ランサムウェア攻撃後のONTAP ARPスナップショットからデータを復元する
変更を提案
PDF
自律型ランサムウェア対策(ARP)は、潜在的なランサムウェアの脅威から保護するためにスナップショットを作成します。データの復元には、ARPスナップショットまたはボリュームの別のスナップショットを使用できます。
想定される攻撃状況に応じて、以下のいずれかの方法でデータを復元します:
-
最新のARPスナップショットから復元する:ARPスナップショットの整合性に自信がある場合は、リカバリに利用可能な最新のARPスナップショットを使用してください。
-
最新のARPスナップショット以外のスナップショットからリストアする:まず、最新のARPスナップショットのロックを解除し、その後、選択した以前のスナップショットから復元します。
-
システム攻撃が報告されていないが、それでも復元したい場合:最初に `Anti_ransomware`スナップショットから復元し、次に選択したスナップショットからボリュームの復元を実行します。
ARPは、以下のいずれかの接頭辞が付いたスナップショットを作成します:
-
Anti_ransomware_periodic_backup:ONTAP 9.17.1以降で、定期的に作成されるスナップショットに使用されます。例:Anti_ransomware_periodic_backup.2025-06-01_1248。 -
Anti_ransomware_attack_backup:ONTAP 9.17.1以降で、異常発生時に作成されるスナップショットに使用されます。例:Anti_ransomware_attack_backup.2025-08-25_1248。 -
Anti_ransomware_backup:ONTAP 9.16.1以前で、異常発生時に作成されるスナップショットで使用されます。例:Anti_ransomware_backup.2022-12-20_1248。
-
異常な活動の警告に対応している場合は、データ復元作業を進める前に"まず、それをランサムウェア攻撃の可能性として分類する必要があります。"。
-
また、復元手順を完了する前に復元方法とリカバリに関する考慮事項と制約事項について説明しますを選択する必要があります。
ARPが異常を検出した後にデータを復元する必要がある場合は、以下の手順に従ってください:
リカバリ方法を選択してください
データ破損の程度と運用上の要件に応じて、これらの復旧方法のうち1つ、または複数を組み合わせて選択してください。
-
ボリュームスナップショット復元:ボリューム全体を選択したスナップショット(ARPまたはスケジュール済み)にロールバックします。これは最も速い方法ですが、復元ポイント以降に作成されたすべてのスナップショットが削除されます。
-
クリーンなスナップショットからFlexClone:選択したスナップショットからクローンボリュームを作成し、元のボリュームとそのすべてのスナップショットをフォレンジック分析または追加のリカバリのために保持します。感染した親ボリュームをクリーンなクローンから分離するために、クローンを親ボリュームから分割することをお勧めします。
"スナップショットからFlexCloneボリュームを作成する"および"FlexCloneを親から分割する"の詳細を確認してください。
-
シングルファイルSnapRestore:スナップショットから個々のファイルを復元します。各ファイルは、異なるスナップショットから取得できます。これは、影響を受けるファイルの数が比較的少ない場合(数十から数百ファイル)に実用的です。
"Snapshot から単一ファイルを復元する"の詳細をご覧ください。
-
* `.snapshot`ディレクトリからのデータコピー*:標準のファイルコピー操作を使用して、スナップショットのマウントポイントから新しいボリュームにデータをコピーします。この方法では、分析用に元のボリュームとスナップショットが保持されます。
-
ハイブリッドアプローチ:ボリュームはまず、SnapRestoreを使用して最も近いクリーンなスナップショットにロールバックされ、その後、残りの破損したファイルは別のスナップショットまたは外部バックアップから個別に復元されます。
リカバリの制約と考慮事項
-
ONTAP 9.15.1以前のバージョンでは、ARPスナップショットロックを解除すると、ARPスナップショットが即座に削除されます。ARPスナップショットからの復元を予定していない場合にのみ、ロックを解除してください。
-
以前のスナップショットから復元する前にランサムウェア対策ロックを解除する必要があるのは、 `volume snapshot restore`を使用する場合のみです。FlexClone、単一ファイルSnapRestore、データコピー操作、または同様の方法では必要ありません。
-
ボリュームがONTAP 9.19.1 RCのSnapMirror同期またはSnapMirrorアクティブ同期SAN関係の一部であり、ボリュームレベルのリストアを計画している場合は、休止または"リストア前に関係を解除"してから、リストア後に保護を再確立します。
-
ARP で保護されたボリュームがSnapMirror関係に参加している間にスナップショットから復元する場合は、復元後にすべてのミラーコピーを手動で更新してください。そうしないと、ミラーコピーが使用できなくなり、削除して再作成する必要が生じる可能性があります。
SnapMirrorとARPの相互運用性の動作(スナップショットとフェイルオーバーに関する考慮事項を含む)の詳細については、"SnapMirrorとARPの互換性"を参照してください。
システムへの攻撃後のリストア
ボリュームSnapshotのリストアについては、Snapshotのソースと状況に応じて、以下のいずれかのフローを選択してください:
最新のARPスナップショットから復元する
