Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristina i dati dagli snapshot ONTAP ARP dopo un attacco ransomware

Collaboratori netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

Autonomous Ransomware Protection (ARP) crea snapshot per proteggersi da una potenziale minaccia ransomware. È possibile utilizzare gli snapshot ARP o un altro snapshot del volume per ripristinare i dati.

A proposito di questa attività

A seconda della potenziale situazione di attacco, ripristinerai i dati in uno dei seguenti modi:

ARP crea Snapshot con uno dei seguenti nomi preceduti:

  • Anti_ransomware_periodic_backup : Utilizzato in ONTAP 9.17.1 e versioni successive per gli snapshot creati a intervalli regolari. Ad esempio, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Utilizzato in ONTAP 9.17.1 e versioni successive per gli snapshot creati in risposta ad anomalie. Ad esempio, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Utilizzato in ONTAP 9.16.1 e versioni precedenti con snapshot creati in risposta ad anomalie. Ad esempio, Anti_ransomware_backup.2022-12-20_1248 .

Prima di iniziare
Fasi

Segui questi passaggi quando devi ripristinare i dati dopo che ARP ha rilevato un'anomalia:

Scegli un metodo di recovery

A seconda dell'entità del danneggiamento dei dati e delle esigenze operative, è possibile scegliere uno o una combinazione di questi metodi di recovery.

  • Ripristino snapshot del volume: Ripristina l'intero volume a uno snapshot selezionato (ARP o pianificato). Questo è il metodo più veloce ma elimina tutti gli snapshot creati dopo il punto di ripristino.

  • FlexClone da uno snapshot pulito: crea un volume clone dallo snapshot selezionato, preservando il volume originale e tutti i suoi snapshot per analisi forensi o recovery aggiuntivo. Si consiglia di separare il clone dal volume d'origine per isolare il volume padre infetto dal clone pulito.

    Scopri di più su "creazione di un FlexClone volume da una Snapshot" e "separazione di un FlexClone dal suo volume d'origine".

  • Single-file SnapRestore: Ripristina singoli file da snapshot. Ogni file può provenire da uno snapshot diverso. Questa soluzione è pratica quando il numero di file interessati è relativamente piccolo (da decine a centinaia di file).

    Scopri di più su "ripristino di un singolo file da una Snapshot".

  • Copia dei dati dalla .snapshot directory: Copia i dati dal punto di montaggio dello snapshot a un nuovo volume utilizzando le operazioni standard di copia dei file. Questo metodo preserva il volume e gli snapshot originali per l'analisi.

  • Approccio ibrido: Il volume viene prima ripristinato allo snapshot pulito più vicino utilizzando SnapRestore, quindi i file danneggiati rimanenti vengono ripristinati singolarmente da un altro snapshot o da backup esterno.

Vincoli e considerazioni per il recovery

  • Per ONTAP 9.15.1 e versioni precedenti, il rilascio del blocco dello snapshot ARP elimina immediatamente gli snapshot ARP. Rilasciare il blocco solo se non si prevede di eseguire un ripristino da uno snapshot ARP.

  • Il rilascio del blocco anti-ransomware prima del ripristino da snapshot precedenti è necessario solo quando si utilizza volume snapshot restore. Non è necessario per FlexClone, operazioni di SnapRestore su singoli file, operazioni di copia dei dati o metodi simili.

Considerazioni su SnapMirror

  • Se il volume fa parte di una relazione SAN SnapMirror sincrona o di sincronizzazione attiva SnapMirror in ONTAP 9.19.1 RC e si prevede un ripristino a livello di volume, mettere in quiescenza o "interrompere la relazione prima di ripristinare" quindi ristabilire la protezione dopo il ripristino.

  • Se si ripristina un volume protetto da ARP da uno snapshot mentre partecipa a una relazione di SnapMirror, è necessario aggiornare manualmente tutte le copie mirror dopo il ripristino. In caso contrario, le copie mirror potrebbero diventare inutilizzabili e potrebbe essere necessario eliminarle e ricrearle.

Per informazioni complete su SnapMirror e sul comportamento di interoperabilità ARP, comprese le considerazioni relative a snapshot e failover, vedere "Interoperabilità di SnapMirror e ARP".

