Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Rispondere alle attività anomale rilevate da ONTAP ARP

Collaboratori netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Quando Autonomous Ransomware Protection (ARP) rileva attività anomale in un volume protetto, emette un avviso. È necessario valutare la notifica per determinare se l'attività è accettabile (falso positivo) o se si tratta di un attacco potenzialmente dannoso. Dopo aver classificato l'attacco, è possibile eliminare l'avviso e le notifiche relative ad attività anomale.

Quando si categorizza un attacco, gli snapshot ARP vengono conservati per un periodo abbreviato avviato dall'operazione di categorizzazione (ONTAP 9.16.1 e versioni successive), oppure eliminati immediatamente quando si cancella l'evento sospetto (ONTAP 9.15.1 e versioni precedenti).

Nota A partire da ONTAP 9.11.1, è possibile modificare "impostazioni di conservazione" per snapshot ARP.
A proposito di questa attività

Per i volumi NAS, ARP visualizza un elenco di file sospetti quando rileva una qualsiasi combinazione di elevata entropia dei dati, attività anomala del volume con crittografia dei dati ed estensioni di file insolite.

A partire da ONTAP 9.17.1:

  • Per i volumi NAS: ARP continua a fornire file e tipi di file sospetti.

  • Per i volumi SAN (volumi che contengono LUN o namespace NVMe): ARP valuta l'entropia solo a livello di volume. ONTAP non visualizza i singoli file all'interno del LUN o del namespace, pertanto gli elenchi di file sospetti e i tipi di file non sono disponibili. Invece, ARP segnala i picchi a livello di volume nella percentuale di crittografia (picchi di entropia).

I dettagli relativi ai picchi di entropia per i volumi NAS e SAN sono riportati nella pagina Anti-ransomware di System Manager.

Quando viene emessa una notifica di avviso ARP, rispondere designando l'attività in uno dei due modi:

  • Falso positivo

    Il tipo di file identificato o il picco di entropia sono previsti nel carico di lavoro e possono essere ignorati.

  • Potenziale attacco ransomware

    Il tipo di file identificato o il picco di entropia sono inattesi nel tuo carico di lavoro e devono essere trattati come un potenziale attacco.

Il monitoraggio normale riprende dopo aver aggiornato la tua decisione e aver cancellato le notifiche ARP. ARP registra la tua valutazione nel profilo di valutazione delle minacce, utilizzando la tua scelta per monitorare le attività successive sui file.

In caso di sospetto attacco, è necessario stabilire se si tratta effettivamente di un attacco, rispondere in caso affermativo e quindi eliminare le notifiche e ripristinare i dati nell'ordine richiesto dal metodo di recovery e dalla versione di ONTAP. "Scopri di più su come eseguire il ripristino da un attacco ransomware".

Prima di iniziare

ARP deve proteggere attivamente un volume e non essere in modalità di apprendimento o valutazione.

Fasi

Segui questi passaggi quando devi classificare un'attività anomala:

  1. Esaminare i dettagli dell'attività anomala

  2. Comprendi il comportamento e le approvazioni delle Snapshot quando si cancella un evento sospetto

  3. Effettuare una delle seguenti operazioni:

Se devi ripristinare i dati, segui i passaggi descritti in "Ripristina i dati dagli snapshot ONTAP ARP dopo un attacco ransomware".

Esaminare i dettagli dell'attività anomala

È possibile utilizzare System Manager o la CLI di ONTAP per esaminare i dettagli degli avvisi ARP prima di scegliere un flusso di risposta.

System Manager

  1. Quando ricevi una notifica di "attività anomala", segui il link. In alternativa, vai su Archiviazione > Volumi, individua un volume interessato e seleziona la scheda Sicurezza.

    Gli avvisi vengono visualizzati nel riquadro Panoramica del menu Eventi della dashboard di System Manager.

  2. Nella scheda Sicurezza, esamina i dettagli dell'attività anomala:

    • Per i volumi NAS, consultare il report Tipi di file sospetti. La finestra di dialogo Tipi di file sospetti mostra le estensioni dei file e il numero di file che ARP ha identificato.

    • Per entrambi i volumi NAS e SAN, esaminare il report dei picchi di entropia, che mostra l'intervallo di tempo, la durata, la quantità di dati scritti e i valori di entropia.

CLI

  1. Quando ricevi una notifica di un attacco ransomware sospetto, verifica l'ora e la gravità dell'attacco:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Output di esempio:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    È inoltre possibile controllare i messaggi EMS:

    event log show -message-name callhome.arw.activity.seen

  2. (Opzionale, NAS e SAN) Visualizza i picchi di entropia rilevati di recente sul volume:

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    Questo comando riassume gli intervalli di tempo in cui ONTAP ha rilevato un'elevata percentuale di crittografia (picco di entropia). Si applica sia ai volumi NAS che SAN.

