Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ランサムウェア攻撃後のONTAP ARPスナップショットからデータを復元する

共同作成者 netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

自律ランサムウェア保護(ARP)は、潜在的なランサムウェアの脅威から保護するためのスナップショットを作成します。これらのARPスナップショットのいずれか、またはボリュームの別のスナップショットを使用して、データを復元できます。

タスク概要

ARP は、次のいずれかの名前を先頭に付けたスナップショットを作成します:

  • Anti_ransomware_periodic_backup:ONTAP 9.17.1以降で、定期的に作成されるスナップショットに使用されます。例: Anti_ransomware_periodic_backup.2025-06-01_1248

  • Anti_ransomware_attack_backup:ONTAP 9.17.1以降で、異常発生時に作成されるスナップショットに使用されます。例: Anti_ransomware_attack_backup.2025-08-25_1248

  • Anti_ransomware_backup:ONTAP 9.16.1以前で、異常発生時に作成されるスナップショットで使用されます。例: Anti_ransomware_backup.2022-12-20_1248

システム攻撃が特定された後に `Anti_ransomware`スナップショット以外のスナップショットから復元するには、まず ARP スナップショットを解放する必要があります。

システム攻撃が報告されていない場合は、まず `Anti_ransomware`スナップショットから復元し、その後、選択したスナップショットからボリュームの復元を完了する必要があります。

SnapMirror関係とARPスナップショットの詳細

ARP保護されたボリュームがSnapMirrorリレーションシップの一部である場合、スナップショットから復元した後、ボリュームのすべてのミラーコピーを手動で更新する必要があります。この手順を省略すると、ミラーコピーが使用できなくなり、削除して再作成する必要が生じる可能性があります。

ARP で保護されたボリュームが ONTAP 9.19.1 RC のSnapMirror同期またはSnapMirrorアクティブ同期関係の一部である場合、追加の復旧に関する考慮事項が適用されます:

  • ARPスナップショットは、プライマリボリューム上にのみ作成および保持されます。SnapMirror同期またはSnapMirrorアクティブ同期の一部としてセカンダリ ボリュームにレプリケートされることはありません。

  • ARPの有効化状態は、フェイルオーバー時に複製されません。フェイルオーバー後、リカバリボリュームで"ARPを再度有効にする"する必要があります。

  • SnapMirror同期またはSnapMirrorアクティブ同期ボリュームでのボリュームレベルのリストア(volume snapshot restore)では、SnapMirror同期またはSnapMirrorアクティブ同期関係を一時的に休止または解除する必要がある場合があります。

  • 多くの場合、プライマリ ボリューム上のARPやその他のスナップショットからのFlexCloneまたはファイルレベルのリストア処理を使用することで、SnapMirror SynchronousまたはSnapMirror Active Syncの中断を回避できます。

開始する前に

スナップショットからデータを復元する前に"攻撃を潜在的なランサムウェア攻撃としてマークする必要があります"

手順

System ManagerまたはONTAP CLIを使用してデータをリストアできます。

System Manager
システムへの攻撃後のリストア

  1. ARP Snapshotからリストアするには、手順2に進みます。以前のSnapshotからリストアするには、まずARP Snapshotのロックを解除する必要があります。

    1. *ストレージ > ボリューム*を選択します。

    2. *セキュリティ*を選択し、*疑わしいファイルの種類を表示*を選択します。

    3. ファイルを「Potential ransomware attack(潜在的なランサムウェア攻撃)」としてマークします。

    4. *Update*と*Clear Suspect File Types*を選択します。

  2. ボリューム内のSnapshotを表示します。

    *ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。

  3. 復元したいスナップショットの横にあるメニューオプションアイコンを選択し、次に*復元*を選択します。

    ボリュームがONTAP 9.19.1 RCのSnapMirror同期またはSnapMirror Active Sync SAN関係の一部であり、ボリュームレベルのリストアを実行する予定がある場合は、SnapMirror同期またはSnapMirror Active Syncのドキュメントに従って、リストアを開始する前に休止または"保護関係を解除する"を実行し、リストア完了後に保護を再確立してください。

システムへの攻撃が特定されなかった場合のリストア

  1. ボリューム内のSnapshotを表示します。

    *ストレージ > ボリューム*を選択し、ボリュームと*Snapshotコピー*を選択します。

  2. メニューオプションアイコンを選択してから、 `Anti_ransomware`スナップショットを選択します。

  3. *復元*を選択します。

  4. *スナップショットコピー*メニューに戻り、使用するスナップショットを選択します。*復元*を選択します。

CLI
システムへの攻撃後のリストア

ARP Snapshotからリストアするには、手順2に進みます。以前のSnapshotからデータをリストアするには、ARP Snapshotのロックを解除する必要があります。

メモ 以下に概説する `volume snapshot restore`コマンドを使用している場合、以前のスナップショットから復元する前にランサムウェア対策SnapLockを解除する必要があります。FlexClone、単一ファイルSnapRestore、またはその他の方法を使用してデータを復元する場合、これは必要ありません。

  1. 攻撃を潜在的なランサムウェア攻撃としてマークし(-false-positive false)、疑わしいファイルをクリアします(clear-suspect):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    次のいずれかのパラメータを使用して拡張子を特定します。

    • [-seq-no integer]:疑わしいリスト内のファイルのシーケンス番号。

    • [-extension text, … ]:ファイル拡張子

    • [-start-time date_time -end-time date_time]:クリアするファイルの範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。

  2. ボリュームがONTAP 9.19.1 RCのSnapMirror同期またはSnapMirror Active Sync SAN関係の一部であり、 `volume snapshot restore`を使用してボリュームレベルのリストアを実行する場合は、リストア処理を実行する前にSnapMirror同期またはSnapMirror Active Syncのドキュメントに従って休止または"SnapMirror同期またはSnapMirrorアクティブ同期関係を解除"を実行してください。

  3. ボリューム内のスナップショットを一覧表示します:

    volume snapshot show -vserver <SVM> -volume <volume>

    次の例は、 `vol1`のスナップショットを示しています:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  4. スナップショットからボリュームの内容を復元します:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    次の例では、 `vol1`の内容を復元します:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
システムへの攻撃が特定されなかった場合のリストア

  1. ボリューム内のスナップショットを一覧表示します:

    volume snapshot show -vserver <SVM> -volume <volume>

    次の例は、 `vol1`のスナップショットを示しています:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. スナップショットからボリュームの内容を復元します:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    次の例では、 `vol1`の内容を復元します:

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
    `volume snapshot`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=volume+snapshot["ONTAPコマンド リファレンス"^]をご覧ください。
関連情報