Ripristino dopo un attacco di sistema

Per il ripristino degli snapshot di volume, scegli uno di questi flussi a seconda dell'origine dello snapshot e della situazione:

Ripristina dall'istantanea ARP più recente

Scegli questo flusso quando puoi ripristinare con sicurezza dallo snapshot ARP più recente, ovvero lo snapshot più aggiornato disponibile per il recovery.

System Manager

  1. Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  2. Per ONTAP 9.16.1 e versioni successive, prima di eseguire un ripristino del volume, "eliminare i file sospetti".

    Nota Dopo aver eliminato i file sospetti, lo snapshot ARP viene conservato per 7 giorni (per impostazione predefinita). Se è necessario più tempo per recovery di dati, "regolare le impostazioni dello snapshot ARP" per aumentare il periodo di conservazione dello snapshot al valore desiderato. Dopo che il recovery di dati è stato completato, è possibile ridurre il periodo di conservazione.

  3. Seleziona Icona delle opzioni di menu accanto all'istantanea ARP più recente (Anti_ransomware che desideri ripristinare, quindi seleziona Ripristina.

  4. Per ONTAP 9.15.1 e versioni precedenti, al termine del ripristino, "eliminare i file sospetti".

CLI

  1. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <svm> -volume <volume>

  2. Per ONTAP 9.16.1 e versioni successive, prima di eseguire volume snapshot restore, "eliminare i file sospetti".

  3. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. Per ONTAP 9.15.1 e versioni precedenti, al termine del ripristino, "eliminare i file sospetti".

Ripristina da un'istantanea precedente

Scegli questo flusso quando non hai fiducia nell'istantanea più recente e desideri ripristinare da un'istantanea precedente. Rilascia il blocco sull'istantanea ARP più recente prima di ripristinare dall'istantanea precedente.

System Manager

  1. Rilascia il blocco sull'istantanea ARP più recente:

    1. Selezionare Storage > Volumes (Storage > volumi).

    2. Selezionare sicurezza, quindi Visualizza tipi di file sospetti.

    3. Contrassegna i file come "potenziale attacco ransomware".

    4. Seleziona Aggiorna e cancella i tipi di file sospetti.

      Nota Se hai già classificato l'attività come un potenziale attacco ransomware seguendo i passaggi descritti in "Rispondere alle attività anomale rilevate da ONTAP ARP", devi solo eliminare i tipi di file sospetti qui.

  2. Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  3. Seleziona Icona delle opzioni di menu accanto all'istantanea precedente che desideri ripristinare, quindi seleziona Ripristina.

CLI

  1. Se stai ripristinando da uno snapshot precedente volume snapshot restore, contrassegna l'attacco come potenziale ransomware (-false-positive false ed elimina i file sospetti per rilasciare il blocco:

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Utilizzare uno dei seguenti parametri per identificare le estensioni:

    • [-seq-no integer] : Numero sequenziale del file nell'elenco dei sospetti.

    • [-extension text, … ] : Estensioni dei file

    • [-start-time date_time -end-time date_time] : Ora di inizio e di fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

  2. Elencare gli snapshot in un volume:

    volume snapshot show -vserver <svm> -volume <volume>

    L'esempio seguente mostra l'istantanea in vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Ripristinare il contenuto di un volume da uno snapshot:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    Nell'esempio riportato di seguito viene ripristinato il contenuto di vol1:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Ripristina quando un attacco al sistema non viene identificato

Se non viene rilevato alcun attacco, ripristina prima dallo snapshot ARP più recente e poi ripristina da uno snapshot precedente a tua scelta.

System Manager

  1. Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.

  2. Seleziona Icona delle opzioni di menu quindi scegli l' `Anti_ransomware`istantanea più recente.

  3. Selezionare Restore (Ripristina).

  4. Torna al menu Copie Snapshot, quindi scegli lo snapshot precedente che desideri utilizzare.

  5. Selezionare Restore (Ripristina).

CLI

  1. Ripristina prima dall'istantanea ARP più recente:

    1. Elencare gli snapshot in un volume:

      volume snapshot show -vserver <svm> -volume <volume>

    2. Ripristinare il contenuto di un volume da uno snapshot:

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. Seleziona l'istantanea precedente che desideri utilizzare e ripeti il ripristino.

Ulteriori informazioni su volume snapshot nella "Riferimento al comando ONTAP".

Informazioni correlate