  3. (Facoltativo) Visualizza un istogramma della percentuale di crittografia nel tempo:

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

Comprendi il comportamento e le approvazioni delle Snapshot quando si cancella un evento sospetto

  • Per volume snapshot restore ONTAP 9.16.1 e versioni successive, elimina prima l'evento sospetto e poi esegui il ripristino. Dopo aver eliminato i file sospetti, gli snapshot ARP vengono conservati in base a come categorizzi l'attività: 7 giorni (impostazione predefinita) se contrassegni l'attività come potenziale attacco ransomware, oppure 24 ore se la contrassegni come falso positivo. L'eliminazione preliminare non rimuove il target di ripristino. Inoltre, l'opzione clear-suspect non è più disponibile dopo un ripristino del volume, quindi è necessario eliminare prima di ripristinare.

  • Per volume snapshot restore le versioni di ONTAP 9.15.1 e precedenti, eseguire prima il ripristino e poi cancellare l'evento sospetto. Gli snapshot ARP vengono eliminati immediatamente quando si cancellano i file sospetti, quindi è necessario completare il ripristino prima della cancellazione per evitare di perdere lo snapshot prima che l'operazione di ripristino possa essere eseguita.

  • Per i metodi di recovery diversi da volume snapshot restore (ad esempio, FlexClone o SnapRestore a file singolo), eseguire prima il recovery di dati e poi cancellare l'evento sospetto. Questi metodi non influiscono sulla disponibilità dell'opzione clear-suspect.

  • A partire da ONTAP 9.13.1, se si utilizza MAV per proteggere le impostazioni ARP, l' `clear-suspect`operazione può richiedere approvazioni aggiuntive. "L'approvazione deve essere ricevuta da tutti gli amministratori"associate al gruppo di approvazione MAV o l'operazione non riuscirà.

Classificare come falso positivo e riprendere il monitoraggio

Utilizzare questo flusso quando il tipo di file identificato o il picco di entropia sono previsti per il carico di lavoro.

System Manager

  1. Registra la tua risposta:

    • Per gli avvisi relativi ai tipi di file NAS, selezionare i file interessati, scegliere Segna come falso positivo e quindi scegliere Aggiorna e cancella i tipi di file sospetti.

    • Per i picchi di entropia (NAS e SAN), selezionare Segna come falso positivo e quindi selezionare Salva e ignora.

Queste azioni eliminano gli avvisi relativi a file sospetti (NAS) o attività anomale (NAS e SAN). ARP riprende quindi il normale monitoraggio del volume.

CLI

  1. Esegui uno dei seguenti comandi per registrare la tua decisione e riprendere il normale monitoraggio di Autonomous Ransomware Protection:

    • Per le estensioni di file NAS:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      Utilizzare il seguente parametro facoltativo per identificare come falsi positivi solo estensioni specifiche: [-extension <text>, …​ ]

    • Per i picchi di entropia (NAS e SAN):

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      Per i volumi SAN, questo è l'unico metodo supportato per classificare le attività anomale; non sono disponibili elenchi di file sospetti o estensioni di file.

  2. A partire da ONTAP 9.18.1, è possibile determinare lo stato dell'operazione clear-suspect:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Classificare come potenziale attacco ransomware e recuperare i dati

Utilizzare questo flusso quando il tipo di file identificato o il picco di entropia sono inaspettati per il carico di lavoro.

System Manager

  1. Classifica l'attività:

    • Per gli avvisi relativi ai tipi di file NAS, contrassegna i file selezionati come Potenziale attacco ransomware.

    • Per i picchi di entropia (NAS e SAN), selezionare Segna come potenziale attacco ransomware.

  2. Prima di recuperare i dati, dovresti considerare il tuo "opzioni del metodo di recupero". Quindi esegui una delle seguenti operazioni:

    • Se si prevede di ripristinare un volume con ONTAP 9.16.1 e versioni successive: cancellare gli avvisi, quindi ripristinare il volume:

      1. Avvisi chiari per il potenziale attacco:

        • Per gli avvisi relativi ai tipi di file NAS, selezionare Aggiorna e cancella i tipi di file sospetti.

        • Per i picchi di entropia (NAS e SAN), selezionare Salva e chiudi.

          Nota Dopo aver eliminato i file sospetti, lo snapshot ARP viene conservato per 7 giorni (per impostazione predefinita). Se è necessario più tempo per recovery di dati, "regolare le impostazioni dello snapshot ARP" per aumentare il periodo di conservazione dello snapshot al valore desiderato. Dopo che il recovery di dati è stato completato, è possibile ridurre il periodo di conservazione.

