Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Rispondere alle attività anomale rilevate da ONTAP ARP

Collaboratori netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Quando la protezione ransomware autonoma (ARP) rileva attività anomale in un volume protetto, emette un avviso. È necessario valutare la notifica per determinare se l'attività è accettabile (falso positivo) o se un attacco sembra dannoso. Dopo aver categorizzato l'attacco, è possibile eliminare l'avviso e gli avvisi relativi ai file sospetti.

Quando si categorizza un attacco, gli snapshot ARP vengono conservati per un periodo di tempo abbreviato avviato dall'operazione di categorizzazione (ONTAP 9.16.1 e versioni successive) oppure eliminati immediatamente (ONTAP 9.15.1 e versioni precedenti).

Nota A partire da ONTAP 9.11.1, è possibile modificare "impostazioni di conservazione" per snapshot ARP.
A proposito di questa attività

ARP visualizza un elenco di file sospetti quando rileva una qualsiasi combinazione di elevata entropia dei dati, attività anomala del volume con crittografia dei dati ed estensioni di file insolite. A partire da ONTAP 9.17.1, sia per gli ambienti NAS che SAN, i dettagli sui picchi di entropia vengono riportati anche nella pagina Anti-ransomware di System Manager.

Quando viene emessa una notifica di avviso ARP, rispondere designando l'attività in uno dei due modi:

  • Falso positivo

    Il tipo di file identificato o il picco di entropia sono previsti nel carico di lavoro e possono essere ignorati.

  • Potenziale attacco ransomware

    Il tipo di file identificato o il picco di entropia sono inattesi nel tuo carico di lavoro e devono essere trattati come un potenziale attacco.

Il monitoraggio normale riprende dopo aver aggiornato la tua decisione e aver cancellato le notifiche ARP. ARP registra la tua valutazione nel profilo di valutazione delle minacce, utilizzando la tua scelta per monitorare le attività successive sui file.

In caso di attacco sospetto, è necessario determinare se si tratta di un attacco, rispondere al caso in cui si tratti e ripristinare i dati protetti prima di cancellare le notifiche. "Scopri di più su come eseguire il ripristino da un attacco ransomware".

Nota Se si ripristina un intero volume, non vi sono avvisi da cancellare.
Prima di iniziare

ARP deve proteggere attivamente un volume e non essere in modalità di apprendimento o valutazione.

Fasi

È possibile utilizzare System Manager o l'interfaccia CLI di ONTAP per rispondere a attività anomale.

System Manager

  1. Quando ricevi una notifica di "attività anomala", segui il link. In alternativa, accedi alla scheda Sicurezza della panoramica Volumi.

    Gli avvisi vengono visualizzati nel riquadro Panoramica del menu Eventi.

  2. Nella scheda Sicurezza, esaminare il report sui tipi di file sospetti o sui picchi di entropia.

    • Per i file sospetti, esaminare ogni tipo di file nella finestra di dialogo Tipi di file sospetti e contrassegnare ciascuno di essi singolarmente.

    • Per i picchi di entropia, esaminare il report sull'entropia.

  3. Registra la tua risposta:

    Se selezioni questo valore…​

    Eseguire questa azione…​

    Falso positivo

    1. Effettuare una delle seguenti operazioni:

      • Per avvisi sui tipi di file, seleziona Aggiorna e cancella i tipi di file sospetti.

      • Per i picchi di entropia, seleziona Segnala come falso positivo.

        Queste azioni cancellano gli avvisi relativi a file o attività sospette. ARP riprende quindi il normale monitoraggio del volume. Per ARP/AI in ONTAP 9.16.1 e versioni successive, gli snapshot ARP vengono eliminati automaticamente dopo un periodo di conservazione abbreviato attivato dall'operazione di categorizzazione. Per ONTAP 9.15.1 e versioni precedenti, gli snapshot ARP correlati vengono eliminati automaticamente dopo la cancellazione dei tipi di file sospetti.

