ランサムウェア攻撃後にデータをリストア
変更を提案
PDF
Autonomous Ransomware Protection(ARP)は、ランサムウェアの潜在的な脅威を検出したときにという名前のSnapshotを作成します Anti_ransomware_backup。これらのARPスナップショットまたはボリュームの別のスナップショットのいずれかを使用してデータをリストアできます。
ボリュームにSnapMirror関係がある場合は、Snapshotからリストアしたあとすぐに、ボリュームのすべてのミラーコピーを手動でレプリケートします。ミラーコピーを使用しないと、ミラーコピーを使用できなくなり、削除および再作成が必要になる可能性があります。
システム攻撃が特定された後、スナップショット以外のスナップショットからリストアするには Anti_ransomware_backup、まずARPスナップショットを解放する必要があります。
システム攻撃が報告されていない場合は、最初にSnapshotからリストアしてから、選択したSnapshotからボリュームを以降にリストアする必要があります Anti_ransomware_backup。
データは、System ManagerまたはONTAP CLIを使用してリストアできます。
-
ARPスナップショットから復元するには、手順2に進みます。以前のスナップショットから復元するには、まずARPスナップショットのロックを解除する必要があります。
-
Storage > Volumes (ストレージ)を選択します。
-
を選択し、[疑わしいファイルの種類を表示]*を選択します。
-
ファイルを「ランサムウェア攻撃の可能性」としてマークします。
-
[更新]*および[疑わしいファイルの種類をクリア]*を選択します。
-
-
ボリューム内のSnapshotを表示します。
[ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。
-
リストアするSnapshotの横にあるを選択し、*[リストア]*を選択します
。
-
ボリューム内のSnapshotを表示します。
[ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。
-
それらを選択します
スナップショットを選択します Anti_ransomware_backup。 -
[* Restore] を選択します。
-
メニューに戻り、使用するSnapshotを選択します。[ Restore] を選択します。
-
ARPスナップショットから復元するには、手順2に進みます。以前のスナップショットからデータを復元するには、ARPスナップショットのロックを解除する必要があります。
以下のようにコマンドを使用している場合にのみ、以前のスナップショットから復元する前にAnti-Ransomware SnapLockを解放する必要があり `volume snap restore`ます。FlexClone、単一ファイルSnapRestore、またはその他の方法を使用してデータをリストアする場合は、この作業は必要ありません。 攻撃をランサムウェア攻撃の可能性としてマークし(
-false-positive false、疑いのあるファイルをクリアし(`clear-suspect`ます):
`anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false`次のいずれかのパラメータを使用して、拡張子を特定します。
`[-seq-no integer]`容疑者リスト内のファイルのシーケンス番号。
`[-extension text, … ]`クリアするファイル範囲のファイル拡張子の
`[-start-time date_time -end-time date_time]`開始時間と終了時間。形式は「MM/DD/YYYY HH:MM:SS」です。 -
ボリューム内のSnapshotコピーの一覧を表示します。
volume snapshot show -vserver <SVM> -volume <volume>次の例は、のSnapshotコピーを示してい `vol1`ます。
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Snapshotコピーからボリュームの内容をリストアします。
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例は、の内容をリストアし `vol1`ます。
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
ボリューム内のSnapshotコピーの一覧を表示します。
volume snapshot show -vserver <SVM> -volume <volume>次の例は、のSnapshotコピーを示してい `vol1`ます。
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Snapshotコピーからボリュームの内容をリストアします。
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例は、の内容をリストアし `vol1`ます。
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
手順1と2を繰り返して、必要なSnapshotを使用してボリュームをリストアします。