Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ランサムウェア攻撃のあとにデータをリストア

共同作成者

「Anti Ransomware Protection(ARP)が潜在的な攻撃を検出すると、「Anti Ransomware Backup」という名前のSnapshotコピーが作成されます。これらのARPコピーまたは他のSnapshotコピーからデータをリストアできます。

このタスクについて

ボリュームに SnapMirror 関係が設定されている場合は、 Snapshot コピーからリストアしたあと、すぐにボリュームのすべてのミラーコピーを手動でレプリケートします。レプリケートしないと、ミラーコピーを使用できなくなり、削除および再作成が必要になることがあります。

手順

データは、System ManagerまたはONTAP CLIを使用してリストアできます。

System Manager の略
  1. ARPコピーではなく以前のSnapshotコピーからデータをリストアする場合は、ランサムウェア対策Snapshotロックを解除する必要があります。ARPコピーから復元する場合は、ロックを解除する必要はなく、この手順は省略できます。

    システム攻撃が特定された場合の対処方法 システム攻撃が特定されなかった場合の対処方法
    1. Storage > Volumes (ストレージ)を選択します。

    2. を選択し、[疑わしいファイルタイプの表示]*を選択します。

    3. ファイルを「False Positive」としてマークします。

    4. [更新]*および[疑わしいファイルの種類をクリア]*を選択します。

    Snapshotロックを解除するには、以前のSnapshotコピーからリストアする前に、ARPコピーからリストアする必要があります。

    手順2~3に従ってARPコピーからデータをリストアし、同じ手順を繰り返して以前のSnapshotコピーからリストアします。

  2. ボリューム内のSnapshotコピーを表示します。

    [ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。

  3. 選択するオプション メニューオプション をクリックし、*[リストア]*を選択します。

CLI の使用
  1. ARPコピーからではなく、以前のSnapshotコピーからデータをリストアする場合は、次の手順を実行して、ランサムウェア対策Snapshotロックを解除する必要があります。 ARPコピーから復元する場合は、ロックを解除する必要はなく、この手順は省略できます。

    メモ を使用している場合にのみ、以前のSnapshotコピーからリストアする前にAnti-Ransomware SnapLockを解放する必要があります volume snap restore 以下のコマンドを実行します。 FlexClone、Single File Snap Restore、またはその他の方法を使用してデータをリストアする場合は、この作業は必要ありません。
    システム攻撃が特定された場合の対処方法 システム攻撃が特定されなかった場合の対処方法

    攻撃を「誤検知」および「明確な容疑者」としてマークします。

    anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

    拡張機能を識別するには、次のいずれかのパラメータを使用します。
    [-seq-no integer] 疑わしいリスト内のファイルのシーケンス番号。
    [-extension text, … ] ファイル拡張子
    [-start-time date_time -end-time date_time] 消去されるファイル範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。

    Snapshotロックを解除するには、以前のSnapshotコピーからリストアする前に、ARPコピーからリストアする必要があります。

    手順2~3に従ってARPコピーからデータをリストアし、同じ手順を繰り返して以前のSnapshotコピーからリストアします。

  2. ボリューム内の Snapshot コピーの一覧を表示します。

    volume snapshot show -vserver SVM -volume volume

    次の例は、のSnapshotコピーを示しています vol1

    clus1::> volume snapshot show -vserver vs1 -volume vol1
    
    Vserver Volume Snapshot                State    Size  Total% Used%
    ------- ------ ---------- ----------- ------   -----  ------ -----
    vs1	 vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
                   daily.2013-01-25_0010   valid   92KB      0%    0%
                   hourly.2013-01-25_0105  valid   228KB     0%    0%
                   hourly.2013-01-25_0205  valid   236KB     0%    0%
                   hourly.2013-01-25_0305  valid   244KB     0%    0%
                   hourly.2013-01-25_0405  valid   244KB     0%    0%
                   hourly.2013-01-25_0505  valid   244KB     0%    0%
    
    7 entries were displayed.
  3. Snapshot コピーからボリュームの内容をリストアします。

    volume snapshot restore -vserver SVM -volume volume -snapshot snapshot

    次の例は、の内容をリストアします vol1

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010