      Nota A partire da ONTAP 9.13.1, se si utilizza MAV per proteggere le impostazioni ARP, l'operazione che si sospetta venga richiesta l'approvazione di uno o più amministratori aggiuntivi. "L'approvazione deve essere ricevuta da tutti gli amministratori" Associato al gruppo di approvazione MAV o l'operazione non riuscirà.

    Potenziale attacco ransomware

    1. Rispondere all'attacco:

    2. Una volta completato il ripristino dei dati, registra la tua decisione e riprendi il normale monitoraggio ARP:

      • Per avvisi sui tipi di file, seleziona Aggiorna e cancella i tipi di file sospetti.

      • Per i picchi di entropia, seleziona Segnala come potenziale attacco ransomware e seleziona Salva e ignora.

    Nota Se hai ripristinato un intero volume, non ci sono avvisi sui tipi di file sospetti da cancellare.

    La registrazione della decisione cancella il report di attacco. Per ARP/AI in ONTAP 9.16.1 e versioni successive, gli snapshot ARP vengono eliminati automaticamente dopo un periodo di conservazione abbreviato attivato dall'operazione di categorizzazione. Per ONTAP 9.15.1 e versioni precedenti, dopo il ripristino di un volume, gli snapshot ARP vengono eliminati automaticamente.
CLI

  1. Quando ricevi una notifica di un attacco ransomware sospetto, verifica l'ora e la gravità dell'attacco:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Output di esempio:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    È inoltre possibile controllare i messaggi EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Generare un report sugli attacchi e prendere nota della posizione di output:

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    Esempio di comando:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    Output di esempio:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Visualizzare il report su un sistema client di amministrazione. Ad esempio:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. In base alla valutazione delle estensioni dei file o dei picchi di entropia, esegui una delle seguenti azioni:

    • Falso positivo

      Esegui uno dei seguenti comandi per registrare la tua decisione e riprendere il normale monitoraggio di Autonomous Ransomware Protection:

      • Per le estensioni dei file:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        Utilizzare il seguente parametro opzionale per identificare solo estensioni specifiche come falsi positivi:

        • [-extension <text>, … ]: Estensioni di file

      • Per i picchi di entropia:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • Potenziale attacco ransomware

      Rispondere all'attacco e "Recuperare i dati dallo snapshot di backup creato da ARP". esegui uno dei seguenti comandi per registrare la tua decisione e riprendere il normale monitoraggio ARP:

      • Per le estensioni dei file:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        Utilizza il seguente parametro opzionale per identificare solo estensioni specifiche come potenziale ransomware:

        • [-extension <text>, … ]: Estensione file

      • Per i picchi di entropia:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    Questo clear-suspect L'operazione cancella il report di attacco. Non ci sono avvisi di tipo di file sospetto da cancellare se è stato ripristinato un intero volume. Per ARP/AI in ONTAP 9.16.1 e versioni successive, gli snapshot ARP vengono eliminati automaticamente dopo un periodo di conservazione abbreviato attivato dall'operazione di categorizzazione. Per ONTAP 9.15.1 e versioni precedenti, gli snapshot ARP vengono eliminati automaticamente dopo il ripristino di un volume o la cancellazione di un evento sospetto.

  5. Se si sta utilizzando MAV e un previsto clear-suspect L'operazione richiede ulteriori approvazioni, ogni responsabile dell'approvazione del gruppo MAV deve:

    1. Mostra la richiesta:

      security multi-admin-verify request show

    2. Approvare la richiesta di riprendere il normale monitoraggio anti-ransomware:

      security multi-admin-verify request approve -index[<number returned from show request>]

      La risposta dell'ultimo responsabile dell'approvazione del gruppo indica che il volume è stato modificato e che viene registrato un falso positivo.

  6. Se si utilizza MAV e si è un responsabile dell'approvazione del gruppo MAV, è anche possibile rifiutare una richiesta con un sospetto chiaro:

    security multi-admin-verify request veto -index[<number returned from show request>]
Informazioni correlate