ランサムウェア攻撃後にONTAP ARPスナップショットからデータをリストア
変更を提案
PDF
Autonomous Ransomware Protection (ARP) は、潜在的なランサムウェアの脅威から保護するためのスナップショットを作成します。これらのARP Snapshotのいずれかまたはボリュームの別のSnapshotを使用して、データをリストアできます。
ARP は、次のいずれかの名前を先頭に付けたスナップショットを作成します。
-
Anti_ransomware_periodic_backup: ONTAP 9.17.1以降で、定期的に作成されるスナップショットに使用されます。例:Anti_ransomware_periodic_backup.2025-06-01_1248。 -
Anti_ransomware_attack_backup: ONTAP 9.17.1 以降で、異常発生時に作成されるスナップショットに使用されます。例:Anti_ransomware_attack_backup.2025-08-25_1248。 -
Anti_ransomware_backup: ONTAP 9.16.1以前で、異常発生時に作成されるスナップショットで使用されます。例:Anti_ransomware_backup.2022-12-20_1248。
スナップショット以外のものから復元するには `Anti_ransomware`システム攻撃が特定された後にスナップショットを作成する場合は、まず ARP スナップショットを解放する必要があります。
システム攻撃が報告されていない場合は、まず `Anti_ransomware`スナップショットを作成し、選択したスナップショットからボリュームの後続の復元を完了します。
|
ARP保護されたボリュームがSnapMirror関係の一部である場合、スナップショットから復元した後、ボリュームのすべてのミラーコピーを手動で更新する必要があります。この手順を省略すると、ミラーコピーが使用できなくなり、削除して再作成する必要が生じる可能性があります。 |
"攻撃を潜在的なランサムウェア攻撃としてマークする必要があります"スナップショットからデータを復元する前に。
データは、System ManagerまたはONTAP CLIを使用してリストアできます。
-
ARPスナップショットから復元するには、手順2に進みます。以前のスナップショットから復元するには、まずARPスナップショットのロックを解除する必要があります。
-
Storage > Volumes (ストレージ)を選択します。
-
を選択し、[疑わしいファイルの種類を表示]*を選択します。
-
ファイルを「ランサムウェア攻撃の可能性」としてマークします。
-
[更新]*および[疑わしいファイルの種類をクリア]*を選択します。
-
-
ボリューム内のSnapshotを表示します。
[ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。
-
リストアするSnapshotの横にあるを選択し、*[リストア]*を選択します
。
-
ボリューム内のSnapshotを表示します。
[ストレージ]>[ボリューム]を選択し、ボリュームと Snapshotコピー*を選択します。
-
選択
次に、 `Anti_ransomware`スナップショット。 -
[* Restore] を選択します。
-
メニューに戻り、使用するSnapshotを選択します。[ Restore] を選択します。
ARPスナップショットから復元するには、手順2に進みます。以前のスナップショットからデータを復元するには、ARPスナップショットのロックを解除する必要があります。
|
|
以下のようにコマンドを使用している場合にのみ、以前のスナップショットから復元する前にAnti-Ransomware SnapLockを解放する必要があり `volume snapshot restore`ます。FlexClone、単一ファイルSnapRestore、またはその他の方法を使用してデータをリストアする場合は、この作業は必要ありません。 |
-
攻撃を潜在的なランサムウェア攻撃としてマークする(
-false-positive false)および疑わしいファイルをクリアする(clear-suspect):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false次のいずれかのパラメータを使用して拡張子を特定します。
-
[-seq-no integer]: 疑わしいリスト内のファイルのシーケンス番号。 -
[-extension text, … ]: ファイル拡張子 -
[-start-time date_time -end-time date_time]: クリアするファイルの範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。
-
-
ボリューム内のSnapshotを一覧表示します。
volume snapshot show -vserver <SVM> -volume <volume>次の例は、のSnapshotを示してい `vol1`ます。
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Snapshotからボリュームの内容をリストアします。
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例は、の内容をリストアし `vol1`ます。
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
ボリューム内のSnapshotを一覧表示します。
volume snapshot show -vserver <SVM> -volume <volume>次の例は、のSnapshotを示してい `vol1`ます。
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
Snapshotからボリュームの内容をリストアします。
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例は、の内容をリストアし `vol1`ます。
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
の詳細については volume snapshot、を"ONTAPコマンド リファレンス"参照してください。