Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

랜섬웨어 공격 후 ONTAP ARP 스냅샷에서 데이터를 복원합니다

기여자 netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDF

자율 랜섬웨어 보호(ARP)는 잠재적인 랜섬웨어 위협으로부터 보호하기 위해 스냅샷을 생성합니다. 이러한 ARP 스냅샷 중 하나 또는 볼륨의 다른 스냅샷을 사용하여 데이터를 복원할 수 있습니다.

이 작업에 대해

ARP는 다음 이름 중 하나를 접두사로 사용하여 스냅샷을 생성합니다.

  • Anti_ransomware_periodic_backup : ONTAP 9.17.1 이상에서 정기적으로 생성되는 스냅샷에 사용됩니다. 예를 들어, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: ONTAP 9.17.1 이상에서 비정상 상황에 대응하여 생성된 스냅샷에 사용됩니다. 예를 들어, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : ONTAP 9.16.1 이하 버전에서 비정상 상황에 대응하여 생성되는 스냅샷과 함께 사용됩니다. 예를 들어, Anti_ransomware_backup.2022-12-20_1248 .

스냅샷 이외의 스냅샷에서 복원하려면 Anti_ransomware 시스템 공격이 식별된 후 스냅샷을 먼저 공개해야 합니다.

시스템 공격이 보고되지 않으면 먼저 다음에서 복원해야 합니다. Anti_ransomware 스냅샷을 만든 다음 선택한 스냅샷에서 볼륨의 후속 복원을 완료합니다.

SnapMirror 관계 및 ARP 스냅샷에 대한 자세한 정보

ARP 보호 볼륨이 SnapMirror 관계에 속한 경우, 스냅샷에서 볼륨을 복원한 후 해당 볼륨의 모든 미러 사본을 수동으로 업데이트해야 합니다. 이 단계를 건너뛰면 미러 사본을 사용할 수 없게 되어 삭제했다가 다시 만들어야 할 수 있습니다.

ARP로 보호되는 볼륨이 ONTAP 9.19.1 RC에서 SnapMirror 동기식 또는 SnapMirror 활성 동기화 관계의 일부인 경우 추가적인 복구 고려 사항이 적용됩니다.

  • ARP 스냅샷은 운영 볼륨에만 생성되고 유지됩니다. SnapMirror 동기식 또는 SnapMirror 액티브 동기화의 일부로 2차 볼륨에 복제되지 않습니다.

  • ARP 활성화 상태는 페일오버 중에 복제되지 않습니다. 페일오버 후 복구 볼륨에서 "ARP를 다시 활성화합니다"해야 합니다.

  • SnapMirror 동기식 또는 SnapMirror 활성 동기화 볼륨에서 볼륨 수준 복원(`volume snapshot restore`을 수행하려면 SnapMirror 동기식 또는 SnapMirror 활성 동기화 관계를 일시적으로 중지하거나 해제해야 할 수 있습니다.

  • 많은 경우, 기본 볼륨의 ARP 또는 기타 스냅샷에서 FlexClone 또는 파일 수준 복구 작업을 사용하여 SnapMirror 동기식 또는 SnapMirror 액티브 싱크를 중단하지 않고도 문제를 피할 수 있습니다.

시작하기 전에

"해당 공격을 잠재적인 랜섬웨어 공격으로 표시해야 합니다." 스냅샷에서 데이터를 복원하기 전에.

단계

System Manager 또는 ONTAP CLI를 사용하여 데이터를 복원할 수 있습니다.

시스템 관리자
시스템 공격 후 복원

  1. ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 복원하려면 먼저 ARP 스냅샷의 잠금을 해제해야 합니다.

    1. 스토리지 > 볼륨 * 을 선택합니다.

    2. 보안 * 을 선택한 다음 * 의심되는 파일 형식 보기 * 를 선택합니다.

    3. 파일을 "잠재적 랜섬웨어 공격"으로 표시합니다.

