ONTAP ARP가 감지한 비정상적인 활동에 응답합니다
자율형 랜섬웨어 방지(ARP)는 보호된 볼륨에서 비정상적인 활동을 감지하면 경고를 표시합니다. 이 알림을 검토하여 해당 활동이 정상적인 활동(오탐)인지 또는 악의적인 공격인지 판단해야 합니다. 공격 유형을 분류한 후에는 경고 및 비정상 활동 관련 알림을 삭제할 수 있습니다.
공격을 분류할 때 ARP 스냅샷은 분류 작업으로 시작된 짧은 기간 동안 유지되거나(ONTAP 9.16.1 이상) 의심스러운 이벤트를 지우면 즉시 삭제됩니다(ONTAP 9.15.1 이하).
|
|
ONTAP 9.11.1부터 다음을 수정할 수 있습니다. "보존 설정" ARP 스냅샷의 경우. |
NAS 볼륨의 경우 ARP는 높은 데이터 엔트로피, 데이터 암호화를 동반한 비정상적인 볼륨 활동 및 비정상적인 파일 확장자의 조합이 감지되면 의심스러운 파일 목록을 표시합니다.
ONTAP 9.17.1부터:
-
NAS 볼륨의 경우: ARP는 의심스러운 파일 및 파일 형식을 계속해서 제공합니다.
-
SAN 볼륨의 경우(LUN 또는 NVMe 네임스페이스를 포함하는 볼륨): ARP는 볼륨 수준에서만 엔트로피를 평가합니다. ONTAP는 LUN 또는 네임스페이스 내의 개별 파일을 볼 수 없으므로 의심스러운 파일 목록 및 파일 유형을 사용할 수 없습니다. 대신 ARP는 볼륨 수준에서 암호화 비율의 급증(엔트로피 급증)을 보고합니다.
NAS 및 SAN 볼륨의 엔트로피 급증에 대한 자세한 내용은 System Manager의 랜섬웨어 방지 페이지에서 확인할 수 있습니다.
ARP는 탐지 및 스냅샷 생성을 자동화하지만, 파일이나 이벤트가 실제로 악성인지 여부를 최종적으로 판단하려면 수동 조사가 필요합니다. ARP는 이벤트가 실제 랜섬웨어 공격인지 여부를 확실하게 판단할 수 없습니다. ARP는 의심스러운 활동을 표시하지만, 해당 이벤트가 실제 랜섬웨어인지 아니면 오탐(양성 활동)인지 여부는 직접 조사하고 확인해야 합니다.
ARP 경고 알림이 발행되면 다음 두 가지 방법 중 하나로 활동을 지정하여 응답합니다.
-
긍정 오류
식별된 파일 유형 또는 엔트로피 스파이크는 작업 부하에서 예상된 것이므로 무시할 수 있습니다.
-
* 잠재적 랜섬웨어 공격 *
식별된 파일 유형이나 엔트로피 스파이크는 작업 부하에서 예상치 못한 것이며 잠재적인 공격으로 간주해야 합니다.
결정을 업데이트하고 ARP 알림을 지우면 정상적인 모니터링이 재개됩니다. ARP는 위협 평가 프로필에 평가를 기록하고, 선택 사항을 기반으로 후속 파일 활동을 모니터링합니다.
공격이 의심되는 경우, 공격인지 여부를 판단하고, 공격인 경우 대응 조치를 취한 다음, 복구 방법 및 ONTAP 버전에 필요한 순서대로 알림을 지우고 데이터를 복원해야 합니다. "랜섬웨어 공격에서 복구하는 방법에 대해 자세히 알아보십시오".
ARP는 볼륨을 적극적으로 보호해야 하며 학습이나 평가 모드에 있어서는 안 됩니다.
비정상적인 활동을 분류해야 할 경우 다음 단계를 따르십시오.
-
다음 중 하나를 수행합니다.
데이터를 복원해야 하는 경우 "랜섬웨어 공격 후 ONTAP ARP 스냅샷에서 데이터를 복원합니다"의 단계를 사용합니다.
