ランサムウェア攻撃のあとにデータをリストア
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
「Anti Ransomware Protection(ARP)が潜在的な攻撃を検出すると、「Anti Ransomware Backup」という名前のSnapshotコピーが作成されます。これらのARPコピーまたは他のSnapshotコピーからデータをリストアできます。
ボリュームに SnapMirror 関係が設定されている場合は、 Snapshot コピーからリストアしたあと、すぐにボリュームのすべてのミラーコピーを手動でレプリケートします。レプリケートしないと、ミラーコピーを使用できなくなり、削除および再作成が必要になることがあります。
データは、System ManagerまたはONTAP CLIを使用してリストアできます。
-
ARPコピーではなく以前のSnapshotコピーからデータをリストアする場合は、ランサムウェア対策Snapshotロックを解除する必要があります。ARPコピーから復元する場合は、ロックを解除する必要はなく、この手順は省略できます。
システム攻撃が特定された場合の対処方法 システム攻撃が特定されなかった場合の対処方法 -
Storage > Volumes (ストレージ)を選択します。
-
を選択し、[疑わしいファイルタイプの表示]*を選択します。
-
ファイルを「False Positive」としてマークします。
-
[更新]*および[疑わしいファイルの種類をクリア]*を選択します。
Snapshotロックを解除するには、以前のSnapshotコピーからリストアする前に、ARPコピーからリストアする必要があります。
手順2~3に従ってARPコピーからデータをリストアし、同じ手順を繰り返して以前のSnapshotコピーからリストアします。
-
-
ボリューム内のSnapshotコピーを表示します。
[ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。
-
選択するオプション をクリックし、*[リストア]*を選択します。
-
ARPコピーからではなく、以前のSnapshotコピーからデータをリストアする場合は、次の手順を実行して、ランサムウェア対策Snapshotロックを解除する必要があります。 ARPコピーから復元する場合は、ロックを解除する必要はなく、この手順は省略できます。
を使用している場合にのみ、以前のSnapshotコピーからリストアする前にAnti-Ransomware SnapLockを解放する必要があります volume snap restore
以下のコマンドを実行します。 FlexClone、Single File Snap Restore、またはその他の方法を使用してデータをリストアする場合は、この作業は必要ありません。システム攻撃が特定された場合の対処方法 システム攻撃が特定されなかった場合の対処方法 攻撃を「誤検知」および「明確な容疑者」としてマークします。
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
拡張機能を識別するには、次のいずれかのパラメータを使用します。
[-seq-no integer]
疑わしいリスト内のファイルのシーケンス番号。
[-extension text, … ]
ファイル拡張子
[-start-time date_time -end-time date_time]
消去されるファイル範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。Snapshotロックを解除するには、以前のSnapshotコピーからリストアする前に、ARPコピーからリストアする必要があります。
手順2~3に従ってARPコピーからデータをリストアし、同じ手順を繰り返して以前のSnapshotコピーからリストアします。
-
ボリューム内の Snapshot コピーの一覧を表示します。
volume snapshot show -vserver SVM -volume volume
次の例は、のSnapshotコピーを示しています
vol1
:clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
Snapshot コピーからボリュームの内容をリストアします。
volume snapshot restore -vserver SVM -volume volume -snapshot snapshot
次の例は、の内容をリストアします
vol1
:cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010