      2. Recupera i dati utilizzando "l'istantanea ARP più recente o un'istantanea precedente".

    • Se si prevede di ripristinare un volume con ONTAP 9.15.1 e versioni precedenti: Ripristinare il volume, quindi cancellare gli avvisi:

      1. Recupera i dati utilizzando "l'istantanea ARP più recente o un'istantanea precedente".

      2. Finalizza la categorizzazione dopo il ripristino dei dati per riprendere il normale monitoraggio ARP:

        • Per gli avvisi relativi ai tipi di file NAS, selezionare Aggiorna e cancella i tipi di file sospetti.

        • Per i picchi di entropia (NAS e SAN), selezionare Salva e chiudi.

    • Se si intende utilizzare un altro metodo di ripristino: ripristinare prima i dati, quindi eliminare gli avvisi:

      1. "Recupera i dati utilizzando FlexClone o SnapRestore per singolo file".

      2. Completare la categorizzazione dopo il ripristino dei dati per riprendere il normale monitoraggio ARP:

        • Per gli avvisi relativi ai tipi di file NAS, selezionare Aggiorna e cancella i tipi di file sospetti.

        • Per i picchi di entropia (NAS e SAN), selezionare Salva e chiudi.

          Nota Registrando la tua decisione, la segnalazione di attacco viene cancellata.
CLI

  1. (Solo volumi NAS) Crea una segnalazione di attacco:

    1. Genera un rapporto di attacco e specifica dove salvarlo.

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      Esempio di comando:

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      Output di esempio:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. Visualizzare il report su un sistema client di amministrazione. Ad esempio:

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      Nota Questo comando non è supportato sui volumi che contengono LUN o namespace NVMe (carichi di lavoro SAN).

  2. Scegli un'opzione "metodo di recupero". Quindi esegui una delle seguenti operazioni:

    • Se si intende utilizzare volume snapshot restore: Seguire la sequenza specifica della versione:

      • ONTAP 9.16.1 e versioni successive: Elimina prima l'attacco, poi esegui volume snapshot restore:

        1. Esegui uno dei seguenti comandi per eliminare i file sospetti:

          • Per le estensioni di file NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilizzare il seguente parametro facoltativo per identificare solo estensioni specifiche come potenziali ransomware: [-extension <text>, …​ ]

          • Per i picchi di entropia (NAS e SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Per i volumi SAN, utilizzare questo comando per confermare l'attacco prima del ripristino. Questo aggiorna la valutazione delle minacce ARP per il carico di lavoro SAN.

        2. Recupera i dati utilizzando "uno snapshot ARP recente o uno snapshot precedente".

      • ONTAP 9.15.1 e versioni precedenti: Eseguire volume snapshot restore prima, poi neutralizzare l'attacco:

        1. Recupera i dati utilizzando "uno snapshot ARP recente o uno snapshot precedente".

        2. Esegui uno dei seguenti comandi per eliminare i file sospetti:

          • Per le estensioni di file NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilizzare il seguente parametro facoltativo per identificare solo estensioni specifiche come potenziali ransomware: [-extension <text>, …​ ]

          • Per i picchi di entropia (NAS e SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Per i volumi SAN, utilizzare questo comando per confermare l'attacco dopo il ripristino. Questo aggiorna la valutazione delle minacce ARP per il carico di lavoro SAN.

    • Se si intende utilizzare altri metodi di ripristino: ripristinare prima i dati, quindi eliminare l'attacco:

      1. Recupera i dati utilizzando "FlexClone o SnapRestore per file singolo".

      2. Eseguire uno dei seguenti comandi per eliminare i file sospetti:

        • Per le estensioni di file NAS:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          Utilizzare il seguente parametro facoltativo per identificare solo estensioni specifiche come potenziali ransomware: [-extension <text>, …​ ]

        • Per i picchi di entropia (NAS e SAN):

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          Per i volumi SAN, utilizzare questo comando per confermare l'attacco dopo il ripristino. Questo aggiorna la valutazione delle minacce ARP per il carico di lavoro SAN.

  3. A partire da ONTAP 9.18.1, è possibile determinare lo stato dell'operazione clear-suspect:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Opzioni di verifica multi-amministratore

Se si utilizza la verifica multi-amministratore (MAV) e un'operazione prevista clear-suspect richiede approvazioni aggiuntive, ogni approvatore del gruppo MAV deve:

  1. Mostra la richiesta:

    security multi-admin-verify request show

  2. Approvare la richiesta di riprendere il normale monitoraggio anti-ransomware:

    security multi-admin-verify request approve -index[<number returned from show request>]

    La risposta dell'ultimo responsabile dell'approvazione del gruppo indica che il volume è stato modificato e che viene registrato un falso positivo.

Se si utilizza MAV e si è un responsabile dell'approvazione del gruppo MAV, è anche possibile rifiutare una richiesta con un sospetto chiaro:

security multi-admin-verify request veto -index[<number returned from show request>]
Informazioni correlate