비정상적인 활동 세부 정보 검토
응답 흐름을 선택하기 전에 System Manager 또는 ONTAP CLI를 사용하여 ARP 경고 세부 정보를 검토할 수 있습니다.
-
"비정상적인 활동" 알림을 받으면 링크를 따라가세요. 또는 Storage > Volumes*로 이동하여 문제가 발생한 볼륨을 찾고 *Security 탭을 선택하세요.
경고는 System Manager 대시보드 개요 창의 이벤트 메뉴에 표시됩니다.
-
보안 탭에서 비정상적인 활동 세부 정보를 검토하십시오.
-
NAS 볼륨의 경우 Suspected file types 보고서를 검토하십시오. Suspected File Types 대화 상자에는 ARP가 식별한 파일 확장자와 파일 개수가 표시됩니다.
-
NAS 및 SAN 볼륨 모두에 대해 시간 범위, 지속 시간, 기록된 데이터 양 및 엔트로피 값을 보여주는 엔트로피 급증 보고서를 검토하십시오.
-
-
랜섬웨어 공격이 의심되는 경우 다음 사항을 통지하여 공격의 시간 및 심각도를 확인하십시오.
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>샘플 출력:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 5/12/2025 01:03:23 Number of Attacks: 1 Attack Detected By: encryption_percentage_analysis
EMS 메시지를 확인할 수도 있습니다.
event log show -message-name callhome.arw.activity.seen -
(선택 사항, NAS 및 SAN) 볼륨에서 감지된 최근 엔트로피 급증 확인:
security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>이 명령은 ONTAP에서 높은 암호화 비율(엔트로피 급증)이 감지된 시간대를 요약합니다. NAS 및 SAN 볼륨 모두에 적용됩니다.
-
(선택 사항) 시간 경과에 따른 암호화 비율의 히스토그램 보기:
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>
의심스러운 이벤트를 지울 때 스냅샷 동작 및 승인 이해
-
`volume snapshot restore`ONTAP 9.16.1 이상에서는 먼저 의심스러운 이벤트를 삭제한 다음 복원을 수행하십시오. 의심스러운 파일을 삭제한 후 ARP 스냅샷은 활동 분류 방식에 따라 보존됩니다. 활동을 잠재적인 랜섬웨어 공격으로 표시하면 7일(기본값) 동안, 오탐으로 표시하면 24시간 동안 보존됩니다. 먼저 삭제해도 복원 대상은 제거되지 않습니다. 또한 볼륨 복원 후에는 clear-suspect 옵션을 사용할 수 없으므로 복원 전에 반드시 삭제해야 합니다.
-
ONTAP 9.15.1
volume snapshot restore이하 버전에서는 먼저 복원을 수행한 다음 의심스러운 이벤트를 삭제하십시오. 의심스러운 파일을 삭제하면 ARP 스냅샷이 즉시 삭제되므로 복원 작업이 실행되기 전에 스냅샷이 손실되는 것을 방지하려면 삭제하기 전에 복원을 완료해야 합니다. -
volume snapshot restore(예: FlexClone 또는 단일 파일 SnapRestore) 이외의 복구 방법의 경우 먼저 데이터 복구를 수행한 다음 의심스러운 이벤트를 삭제하십시오. 이러한 방법은 의심스러운 이벤트 삭제 옵션의 사용 가능성에 영향을 미치지 않습니다. -
ONTAP 9.13.1부터 MAV를 사용하여 ARP 설정을 보호하는 경우
clear-suspect작업에 추가 승인이 필요할 수 있습니다. "모든 관리자로부터 승인을 받아야 합니다" MAV 승인 그룹과 연결되어 있어야 하며, 그렇지 않으면 작업이 실패합니다.
오탐으로 분류하고 모니터링 재개
이 흐름은 식별된 파일 유형 또는 엔트로피 급증이 워크로드에 대해 예상되는 경우에 사용하십시오.
-
귀하의 응답을 기록하세요:
-
NAS 파일 유형 경고의 경우 영향을 받는 파일을 선택하고 *오탐으로 표시*를 선택한 다음 *의심스러운 파일 유형 업데이트 및 지우기*를 선택합니다.
