Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Rispondere ad attività anomale

Collaboratori
PDF

Quando la protezione ransomware autonoma (ARP) rileva attività anomale in un volume protetto, emette un avviso. È necessario valutare la notifica per determinare se l'attività è accettabile (falso positivo) o se un attacco sembra dannoso.

A proposito di questa attività

ARP visualizza un elenco di file sospetti quando rileva una combinazione di elevata entropia dei dati, attività anomale del volume con crittografia dei dati e estensioni di file insolite.

Quando viene emesso l'avviso, rispondere designando l'attività del file in uno dei due modi seguenti:

  • Falso positivo

    Il tipo di file identificato è previsto nel carico di lavoro e può essere ignorato.

  • Potenziale attacco ransomware

    Il tipo di file identificato non è previsto nel carico di lavoro e deve essere trattato come un potenziale attacco.

In entrambi i casi, il normale monitoraggio riprende dopo l'aggiornamento e la cancellazione degli avvisi. ARP registra la valutazione nel profilo di valutazione delle minacce, utilizzando la scelta dell'utente per monitorare le attività successive dei file.

In caso di attacco sospetto, è necessario determinare se si tratta di un attacco, rispondere al caso in cui si tratti e ripristinare i dati protetti prima di cancellare le notifiche. "Scopri di più su come eseguire il ripristino da un attacco ransomware".

Nota Se si ripristina un intero volume, non vi sono avvisi da cancellare.
Prima di iniziare

ARP deve essere in esecuzione in modalità attiva.

Fasi

È possibile utilizzare Gestione sistema o l'interfaccia CLI di ONTAP per rispondere a un'attività anomala.

System Manager

  1. Quando si riceve una notifica di "attività anomala", seguire il collegamento. In alternativa, accedere alla scheda sicurezza della panoramica volumi.

    Gli avvisi vengono visualizzati nel riquadro Panoramica del menu Eventi.

  2. Quando viene visualizzato il messaggio "rilevata attività anomala del volume", visualizzare i file sospetti.

    Nella scheda protezione, selezionare Visualizza tipi di file sospetti.

  3. Nella finestra di dialogo tipi di file sospetti, esaminare ciascun tipo di file e contrassegnarlo come "falso positivo" o "potenziale attacco ransomware".

Se si seleziona questo valore…​

Eseguire questa azione…

Falso positivo

Selezionare Aggiorna e Cancella tipi di file sospetti per registrare la decisione e riprendere il normale monitoraggio ARP.

Nota A partire da ONTAP 9.13.1, se si utilizza MAV per proteggere le impostazioni ARP, l'operazione che si sospetta venga richiesta l'approvazione di uno o più amministratori aggiuntivi. "L'approvazione deve essere ricevuta da tutti gli amministratori" Associato al gruppo di approvazione MAV o l'operazione non riuscirà.

Potenziale attacco ransomware

Rispondere all'attacco e ripristinare i dati protetti. Quindi selezionare Aggiorna e Cancella tipi di file sospetti per registrare la decisione e riprendere il normale monitoraggio ARP.
Non esistono tipi di file sospetti da eliminare se è stato ripristinato un intero volume.
CLI

  1. Quando ricevi una notifica di un attacco ransomware sospetto, verifica l'ora e la gravità dell'attacco:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Output di esempio:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    È inoltre possibile controllare i messaggi EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Generare un report sugli attacchi e prendere nota della posizione di output:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Output di esempio:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Visualizzare il report su un sistema client di amministrazione. Ad esempio:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. Eseguire una delle seguenti operazioni in base alla valutazione delle estensioni dei file:

    • Falso positivo

      Immettere il seguente comando per registrare la decisione, aggiungere il nuovo interno all'elenco di quelli consentiti e riprendere il normale monitoraggio anti-ransomware:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Per identificare gli interni, utilizzare uno dei seguenti parametri:
      [-seq-no integer] Numero di sequenza del file nell'elenco dei file sospetti.
      [-extension text, … ] Estensioni di file
      [-start-time date_time -end-time date_time] Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

    • Potenziale attacco ransomware

      Rispondere all'attacco e. "Recuperare i dati dallo snapshot di backup creato da ARP". Una volta ripristinati i dati, immettere il seguente comando per registrare la decisione e riprendere il normale monitoraggio ARP:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Per identificare gli interni, utilizzare uno dei seguenti parametri:
      [-seq-no integer] Numero di sequenza del file nell'elenco dei file sospetti
      [-extension text, … ] Estensione del file
      [-start-time date_time -end-time date_time] Orari di inizio e fine dell'intervallo di file da cancellare, nel formato "MM/GG/AAAA HH:MM:SS".

    Non esistono tipi di file sospetti da eliminare se è stato ripristinato un intero volume. Lo snapshot di backup creato da ARP verrà rimosso e il report dell'attacco verrà cancellato.

  5. Se si sta utilizzando MAV e un previsto clear-suspect L'operazione richiede ulteriori approvazioni, ogni responsabile dell'approvazione del gruppo MAV deve:

    1. Mostra la richiesta:

      security multi-admin-verify request show

    2. Approvare la richiesta di riprendere il normale monitoraggio anti-ransomware:

      security multi-admin-verify request approve -index[number returned from show request]

    La risposta dell'ultimo responsabile dell'approvazione del gruppo indica che il volume è stato modificato e che viene registrato un falso positivo.

  6. Se si utilizza MAV e si è un responsabile dell'approvazione del gruppo MAV, è anche possibile rifiutare una richiesta con un sospetto chiaro:

    security multi-admin-verify request veto -index[number returned from show request]

Ulteriori informazioni