Rispondere ad attività anomale
-
PDF del sito di questa documentazione
-
Configurare, aggiornare e ripristinare ONTAP
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
![](https://docs.netapp.com/common/images/pdf-zip.png)
Raccolta di documenti PDF separati
Creating your file...
Quando la protezione ransomware autonoma (ARP) rileva attività anomale in un volume protetto, emette un avviso. È necessario valutare la notifica per determinare se l'attività è accettabile (falso positivo) o se un attacco sembra dannoso.
ARP visualizza un elenco di file sospetti quando rileva una combinazione di elevata entropia dei dati, attività anomale del volume con crittografia dei dati e estensioni di file insolite.
Quando viene emesso l'avviso, rispondere designando l'attività del file in uno dei due modi seguenti:
-
Falso positivo
Il tipo di file identificato è previsto nel carico di lavoro e può essere ignorato.
-
Potenziale attacco ransomware
Il tipo di file identificato non è previsto nel carico di lavoro e deve essere trattato come un potenziale attacco.
In entrambi i casi, il normale monitoraggio riprende dopo l'aggiornamento e la cancellazione degli avvisi. ARP registra la valutazione nel profilo di valutazione delle minacce, utilizzando la scelta dell'utente per monitorare le attività successive dei file.
In caso di attacco sospetto, è necessario determinare se si tratta di un attacco, rispondere al caso in cui si tratti e ripristinare i dati protetti prima di cancellare le notifiche. "Scopri di più su come eseguire il ripristino da un attacco ransomware".
|
Se si ripristina un intero volume, non vi sono avvisi da cancellare. |
ARP deve essere in esecuzione in modalità attiva.
È possibile utilizzare Gestione sistema o l'interfaccia CLI di ONTAP per rispondere a un'attività anomala.
-
Quando si riceve una notifica di "attività anomala", seguire il collegamento. In alternativa, accedere alla scheda sicurezza della panoramica volumi.
Gli avvisi vengono visualizzati nel riquadro Panoramica del menu Eventi.
-
Quando viene visualizzato il messaggio "rilevata attività anomala del volume", visualizzare i file sospetti.
Nella scheda protezione, selezionare Visualizza tipi di file sospetti.
-
Nella finestra di dialogo tipi di file sospetti, esaminare ciascun tipo di file e contrassegnarlo come "falso positivo" o "potenziale attacco ransomware".
Se si seleziona questo valore… |
Eseguire questa azione… |
||
Falso positivo |
Selezionare Aggiorna e Cancella tipi di file sospetti per registrare la decisione e riprendere il normale monitoraggio ARP.
|
||
Potenziale attacco ransomware |
Rispondere all'attacco e ripristinare i dati protetti. Quindi selezionare Aggiorna e Cancella tipi di file sospetti per registrare la decisione e riprendere il normale monitoraggio ARP. |
-
Quando ricevi una notifica di un attacco ransomware sospetto, verifica l'ora e la gravità dell'attacco:
security anti-ransomware volume show -vserver svm_name -volume vol_name
Output di esempio:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
È inoltre possibile controllare i messaggi EMS:
event log show -message-name callhome.arw.activity.seen
-
Generare un report sugli attacchi e prendere nota della posizione di output:
security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/
Output di esempio:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
Visualizzare il report su un sistema client di amministrazione. Ad esempio:
[root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08 19 "9/14/2021 01:03:23" test_dir_1/test_file_1.jpg.lckd 20 "9/14/2021 01:03:46" test_dir_2/test_file_2.jpg.lckd 21 "9/14/2021 01:03:46" test_dir_3/test_file_3.png.lckd`
-
Eseguire una delle seguenti operazioni in base alla valutazione delle estensioni dei file:
-
Falso positivo
Immettere il seguente comando per registrare la decisione, aggiungere il nuovo interno all'elenco di quelli consentiti e riprendere il normale monitoraggio anti-ransomware:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
Per identificare gli interni, utilizzare uno dei seguenti parametri:
[-seq-no integer]
Numero di sequenza del file nell'elenco dei file sospetti.
[-extension text, … ]
Estensioni di file
[-start-time date_time -end-time date_time]
Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS". -
Potenziale attacco ransomware
Rispondere all'attacco e. "Recuperare i dati dallo snapshot di backup creato da ARP". Una volta ripristinati i dati, immettere il seguente comando per registrare la decisione e riprendere il normale monitoraggio ARP:
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
Per identificare gli interni, utilizzare uno dei seguenti parametri:
[-seq-no integer]
Numero di sequenza del file nell'elenco dei file sospetti
[-extension text, … ]
Estensione del file
[-start-time date_time -end-time date_time]
Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".
Non esistono tipi di file sospetti da eliminare se è stato ripristinato un intero volume. Lo snapshot di backup creato da ARP verrà rimosso e il report dell'attacco verrà cancellato.
-
-
Se si sta utilizzando MAV e un previsto
clear-suspect
L'operazione richiede ulteriori approvazioni, ogni responsabile dell'approvazione del gruppo MAV deve:-
Mostra la richiesta:
security multi-admin-verify request show
-
Approvare la richiesta di riprendere il normale monitoraggio anti-ransomware:
security multi-admin-verify request approve -index[number returned from show request]
La risposta dell'ultimo responsabile dell'approvazione del gruppo indica che il volume è stato modificato e che viene registrato un falso positivo.
-
-
Se si utilizza MAV e si è un responsabile dell'approvazione del gruppo MAV, è anche possibile rifiutare una richiesta con un sospetto chiaro:
security multi-admin-verify request veto -index[number returned from show request]