-
엔트로피 급증(NAS 및 SAN)의 경우 *오탐으로 표시*를 선택한 다음 *저장 후 해제*를 선택합니다.
-
이러한 조치는 의심스러운 파일(NAS) 또는 비정상적인 활동(NAS 및 SAN)에 대한 경고 알림을 삭제합니다. 그러면 ARP는 볼륨에 대한 정상적인 모니터링을 재개합니다.
-
다음 명령 중 하나를 실행하여 결정을 기록하고 정상적인 Autonomous Ransomware Protection 모니터링을 재개하세요.
-
NAS 파일 확장자의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true다음 선택적 매개변수를 사용하여 특정 확장자만 오탐으로 식별합니다.
[-extension <text>, … ] -
엔트로피 급증(NAS 및 SAN)의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive trueSAN 볼륨의 경우 비정상적인 활동을 분류하는 유일하게 지원되는 방법이며, 의심스러운 파일 목록이나 파일 확장자는 없습니다.
-
-
ONTAP 9.18.1부터
clear-suspect작업의 상태를 확인할 수 있습니다.security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>
랜섬웨어 공격 가능성으로 분류하고 데이터를 복구하세요
이 흐름은 식별된 파일 유형이나 엔트로피 급증이 워크로드에서 예상치 못한 경우 사용합니다.
-
활동을 분류하십시오.
-
NAS 파일 유형 경고의 경우 선택한 파일을 * 잠재적 랜섬웨어 공격 * 으로 표시합니다.
-
엔트로피 급증(NAS 및 SAN)의 경우 *잠재적 랜섬웨어 공격으로 표시*를 선택하십시오.
-
-
데이터를 복구하기 전에 "복구 방법 옵션"을(를) 고려해야 합니다. 그런 다음 다음 중 하나를 수행하십시오.
-
ONTAP 9.16.1 이상을 사용하여 볼륨을 복원하려는 경우: 알림을 지운 다음 볼륨을 복원하십시오.
-
-
NAS 파일 유형 경고의 경우 *의심스러운 파일 유형 업데이트 및 지우기*를 선택합니다.
-
엔트로피 급증(NAS 및 SAN)의 경우 *저장 후 닫기*를 선택하십시오.
의심스러운 파일을 삭제한 후에는 ARP 스냅샷이 기본적으로 7일 동안 보존됩니다. 데이터 복구에 더 많은 시간이 필요한 경우 "ARP 스냅샷 설정 조정"를 사용하여 스냅샷 보존 기간을 원하는 값으로 늘릴 수 있습니다. 모든 데이터 복구가 완료되면 보존 기간을 줄일 수 있습니다.
-
-
"가장 최근의 ARP 스냅샷 또는 이전 스냅샷"을(를) 사용하여 데이터를 복구합니다.
-
-
* ONTAP 9.15.1 이하 버전으로 볼륨을 복원하려는 경우 *: 볼륨을 복원한 다음 알림을 지우십시오.
-
"가장 최근의 ARP 스냅샷 또는 이전 스냅샷"을(를) 사용하여 데이터를 복구합니다.
-
데이터 복원 후 분류를 완료하여 정상적인 ARP 모니터링을 재개합니다.
-
NAS 파일 유형 경고의 경우 *의심스러운 파일 유형 업데이트 및 지우기*를 선택합니다.
-
엔트로피 급증(NAS 및 SAN)의 경우 *저장 후 닫기*를 선택하십시오.
-
-
-
다른 복원 방법을 사용할 경우: 먼저 데이터를 복원한 다음 알림을 지우십시오.
-
데이터 복원 후 분류 작업을 완료하여 정상적인 ARP 모니터링을 재개하십시오.
-
NAS 파일 유형 경고의 경우 *의심스러운 파일 유형 업데이트 및 지우기*를 선택합니다.
-
엔트로피 급증(NAS 및 SAN)의 경우 *저장 후 닫기*를 선택하십시오.
결정을 기록하면 공격 보고서가 삭제됩니다.
-
-
-
(NAS 볼륨에만 해당) 공격 보고서 생성:
-
공격 보고서를 생성하고 저장 위치를 지정합니다.
