Ripristinare i dati dopo un attacco ransomware
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
La protezione autonoma dal ransomware (ARP) crea copie Snapshot denominate Anti_ransomware_backup
quando rileva una potenziale minaccia ransomware. È possibile utilizzare una di queste copie snapshot ARP o un'altra copia Snapshot del volume per ripristinare i dati.
Se il volume presenta relazioni SnapMirror, replicare manualmente tutte le copie mirror del volume immediatamente dopo il ripristino da una copia Snapshot. In caso contrario, le copie mirror non possono essere utilizzabili e devono essere eliminate e ricreate.
Per eseguire il ripristino da uno Snapshot diverso da Anti_ransomware_backup
Snapshot dopo aver identificato un attacco di sistema, è necessario prima rilasciare lo snapshot ARP.
Se non è stato segnalato alcun attacco al sistema, è necessario prima eseguire il ripristino da Anti_ransomware_backup
La copia Snapshot, quindi, completa un successivo ripristino del volume dalla copia Snapshot scelta.
Per ripristinare i dati, è possibile utilizzare Gestione di sistema o l'interfaccia utente di ONTAP.
-
Per eseguire il ripristino dall'istantanea ARP, passare direttamente al punto 2. Per eseguire il ripristino da una copia Snapshot precedente, è necessario prima rilasciare il blocco sull'istantanea ARP.
-
Selezionare Storage > Volumes (Storage > volumi).
-
Selezionare sicurezza, quindi Visualizza tipi di file sospetti
-
Contrassegnare i file come "False Positive" (Falso positivo).
-
Selezionare Aggiorna e Cancella tipi di file sospetti
-
-
Visualizzare le copie Snapshot nei volumi:
Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.
-
Selezionare Accanto alla copia istantanea che si desidera ripristinare, quindi Restore.
-
Visualizzare le copie Snapshot nei volumi:
Selezionare archiviazione > volumi, quindi selezionare il volume e Snapshot Copies.
-
Selezionare loro scelgono il
Anti_ransomware_backup
Istantanea. -
Selezionare Restore (Ripristina).
-
Tornare al menu Snapshot Copies, quindi scegliere la copia istantanea che si desidera utilizzare. Selezionare Restore (Ripristina).
-
Per eseguire il ripristino dalla copia snapshot ARP, passare direttamente al punto 2. Per ripristinare i dati da copie Snapshot precedenti, è necessario rilasciare il blocco sullo snapshot ARP.
È necessario rilasciare il SnapLock anti-ransomware solo prima di eseguire il ripristino dalle copie Snapshot precedenti, se si utilizza volume snap restore
come descritto di seguito. Se si ripristinano i dati utilizzando Flex Clone, Single file Snap Restore o altri metodi, ciò non è necessario.Contrassegnare l'attacco come "falso positivo" e "chiaro sospetto":
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
Per identificare gli interni, utilizzare uno dei seguenti parametri:
[-seq-no integer]
Numero di sequenza del file nell'elenco dei file sospetti.
[-extension text, … ]
Estensioni di file
[-start-time date_time -end-time date_time]
Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS". -
Elencare le copie Snapshot in un volume:
volume snapshot show -vserver SVM -volume volume
L'esempio seguente mostra le copie Snapshot in
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Ripristinare il contenuto di un volume da una copia Snapshot:
volume snapshot restore -vserver SVM -volume volume -snapshot snapshot
Nell'esempio riportato di seguito viene ripristinato il contenuto di
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Elencare le copie Snapshot in un volume:
volume snapshot show -vserver SVM -volume volume
L'esempio seguente mostra le copie Snapshot in
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Ripristinare il contenuto di un volume da una copia Snapshot:
volume snapshot restore -vserver SVM -volume volume -snapshot snapshot
Nell'esempio riportato di seguito viene ripristinato il contenuto di
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
Ripetere i passaggi 1 e 2 per ripristinare il volume utilizzando la copia Snapshot desiderata.