    4. Update * 및 * Clear Suspect File Types * 를 선택합니다.

  2. 볼륨에 스냅샷을 표시합니다.

    스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.

  3. 복원하려는 스냅샷 옆에 있는 을 선택한 다음 * Restore * 를 선택합니다메뉴 옵션 아이콘.

    ONTAP 9.19.1 RC에서 볼륨이 SnapMirror 동기식 또는 SnapMirror 활성 동기식 SAN 관계의 일부이고 볼륨 수준 복원을 수행할 계획이라면 SnapMirror 동기식 또는 SnapMirror 활성 동기식 설명서를 참조하여 복원을 시작하기 전에 정지하거나 "보호 관계를 중단합니다"한 다음 복원이 완료된 후 보호를 다시 설정하십시오.

시스템 공격이 확인되지 않은 경우 복원합니다

  1. 볼륨에 스냅샷을 표시합니다.

    스토리지 > 볼륨 * 을 선택한 다음 볼륨 및 * Snapshot 복사본 * 을 선택합니다.

  2. 선택하다 메뉴 옵션 아이콘 그런 다음 선택하세요 Anti_ransomware 스냅 사진.

  3. Restore * 를 선택합니다.

  4. Snapshot Copies * 메뉴로 돌아간 다음 사용할 스냅샷을 선택합니다. Restore * 를 선택합니다.

CLI를 참조하십시오
시스템 공격 후 복원

ARP 스냅샷에서 복원하려면 2단계로 건너뜁니다. 이전 스냅샷에서 데이터를 복원하려면 ARP 스냅샷의 잠금을 해제해야 합니다.

참고 아래에 설명된 volume snapshot restore 명령을 사용하여 이전 스냅샷에서 복원하는 경우에만 랜섬웨어 방지 SnapLock을 해제해야 합니다. FlexClone, 단일 파일 SnapRestore 또는 기타 방법을 사용하여 데이터를 복원하는 경우에는 이 과정이 필요하지 않습니다.

  1. 공격을 잠재적인 랜섬웨어 공격으로 표시 (-false-positive false ) 및 의심스러운 파일 삭제 (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    다음 매개변수 중 하나를 사용하여 확장자를 식별하세요.

    • [-seq-no integer] : 의심 목록에 있는 파일의 일련 번호입니다.

    • [-extension text, … ] : 파일 확장자

    • [-start-time date_time -end-time date_time] : 지울 파일 범위의 시작 및 종료 시간(형식: "MM/DD/YYYY HH:MM:SS")입니다.

  2. ONTAP 9.19.1 RC에서 볼륨이 SnapMirror 동기식 또는 SnapMirror 활성 동기화 SAN 관계의 일부이고 볼륨 수준 복원을 수행하려는 경우 volume snapshot restore, 복원 작업을 실행하기 전에 SnapMirror 동기식 또는 SnapMirror 활성 동기화 설명서에 따라 정지하거나 "SnapMirror 동기식 또는 SnapMirror 활성 동기화 관계를 해제합니다"해야 합니다.

  3. 볼륨의 스냅샷을 나열합니다.

    volume snapshot show -vserver <SVM> -volume <volume>

    다음 예에서는 의 스냅샷을 vol1 보여 줍니다.

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  4. 스냅숏에서 볼륨의 내용 복원:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    다음 예에서는 vol1의 내용을 복원합니다.

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
시스템 공격이 확인되지 않은 경우 복원합니다

  1. 볼륨의 스냅샷을 나열합니다.

    volume snapshot show -vserver <SVM> -volume <volume>

    다음 예에서는 의 스냅샷을 vol1 보여 줍니다.

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. 스냅숏에서 볼륨의 내용 복원:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    다음 예에서는 vol1의 내용을 복원합니다.

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

에 대한 자세한 내용은 volume snapshot "ONTAP 명령 참조입니다"을 참조하십시오.

관련 정보