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>명령 예:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
샘플 출력:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
+
보고서 파일은 공격 중에 의심되는 모든 파일의 전체 목록이 아닙니다. -
관리 클라이언트 시스템에서 보고서를 봅니다. 예를 들면 다음과 같습니다.
cat report_file_vs0_vol1_14-09-2021_01-21-08
이 명령은 LUN 또는 NVMe 네임스페이스(SAN 워크로드)가 포함된 볼륨에서는 지원되지 않습니다.
-
-
"복구 방법"를 선택합니다. 그런 다음 다음 중 하나를 수행합니다.
-
* `volume snapshot restore`를 사용하려는 경우*: 릴리스별 순서를 따르십시오.
-
ONTAP 9.16.1 이상: 먼저 공격을 제거한 다음 `volume snapshot restore`을(를) 실행합니다.
-
의심스러운 파일을 지우려면 다음 명령 중 하나를 실행하십시오.
-
NAS 파일 확장자의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false다음 선택적 매개변수를 사용하여 특정 확장자만 잠재적인 랜섬웨어로 식별할 수 있습니다.
[-extension <text>, … ] -
엔트로피 급증(NAS 및 SAN)의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive falseSAN 볼륨의 경우, 복구 전에 이 명령을 사용하여 공격을 확인하십시오. 이 명령은 SAN 워크로드에 대한 ARP 위협 평가를 업데이트합니다.
-
-
"최근 ARP 스냅샷 또는 이전 스냅샷"을 사용하여 데이터를 복구하십시오.
-
-
ONTAP 9.15.1 이하 버전: `volume snapshot restore`먼저 실행한 다음 공격을 해제하십시오.
-
"최근 ARP 스냅샷 또는 이전 스냅샷"을 사용하여 데이터를 복구하십시오.
-
다음 명령 중 하나를 실행하여 의심스러운 파일을 지우십시오.
-
NAS 파일 확장자의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false다음 선택적 매개변수를 사용하여 특정 확장자만 잠재적인 랜섬웨어로 식별할 수 있습니다.
[-extension <text>, … ] -
엔트로피 급증(NAS 및 SAN)의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive falseSAN 볼륨의 경우, 복구 후 이 명령을 사용하여 공격을 확인하십시오. 이는 SAN 워크로드에 대한 ARP 위협 평가를 업데이트합니다.
-
-
-
-
다른 복구 방법을 사용할 계획이라면: 먼저 데이터를 복원한 다음 공격을 제거하십시오.
-
"FlexClone 또는 단일 파일 SnapRestore"을 사용하여 데이터를 복구하십시오.
-
의심스러운 파일을 지우려면 다음 명령 중 하나를 실행하십시오.
-
NAS 파일 확장자의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false다음 선택적 매개변수를 사용하여 특정 확장자만 잠재적인 랜섬웨어로 식별할 수 있습니다.
[-extension <text>, … ] -
엔트로피 급증(NAS 및 SAN)의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive falseSAN 볼륨의 경우, 복구 후 이 명령을 사용하여 공격을 확인하십시오. 이는 SAN 워크로드에 대한 ARP 위협 평가를 업데이트합니다.
-
-
-
-
ONTAP 9.18.1부터
clear-suspect작업의 상태를 확인할 수 있습니다.security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>
다중 관리자 검증 옵션
다중 관리자 검증(MAV)을 사용하고 있고 예상되는 clear-suspect 작업에 추가 승인이 필요한 경우, 각 MAV 그룹 승인자는 다음을 수행해야 합니다.
-
요청 표시:
security multi-admin-verify request show -
정상적인 랜섬웨어 방지 모니터링 재개 요청을 승인합니다.
security multi-admin-verify request approve -index[<number returned from show request>]마지막 그룹 승인자에 대한 응답은 볼륨이 수정되었고 가양성이 기록되었음을 나타냅니다.
MAV를 사용하고 있고 MAV 그룹 승인자인 경우 의심스러운 요청을 거부할 수도 있습니다.
security multi-admin-verify request veto -index[<number returned from show request>]