ランサムウェア攻撃後のONTAP ARPスナップショットからデータを復元する
変更を提案
PDF
自律ランサムウェア保護(ARP)は、潜在的なランサムウェアの脅威から保護するためのスナップショットを作成します。これらのARPスナップショットのいずれか、またはボリュームの別のスナップショットを使用して、データを復元できます。
ARP は、次のいずれかの名前を先頭に付けたスナップショットを作成します:
-
Anti_ransomware_periodic_backup:ONTAP 9.17.1以降で、定期的に作成されるスナップショットに使用されます。例:Anti_ransomware_periodic_backup.2025-06-01_1248。 -
Anti_ransomware_attack_backup:ONTAP 9.17.1以降で、異常発生時に作成されるスナップショットに使用されます。例:Anti_ransomware_attack_backup.2025-08-25_1248。 -
Anti_ransomware_backup:ONTAP 9.16.1以前で、異常発生時に作成されるスナップショットで使用されます。例:Anti_ransomware_backup.2022-12-20_1248。
システム攻撃が特定された後に `Anti_ransomware`スナップショット以外のスナップショットから復元するには、まず ARP スナップショットを解放する必要があります。
システム攻撃が報告されていない場合は、まず `Anti_ransomware`スナップショットから復元し、その後、選択したスナップショットからボリュームの復元を完了する必要があります。
|
ARP保護されたボリュームがSnapMirrorリレーションシップの一部である場合、スナップショットから復元した後、ボリュームのすべてのミラーコピーを手動で更新する必要があります。この手順を省略すると、ミラーコピーが使用できなくなり、削除して再作成する必要が生じる可能性があります。 |
スナップショットからデータを復元する前に"攻撃を潜在的なランサムウェア攻撃としてマークする必要があります"。
System ManagerまたはONTAP CLIを使用してデータをリストアできます。
-
ARP Snapshotからリストアするには、手順2に進みます。以前のSnapshotからリストアするには、まずARP Snapshotのロックを解除する必要があります。
-
*ストレージ > ボリューム*を選択します。
-
*セキュリティ*を選択し、*疑わしいファイルの種類を表示*を選択します。
-
ファイルを「Potential ransomware attack(潜在的なランサムウェア攻撃)」としてマークします。
-
*Update*と*Clear Suspect File Types*を選択します。
-
-
ボリューム内のSnapshotを表示します。
*ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。
-
復元したいスナップショットの横にある
を選択し、次に*復元*を選択します。
-
ボリューム内のSnapshotを表示します。
*ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。
-
を選択してから、 `Anti_ransomware`スナップショットを選択します。
-
*復元*を選択します。
-
*スナップショットコピー*メニューに戻り、使用するスナップショットを選択します。*復元*を選択します。
ARP Snapshotからリストアするには、手順2に進みます。以前のSnapshotからデータをリストアするには、ARP Snapshotのロックを解除する必要があります。
|
|
以前のスナップショットから復元する前にランサムウェア対策のSnaplockを解除する必要があるのは、 `volume snapshot restore`コマンドを以下に示すように使用する場合のみです。FlexClone、Single File Snap Restore、またはその他の方法を使用してデータを復元する場合は、この操作は必要ありません。 |
-
攻撃を潜在的なランサムウェア攻撃としてマークし(
-false-positive false)、疑わしいファイルをクリアします(clear-suspect):anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false次のいずれかのパラメータを使用して拡張子を特定します。
-
[-seq-no integer]:疑わしいリスト内のファイルのシーケンス番号。 -
[-extension text, … ]:ファイル拡張子 -
[-start-time date_time -end-time date_time]:クリアするファイルの範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。
-
-
ボリューム内のスナップショットを一覧表示します:
volume snapshot show -vserver <SVM> -volume <volume>次の例は、 `vol1`のスナップショットを示しています:
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
スナップショットからボリュームの内容を復元します:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例では、 `vol1`の内容を復元します:
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
ボリューム内のスナップショットを一覧表示します:
volume snapshot show -vserver <SVM> -volume <volume>次の例は、 `vol1`のスナップショットを示しています:
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
スナップショットからボリュームの内容を復元します:
volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>次の例では、 `vol1`の内容を復元します:
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
`volume snapshot`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=volume+snapshot["ONTAPコマンド リファレンス"^]をご覧ください。