Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristina i dati dagli snapshot ONTAP ARP dopo un attacco ransomware

Collaboratori netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

La protezione autonoma dal ransomware (ARP) crea snapshot per proteggere da una potenziale minaccia ransomware. È possibile utilizzare uno di questi snapshot ARP o un altro snapshot del volume per ripristinare i dati.

A proposito di questa attività

L'ARP crea snapshot con uno dei seguenti nomi anteposti:

  • Anti_ransomware_periodic_backup : Utilizzato in ONTAP 9.17.1 e versioni successive per gli snapshot creati a intervalli regolari. Ad esempio, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_backup : Utilizzato in ONTAP 9.16.1 e versioni precedenti con snapshot creati in risposta ad anomalie. Ad esempio, Anti_ransomware_backup.2022-12-20_1248 .

Per ripristinare da uno snapshot diverso da Anti_ransomware snapshot dopo che è stato identificato un attacco al sistema, è necessario prima rilasciare lo snapshot ARP.

Se non viene segnalato alcun attacco al sistema, è necessario prima ripristinare dal Anti_ransomware snapshot, quindi completa un successivo ripristino del volume dallo snapshot scelto.

Nota Se il volume protetto da ARP fa parte di una relazione SnapMirror , sarà necessario aggiornare manualmente tutte le copie mirror del volume dopo averlo ripristinato da uno snapshot. Se si salta questo passaggio, le copie mirror potrebbero diventare inutilizzabili e dover essere eliminate e ricreate.
Prima di iniziare

"Devi contrassegnare l'attacco come potenziale attacco ransomware" prima di ripristinare i dati da uno snapshot.

Fasi

Per ripristinare i dati, è possibile utilizzare Gestione di sistema o l'interfaccia utente di ONTAP.

System Manager
Ripristino dopo un attacco di sistema

  1. Per eseguire il ripristino dallo snapshot ARP, passare direttamente al punto 2. Per eseguire il ripristino da uno snapshot precedente, è necessario prima rilasciare il blocco sullo snapshot ARP.

    1. Selezionare Storage > Volumes (Storage > volumi).

    2. Selezionare sicurezza, quindi Visualizza tipi di file sospetti.

    3. Contrassegna i file come "potenziale attacco ransomware".

    4. Selezionare Aggiorna e Cancella tipi di file sospetti.

  2. Visualizzare le istantanee in volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  3. Selezionare Icona delle opzioni di menu accanto allo snapshot che si desidera ripristinare, quindi Restore.

Ripristinare se non è stato identificato un attacco di sistema

  1. Visualizzare le istantanee in volumi:

    Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  2. Selezionare Icona delle opzioni di menu quindi scegli il Anti_ransomware istantanea.

  3. Selezionare Restore (Ripristina).

  4. Tornare al menu Snapshot Copies, quindi scegliere l'istantanea che si desidera utilizzare. Selezionare Restore (Ripristina).

CLI
Ripristino dopo un attacco di sistema

Per eseguire il ripristino dallo snapshot ARP, passare direttamente al punto 2. Per ripristinare i dati dalle istantanee precedenti, è necessario rilasciare il blocco sullo snapshot ARP.

Nota È necessario rilasciare il SnapLock anti-ransomware prima del ripristino da snapshot precedenti, se si utilizza il volume snapshot restore comando come descritto di seguito. Se i dati vengono ripristinati utilizzando FlexClone, Ripristino snap file singolo o altri metodi, ciò non è necessario.

  1. Contrassegna l'attacco come potenziale attacco ransomware (-false-positive false ) e cancellare i file sospetti (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilizzare uno dei seguenti parametri per identificare le estensioni:

    • [-seq-no integer] : Numero sequenziale del file nell'elenco dei sospetti.

    • [-extension text, … ] : Estensioni dei file

    • [-start-time date_time -end-time date_time] : Ora di inizio e di fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

  2. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    L'esempio seguente mostra l'istantanea in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Ripristinare se non è stato identificato un attacco di sistema

  1. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    L'esempio seguente mostra l'istantanea in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Ulteriori informazioni su volume snapshot nella "Riferimento al comando ONTAP".

Informazioni correlate