랜섬웨어 공격 후 데이터 복원
-
이 문서 사이트의 PDF
-
볼륨 관리
- CLI를 통한 논리적 스토리지 관리
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
- SMB를 사용하여 파일 액세스를 관리합니다
-
CLI를 사용하여 SMB를 관리합니다
- 보안 및 데이터 암호화
-
볼륨 관리
별도의 PDF 문서 모음
Creating your file...
“Anti_랜섬웨어_backup”이라는 이름의 스냅샷 복사본은 ARP(Autonomous 랜섬웨어Protection)가 잠재적인 공격을 감지할 때 생성됩니다. 이러한 ARP 사본이나 다른 Snapshot 사본에서 데이터를 복원할 수 있습니다.
볼륨에 SnapMirror 관계가 있는 경우 스냅샷 복사본에서 복원한 직후 볼륨의 모든 미러 복사본을 수동으로 복제합니다. 그렇지 않으면 미러 복사본을 사용할 수 없게 되므로 복사본을 삭제하고 다시 생성해야 합니다.
System Manager 또는 ONTAP CLI를 사용하여 데이터를 복원할 수 있습니다.
-
ARP 복사본 대신 이전 스냅샷 복사본에서 데이터를 복원하려면 랜섬웨어 방지 스냅샷 잠금을 해제해야 합니다. ARP 사본에서 복원하려면 잠금을 해제할 필요가 없으며 이 단계를 건너뛸 수 있습니다.
시스템 공격이 확인된 경우 다음을 수행합니다. 시스템 공격이 식별되지 않은 경우 다음을 수행하십시오. -
스토리지 > 볼륨 * 을 선택합니다.
-
보안 * 을 선택한 다음 * 의심되는 파일 형식 보기 * 를 선택합니다
-
파일을 "거짓 양성"으로 표시합니다.
-
Update * 및 * Clear Suspect File Types * 를 선택합니다
스냅샷 잠금을 해제하려면 이전 스냅샷 복사본에서 복원하기 전에 ARP 복사본에서 복원해야 합니다.
2-3단계에 따라 ARP 사본에서 데이터를 복원한 다음 이전 Snapshot 사본에서 복원하는 과정을 반복합니다.
-
-
볼륨에 Snapshot 복사본을 표시합니다.
스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.
-
를 선택합니다 복원할 스냅샷 복사본 옆에 있는 다음 * 복원 *.
-
ARP 복제본 대신 이전 Snapshot 복제본에서 데이터를 복구하려는 경우 다음을 수행하여 안티 랜섬웨어 스냅샷 잠금을 해제해야 합니다. ARP 사본에서 복원하려면 잠금을 해제할 필요가 없으며 이 단계를 건너뛸 수 있습니다.
를 사용 중인 경우 이전 Snapshot 복사본에서 복원하기에 앞서 Anti-랜섬웨어 SnapLock만 릴리즈하면 됩니다 volume snap restore
아래에 설명된 대로 명령을 실행합니다. Flex Clone, Single File Snap Restore 또는 기타 방법을 사용하여 데이터를 복구하는 경우에는 이 작업이 필요하지 않습니다.시스템 공격이 확인된 경우 다음을 수행합니다. 시스템 공격이 식별되지 않은 경우 다음을 수행하십시오. 공격을 "거짓 양성" 및 "명백한 의심"으로 표시합니다.
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
다음 매개 변수 중 하나를 사용하여 의심되는 목록에 있는 파일의 '[-seq-no_integer_]' 시퀀스 번호를 식별합니다. `[-extension_text_,… [-start-time_date_time_-end-time_date_time_]"" MM/DD/YYYY HH:MM:SS 형식으로 지울 파일 범위의 시작 및 종료 시간.
스냅샷 잠금을 해제하려면 이전 스냅샷 복사본에서 복원하기 전에 ARP 복사본에서 복원해야 합니다.
2-3단계에 따라 ARP 사본에서 데이터를 복원한 다음 이전 Snapshot 사본에서 복원하는 과정을 반복합니다.
-
볼륨의 스냅샷 복사본을 나열합니다.
'volume snapshot show -vserver_SVM_-volume_volume_'
다음 예에서는 "vol1"의 스냅샷 복사본을 보여 줍니다.
clus1::> volume snapshot show -vserver vs1 -volume vol1 Vserver Volume Snapshot State Size Total% Used% ------- ------ ---------- ----------- ------ ----- ------ ----- vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0% daily.2013-01-25_0010 valid 92KB 0% 0% hourly.2013-01-25_0105 valid 228KB 0% 0% hourly.2013-01-25_0205 valid 236KB 0% 0% hourly.2013-01-25_0305 valid 244KB 0% 0% hourly.2013-01-25_0405 valid 244KB 0% 0% hourly.2013-01-25_0505 valid 244KB 0% 0% 7 entries were displayed.
-
스냅샷 복사본에서 볼륨 콘텐츠를 복원합니다.
'볼륨 스냅샷 복원 - vserver_SVM_-volume_volume_-snapshot_snapshot_'
다음 예에서는 vol1의 내용을 복원합니다.
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010