Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

비정상적인 활동에 응답합니다

기여자

ARP(Autonomous 랜섬웨어 Protection)가 보호 볼륨에서 비정상적인 활동을 감지하면 경고를 표시합니다. 알림을 평가하여 작업이 예상되는지, 허용되는지, 공격이 진행 중인지 여부를 확인해야 합니다.

이 작업에 대해

ARP는 높은 데이터 엔트로피, 데이터 암호화와 비정상적인 볼륨 활동 및 비정상적인 파일 확장자의 조합을 감지할 때 의심되는 파일 목록을 표시합니다.

경고가 발생하면 다음 두 가지 방법 중 하나로 파일 활동을 표시하여 응답할 수 있습니다.

  • 거짓 양성

    식별된 파일 유형이 작업 부하에 필요합니다. 이 파일 유형은 무시해도 됩니다.

  • 잠재적인 랜섬웨어 공격

    식별된 파일 유형이 작업 부하에서 예기치 않은 유형이므로 잠재적 공격으로 간주해야 합니다.

두 경우 모두 알림 업데이트 및 삭제 후 정상적인 모니터링이 재개됩니다. ARP는 위협 평가에 대한 평가를 기록하고, 새 파일 유형으로 로그를 업데이트하고, 향후 분석에 사용합니다.

공격이 의심되는 경우에는 알림을 지우기 전에 공격이 공격인지 여부를 확인하고, 공격에 대한 대응 및 보호된 데이터를 복원해야 합니다. "랜섬웨어 공격에서 복구하는 방법에 대해 자세히 알아보십시오".

참고 전체 볼륨을 복원한 경우 지울 알림이 없습니다.
시작하기 전에
  • ARP가 활성 모드에서 실행되고 있어야 합니다.

예 1. 단계
시스템 관리자
  1. "비정상적인 활동" 알림을 받으면 링크를 따라가거나 * Volumes * 개요의 * Security * 탭으로 이동합니다.

    경고는 * Events * 메뉴의 * Overview * 창에 표시됩니다.

  2. “Detected abnormal volume activity(비정상적인 볼륨 활동이 감지됨)” 메시지가 표시되면 의심되는 파일을 봅니다.

    보안 * 탭에서 * 의심되는 파일 형식 보기 * 를 선택합니다.

  3. 의심되는 파일 유형* 대화 상자에서 각 파일 유형을 조사하여 “거짓 긍정” 또는 “잠재적인 랜섬웨어 공격”으로 표시합니다.

이 값을 선택한 경우…​

이 조치를 취하십시오…

거짓 양성

업데이트 * 및 * 의심되는 파일 유형 지우기 * 를 선택하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다.

참고 ONTAP 9.13.1 부터, ARP 설정을 보호하기 위해 MAV를 사용하는 경우, 의심스러운 작업이 하나 이상의 추가 관리자의 승인을 얻으라는 메시지를 표시합니다. "모든 관리자로부터 승인을 받아야 합니다" MAV 승인 그룹과 연관되거나 작업이 실패합니다.

잠재적인 랜섬웨어 공격

공격에 대응하고 보호된 데이터를 복원합니다. 그런 다음 * 업데이트 * 및 * 의심되는 파일 유형 지우기 * 를 선택하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다. 를 누릅니다
전체 볼륨을 복원한 경우 삭제할 의심스러운 파일 유형이 없습니다.

CLI를 참조하십시오
  1. 랜섬웨어 공격이 의심되는 경우 다음 사항을 통지하여 공격의 시간 및 심각도를 확인하십시오.

    'Security Anti-랜섬웨어 volume show -vserver_svm_name_-volume_vol_name_'

    샘플 출력:

    Vserver Name: vs0
    Volume Name: vol1
    State: enabled
    Attack Probability: moderate
    Attack Timeline: 9/14/2021 01:03:23
    Number of Attacks: 1

    EMS 메시지를 확인할 수도 있습니다.

    이벤트 로그 show-message-name callhome.arw.activity.seen`

  2. 공격 보고서를 생성하고 출력 위치를 기록합니다.

    'Security Anti-랜섬웨어 volume attack generate-report-volume_vol_name_-dest-path_file_location_/

    샘플 출력:

    "Report" report_file_vs0_vol1_14-09-2021_01-21-08" 경로 "vs0:vol1/" 에서 사용할 수 있습니다

  3. 관리 클라이언트 시스템에서 보고서를 봅니다. 예를 들면 다음과 같습니다.

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08
    
    19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
    20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
    21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`
  4. 파일 확장명 평가에 따라 다음 작업 중 하나를 수행합니다.

    • 거짓 양성

      다음 명령을 입력하여 결정 사항을 기록하고, 허용되는 확장자 목록에 새 확장을 추가한 후, 정상적인 안티 랜섬웨어 모니터링을 재개합니다.
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      다음 매개 변수 중 하나를 사용하여 의심되는 목록에 있는 파일의 '[-seq-no_integer_]' 시퀀스 번호를 식별합니다. `[-extension_text_,… [-start-time_date_time_-end-time_date_time_]"" MM/DD/YYYY HH:MM:SS 형식으로 지울 파일 범위의 시작 및 종료 시간.

    • 잠재적인 랜섬웨어 공격

      공격에 대한 대응 및 "ARP 생성 백업 스냅샷으로부터 데이터를 복구합니다". 데이터가 복구된 후 다음 명령을 입력하여 결정을 기록하고 정상적인 ARP 모니터링을 재개합니다.

      '안티 랜섬웨어 볼륨 공격 clear-suspect-vserver_svm_name_-volume_vol_name_[extension identifier]-false-positive false'

      다음 매개 변수 중 하나를 사용하여 확장자가 무엇인지 확인하십시오. "[-seq-no_integer_]" 의심되는 목록에 있는 파일의 시퀀스 번호 [-extension_text_,… [-start-time_date_time_-end-time_date_time_]"" MM/DD/YYYY HH:MM:SS 형식으로 지울 파일 범위의 시작 및 종료 시간.

    전체 볼륨을 복원한 경우 삭제할 의심스러운 파일 유형이 없습니다. ARP 생성 백업 스냅샷이 제거되고 공격 보고서가 지워집니다.

  5. MAV를 사용하고 있고 예상되는 경우 clear-suspect 운영에는 추가 승인이 필요합니다. 각 MAV 그룹 승인자는 다음을 수행합니다.

    1. 요청 표시:

      security multi-admin-verify request show

    2. 정상적인 랜섬웨어 방지 모니터링 재개 요청을 승인합니다.

      security multi-admin-verify request approve -index[number returned from show request]

    마지막 그룹 승인자에 대한 응답은 볼륨이 수정되었고 가양성이 기록되었음을 나타냅니다.

  6. MAV를 사용하고 있고 MAV 그룹 승인자인 경우 의심스러운 요청을 거부할 수도 있습니다.

    security multi-admin-verify request veto -index[number returned from show request]