Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristina i dati dagli snapshot ONTAP ARP dopo un attacco ransomware

Collaboratori netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

La protezione autonoma dal ransomware (ARP) crea snapshot per proteggere da una potenziale minaccia ransomware. È possibile utilizzare uno di questi snapshot ARP o un altro snapshot del volume per ripristinare i dati.

A proposito di questa attività

L'ARP crea snapshot con uno dei seguenti nomi anteposti:

  • Anti_ransomware_periodic_backup : Utilizzato in ONTAP 9.17.1 e versioni successive per gli snapshot creati a intervalli regolari. Ad esempio, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Utilizzato in ONTAP 9.17.1 e versioni successive per gli snapshot creati in risposta ad anomalie. Ad esempio, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Utilizzato in ONTAP 9.16.1 e versioni precedenti con snapshot creati in risposta ad anomalie. Ad esempio, Anti_ransomware_backup.2022-12-20_1248 .

Per ripristinare da uno snapshot diverso da Anti_ransomware snapshot dopo che è stato identificato un attacco al sistema, è necessario prima rilasciare lo snapshot ARP.

Se non viene segnalato alcun attacco al sistema, è necessario prima ripristinare dal Anti_ransomware snapshot, quindi completa un successivo ripristino del volume dallo snapshot scelto.

Maggiori informazioni sulle relazioni SnapMirror e sugli snapshot ARP

Se il volume protetto da ARP fa parte di una relazione SnapMirror , sarà necessario aggiornare manualmente tutte le copie mirror del volume dopo averlo ripristinato da uno snapshot. Se si salta questo passaggio, le copie mirror potrebbero diventare inutilizzabili e dover essere eliminate e ricreate.

Se il volume protetto da ARP fa parte di una relazione di sincronizzazione sincrona SnapMirror o di sincronizzazione attiva SnapMirror in ONTAP 9.19.1 RC, si applicano ulteriori considerazioni relative al ripristino:

  • Gli snapshot ARP vengono creati e conservati solo sul volume primario. Non vengono replicati sul volume secondario come parte di SnapMirror sincrono o SnapMirror active sync.

  • Lo stato di abilitazione ARP non viene replicato durante il failover. È necessario "riattivare ARP" sul volume di ripristino dopo il failover.

  • Il ripristino a livello di volume (volume snapshot restore su volumi SnapMirror sincroni o SnapMirror active sync potrebbe richiedere che tu sospenda temporaneamente o interrompa la relazione SnapMirror sincrona o SnapMirror active sync.

  • In molti casi, è possibile evitare di interrompere la sincronizzazione sincrona di SnapMirror o la sincronizzazione attiva di SnapMirror utilizzando FlexClone o operazioni di ripristino a livello di file da ARP o da altre snapshot sul volume primario.

Prima di iniziare

"Devi contrassegnare l'attacco come potenziale attacco ransomware" prima di ripristinare i dati da uno snapshot.

Fasi

Per ripristinare i dati, è possibile utilizzare Gestione di sistema o l'interfaccia utente di ONTAP.

System Manager
Ripristino dopo un attacco di sistema

  1. Per eseguire il ripristino dallo snapshot ARP, passare direttamente al punto 2. Per eseguire il ripristino da uno snapshot precedente, è necessario prima rilasciare il blocco sullo snapshot ARP.

    1. Selezionare Storage > Volumes (Storage > volumi).

    2. Selezionare sicurezza, quindi Visualizza tipi di file sospetti.

    3. Contrassegna i file come "potenziale attacco ransomware".

    4. Selezionare Aggiorna e Cancella tipi di file sospetti.

  2. Visualizzare le istantanee in volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  3. Selezionare Icona delle opzioni di menu accanto allo snapshot che si desidera ripristinare, quindi Restore.

    Se il volume fa parte di una relazione SAN SnapMirror sincrona o SnapMirror active sync in ONTAP 9.19.1 RC e si prevede di eseguire un ripristino a livello di volume, seguire la documentazione di SnapMirror synchronous o SnapMirror active sync per mettere in quiescenza o "rompere la relazione di protezione" prima di avviare il ripristino, quindi ristabilire la protezione al termine del ripristino.

Ripristinare se non è stato identificato un attacco di sistema

  1. Visualizzare le istantanee in volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  2. Selezionare Icona delle opzioni di menu quindi scegli il Anti_ransomware istantanea.

  3. Selezionare Restore (Ripristina).

  4. Tornare al menu Snapshot Copies, quindi scegliere l'istantanea che si desidera utilizzare. Selezionare Restore (Ripristina).

CLI
Ripristino dopo un attacco di sistema

Per eseguire il ripristino dallo snapshot ARP, passare direttamente al punto 2. Per ripristinare i dati dalle istantanee precedenti, è necessario rilasciare il blocco sullo snapshot ARP.

Nota È necessario rilasciare l'anti-ransomware SnapLock prima di ripristinare da snapshot precedenti solo se si utilizza il volume snapshot restore comando come descritto di seguito. Se si ripristinano i dati utilizzando FlexClone, single-file SnapRestore o altri metodi, ciò non è necessario.

  1. Contrassegna l'attacco come potenziale attacco ransomware (-false-positive false ) e cancellare i file sospetti (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilizzare uno dei seguenti parametri per identificare le estensioni:

    • [-seq-no integer] : Numero sequenziale del file nell'elenco dei sospetti.

    • [-extension text, … ] : Estensioni dei file

    • [-start-time date_time -end-time date_time] : Ora di inizio e di fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

  2. Se il volume fa parte di una relazione SAN SnapMirror sincrona o SnapMirror active sync in ONTAP 9.19.1 RC e si intende eseguire un ripristino a livello di volume con volume snapshot restore, mettere in quiescenza o "interrompere la relazione di sincronizzazione SnapMirror sincrona o di sincronizzazione attiva SnapMirror" secondo la documentazione SnapMirror synchronous o SnapMirror active sync prima di eseguire l'operazione di ripristino.

  3. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    L'esempio seguente mostra l'istantanea in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  4. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Ripristinare se non è stato identificato un attacco di sistema

  1. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    L'esempio seguente mostra l'istantanea in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Ulteriori informazioni su volume snapshot nella "Riferimento al comando ONTAP".

Informazioni correlate