最新のARPスナップショット(リカバリに利用可能な最新のスナップショット)から確実に復元できる場合は、このフローを選択してください。
-
*ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。
-
ONTAP 9.16.1以降では、ボリューム復元を実行する前に、"疑わしいファイルをクリアする"。
疑わしいファイルを削除した後、ARPスナップショットは(デフォルトでは)7日間保持されます。データ復旧にもっと時間が必要な場合は、"ARPスナップショット設定を調整する"スナップショットの保持時間を希望の値まで延長します。すべてのデータ復旧が完了したら、保持時間を短縮できます。 -
リストアする最新のARPスナップショット(
Anti_ransomware)の横にある
を選択し、*Restore*を選択します。 -
ONTAP 9.15.1以前のバージョンでは、リストアが完了した後、"疑わしいファイルをクリアする"。
-
ボリューム内のスナップショットを一覧表示します:
volume snapshot show -vserver <svm> -volume <volume> -
ONTAP 9.16.1以降では、 `volume snapshot restore`を実行する前に、"疑わしいファイルをクリアする"。
-
スナップショットからボリュームの内容を復元します:
volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot> -
ONTAP 9.15.1以前のバージョンでは、リストアが完了した後、"疑わしいファイルをクリアする"。
以前のスナップショットから復元する
最新のスナップショットに自信が持てず、以前のスナップショットから復元したい場合は、このフローを選択してください。以前のスナップショットから復元する前に、最新のARPスナップショットのロックを解除してください。
-
最新のARPスナップショットのロックを解除します:
-
*ストレージ > ボリューム*を選択します。
-
*セキュリティ*を選択し、*疑わしいファイルの種類を表示*を選択します。
-
ファイルを「Potential ransomware attack(潜在的なランサムウェア攻撃)」としてマークします。
-
Update and Clear Suspected File Types を選択します。
"ONTAP ARPによって検出された異常なアクティビティに応答する"の手順を使用してアクティビティをランサムウェア攻撃の可能性があるものとしてすでに分類している場合は、ここで疑わしいファイルタイプをクリアするだけで済みます。
-
-
*ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。
-
復元する以前のSnapshotの横にあるを選択し、*復元*を選択します。
-
以前のスナップショットから復元する場合は
volume snapshot restore、攻撃をランサムウェアの可能性ありとマークし(-false-positive false)、疑わしいファイルを削除してロックを解除します:security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false次のいずれかのパラメータを使用して拡張子を特定します。
-
[-seq-no integer]:疑わしいリスト内のファイルのシーケンス番号。 -
[-extension text, … ]:ファイル拡張子 -
[-start-time date_time -end-time date_time]:クリアするファイルの範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。
-
-
ボリューム内のスナップショットを一覧表示します:
volume snapshot show -vserver <svm> -volume <volume>次の例は、 `vol1`のスナップショットを示しています:
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed. -
スナップショットからボリュームの内容を復元します:
volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>次の例では、 `vol1`の内容を復元します:
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
システム攻撃が特定されない場合の復元
攻撃が特定されない場合は、まず最新のARPスナップショットからリストアし、次に選択した以前のスナップショットからリストアします。
-
*ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。
-
を選択し、最新の
Anti_ransomwareSnapshotを選択します。 -
*復元*を選択します。
-
* Snapshot Copies *メニューに戻り、使用する以前のスナップショットを選択します。
-
*復元*を選択します。
-
まず、最新のARPスナップショットから復元してください。
-
ボリューム内のスナップショットを一覧表示します:
volume snapshot show -vserver <svm> -volume <volume> -
スナップショットからボリュームの内容を復元します:
volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>
-
-
使用したい以前のスナップショットを選択し、復元手順を繰り返してください。
`volume snapshot`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=volume+snapshot["ONTAPコマンド リファレンス"^]をご覧ください。