비정상적인 활동에 응답합니다
ARP(Autonomous 랜섬웨어 Protection)가 보호 볼륨에서 비정상적인 활동을 감지하면 경고를 표시합니다. 알림을 평가하여 활동이 허용 가능한지(가양성) 또는 공격이 악의적으로 보이는지 여부를 결정해야 합니다.
ARP는 높은 데이터 엔트로피, 데이터 암호화와 비정상적인 볼륨 활동 및 비정상적인 파일 확장자의 조합을 감지할 때 의심되는 파일 목록을 표시합니다.
경고가 발생하면 다음 두 가지 방법 중 하나로 파일 작업을 지정하여 응답합니다.
-
긍정 오류
식별된 파일 유형이 작업 부하에 필요합니다. 이 파일 유형은 무시해도 됩니다.
-
* 잠재적 랜섬웨어 공격 *
식별된 파일 유형이 작업 부하에서 예기치 않은 유형이므로 잠재적 공격으로 간주해야 합니다.
두 경우 모두 알림 업데이트 및 삭제 후 정상적인 모니터링이 재개됩니다. ARP는 후속 파일 활동을 모니터링하기 위해 사용자의 선택을 사용하여 위협 평가 프로파일에 평가를 기록합니다.
공격이 의심되는 경우에는 알림을 지우기 전에 공격이 공격인지 여부를 확인하고, 공격에 대한 대응 및 보호된 데이터를 복원해야 합니다. "랜섬웨어 공격에서 복구하는 방법에 대해 자세히 알아보십시오".
전체 볼륨을 복원하는 경우 지울 알림이 없습니다. |
ARP가 활성 모드에서 실행되고 있어야 합니다.
System Manager 또는 ONTAP CLI를 사용하여 비정상적인 작업에 응답할 수 있습니다.
-
"비정상적인 활동" 알림을 받으면 링크를 따라갑니다. 또는 * Volumes * 개요의 * Security * 탭으로 이동합니다.
경고는 * Events * 메뉴의 * Overview * 창에 표시됩니다.
-
"Detected abnormal volume activity(비정상 볼륨 활동이 감지됨)" 메시지가 표시되면 의심되는 파일을 확인합니다.
보안 * 탭에서 * 의심되는 파일 형식 보기 * 를 선택합니다.
-
Suspected File Types * 대화 상자에서 각 파일 형식을 검사하여 "False positive" 또는 "잠재적 랜섬웨어 공격"으로 표시합니다.
이 값을 선택한 경우… |
이 조치를 취하십시오… |
||
거짓 양성 |
업데이트 * 및 * 의심되는 파일 유형 지우기 * 를 선택하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다.
|
||
잠재적인 랜섬웨어 공격 |
공격에 대응하고 보호된 데이터를 복원합니다. 그런 다음 * 업데이트 * 및 * 의심되는 파일 유형 지우기 * 를 선택하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다. |
-
랜섬웨어 공격이 의심되는 경우 다음 사항을 통지하여 공격의 시간 및 심각도를 확인하십시오.
'Security Anti-랜섬웨어 volume show -vserver_svm_name_-volume_vol_name_'
샘플 출력:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 9/14/2021 01:03:23 Number of Attacks: 1
EMS 메시지를 확인할 수도 있습니다.
이벤트 로그 show-message-name callhome.arw.activity.seen`
-
공격 보고서를 생성하고 출력 위치를 기록합니다.
'Security Anti-랜섬웨어 volume attack generate-report-volume_vol_name_-dest-path_file_location_/
샘플 출력:
"Report" report_file_vs0_vol1_14-09-2021_01-21-08" 경로 "vs0:vol1/" 에서 사용할 수 있습니다
-
관리 클라이언트 시스템에서 보고서를 봅니다. 예를 들면 다음과 같습니다.
[root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08 19 "9/14/2021 01:03:23" test_dir_1/test_file_1.jpg.lckd 20 "9/14/2021 01:03:46" test_dir_2/test_file_2.jpg.lckd 21 "9/14/2021 01:03:46" test_dir_3/test_file_3.png.lckd`
-
파일 확장명 평가에 따라 다음 작업 중 하나를 수행합니다.
-
거짓 양성
다음 명령을 입력하여 결정 사항을 기록하고, 허용되는 확장자 목록에 새 확장을 추가한 후, 정상적인 안티 랜섬웨어 모니터링을 재개합니다.
anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
다음 매개 변수 중 하나를 사용하여 의심되는 목록에 있는 파일의 '[-seq-no_integer_]' 시퀀스 번호를 식별합니다. `[-extension_text_,… [-start-time_date_time_-end-time_date_time_]"" MM/DD/YYYY HH:MM:SS 형식으로 지울 파일 범위의 시작 및 종료 시간.
-
잠재적인 랜섬웨어 공격
공격에 대한 대응 및 "ARP 생성 백업 스냅샷으로부터 데이터를 복구합니다". 데이터가 복구된 후 다음 명령을 입력하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다.
'안티 랜섬웨어 볼륨 공격 clear-suspect-vserver_svm_name_-volume_vol_name_[extension identifier]-false-positive false'
다음 매개 변수 중 하나를 사용하여 확장자가 무엇인지 확인하십시오. "[-seq-no_integer_]" 의심되는 목록에 있는 파일의 시퀀스 번호 [-extension_text_,… [-start-time_date_time_-end-time_date_time_]"" MM/DD/YYYY HH:MM:SS 형식으로 지울 파일 범위의 시작 및 종료 시간.
전체 볼륨을 복원한 경우 삭제할 의심스러운 파일 유형이 없습니다. ARP 생성 백업 스냅샷이 제거되고 공격 보고서가 지워집니다.
-
-
MAV를 사용하고 있고 예상되는 경우
clear-suspect
작업에 추가 승인이 필요합니다. 각 MAV 그룹 승인자는 다음을 수행해야 합니다.-
요청 표시:
security multi-admin-verify request show
-
정상적인 랜섬웨어 방지 모니터링 재개 요청을 승인합니다.
security multi-admin-verify request approve -index[number returned from show request]
마지막 그룹 승인자에 대한 응답은 볼륨이 수정되었고 가양성이 기록되었음을 나타냅니다.
-
-
MAV를 사용하고 있고 MAV 그룹 승인자인 경우 의심스러운 요청을 거부할 수도 있습니다.
security multi-admin-verify request veto -index[number returned from show request]