Cela met à jour l'évaluation des menaces ARP pour la charge de travail SAN.

        2. Récupérez les données en utilisant "un instantané ARP récent ou un instantané antérieur".

      • ONTAP 9.15.1 et versions antérieures : Exécutez volume snapshot restore en premier, puis éliminez l’attaque :

        1. Récupérez les données en utilisant "un instantané ARP récent ou un instantané antérieur".

        2. Exécutez l'une des commandes suivantes pour supprimer les fichiers suspects :

          • Pour les extensions de fichiers NAS :

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilisez le paramètre optionnel suivant pour identifier uniquement certaines extensions comme étant potentiellement des ransomwares : [-extension <text>, …​ ]

          • Pour les pics d'entropie (NAS et SAN) :

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Pour les volumes SAN, utilisez cette commande afin de confirmer l'attaque après la récupération. Cela met à jour l'évaluation des menaces ARP pour la charge de travail SAN.

    • Si vous prévoyez d'utiliser d'autres méthodes de récupération : Restaurez d'abord les données, puis supprimez l'attaque :

      1. Récupérez les données en utilisant "FlexClone ou restauration de fichier unique SnapRestore".

      2. Exécutez l'une des commandes suivantes pour supprimer les fichiers suspects :

        • Pour les extensions de fichiers NAS :

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          Utilisez le paramètre optionnel suivant pour identifier uniquement certaines extensions comme étant potentiellement des ransomwares : [-extension <text>, …​ ]

        • Pour les pics d'entropie (NAS et SAN) :

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          Pour les volumes SAN, utilisez cette commande afin de confirmer l'attaque après la récupération. Cela met à jour l'évaluation des menaces ARP pour la charge de travail SAN.

  3. À partir de ONTAP 9.18.1, vous pouvez déterminer l'état de l' `clear-suspect`opération :

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Options de vérification multi-administrateurs

Si vous utilisez la vérification multi-administrateurs (MAV) et qu'une opération clear-suspect prévue nécessite des approbations supplémentaires, chaque approbateur du groupe MAV doit :

  1. Afficher la demande :

    security multi-admin-verify request show

  2. Approuver la demande de reprise de la surveillance anti-ransomware classique :

    security multi-admin-verify request approve -index[<number returned from show request>]

    La réponse du dernier approbateur de groupe indique que le volume a été modifié et qu'un faux positif est enregistré.

Si vous utilisez MAV et que vous êtes un approbateur de groupe MAV, vous pouvez également rejeter une demande claire-suspecte :

security multi-admin-verify request veto -index[<number returned from show request>]
Informations associées