ONTAP ARP가 감지한 비정상적인 활동에 응답합니다
ARP(Autonomous 랜섬웨어 Protection)가 보호 볼륨에서 비정상적인 활동을 감지하면 경고를 표시합니다. 알림을 평가하여 활동이 허용 가능한지(가양성) 또는 공격이 악의적으로 보이는지 여부를 결정해야 합니다. 공격을 범주화한 후 의심스러운 파일에 대한 경고 및 알림을 지울 수 있습니다.
공격을 분류하면 ARP 스냅샷은 분류 작업(ONTAP 9.16.1 이상)에 의해 시작된 단축 기간 동안 보관되거나 즉시 삭제됩니다(ONTAP 9.15.1 이하).
|
ONTAP 9.11.1부터 다음을 수정할 수 있습니다. "보존 설정" ARP 스냅샷의 경우. |
ARP는 높은 데이터 엔트로피, 데이터 암호화를 사용하는 비정상적인 볼륨 활동, 그리고 비정상적인 파일 확장자 등의 조합을 감지할 경우 의심 파일 목록을 표시합니다. ONTAP 9.17.1부터 NAS 및 SAN 환경 모두에서 엔트로피 급증에 대한 자세한 정보가 System Manager의 랜섬웨어 방지 페이지에도 보고됩니다.
ARP 경고 알림이 발행되면 다음 두 가지 방법 중 하나로 활동을 지정하여 응답합니다.
-
긍정 오류
식별된 파일 유형 또는 엔트로피 스파이크는 작업 부하에서 예상된 것이므로 무시할 수 있습니다.
-
* 잠재적 랜섬웨어 공격 *
식별된 파일 유형이나 엔트로피 스파이크는 작업 부하에서 예상치 못한 것이며 잠재적인 공격으로 간주해야 합니다.
결정을 업데이트하고 ARP 알림을 지우면 정상적인 모니터링이 재개됩니다. ARP는 위협 평가 프로필에 평가를 기록하고, 선택 사항을 기반으로 후속 파일 활동을 모니터링합니다.
공격이 의심되는 경우에는 알림을 지우기 전에 공격이 공격인지 여부를 확인하고, 공격에 대한 대응 및 보호된 데이터를 복원해야 합니다. "랜섬웨어 공격에서 복구하는 방법에 대해 자세히 알아보십시오".
|
전체 볼륨을 복원하는 경우 지울 알림이 없습니다. |
ARP는 볼륨을 적극적으로 보호해야 하며 학습이나 평가 모드에 있어서는 안 됩니다.
System Manager 또는 ONTAP CLI를 사용하여 비정상적인 활동에 대응할 수 있습니다.
-
"비정상적인 활동" 알림을 받으면 링크를 따라가세요. 또는 볼륨 개요의 보안 탭으로 이동하세요.
경고는 * Events * 메뉴의 * Overview * 창에 표시됩니다.
-
보안 탭에서 의심되는 파일 유형이나 엔트로피 스파이크 보고서를 검토합니다.
-
의심되는 파일의 경우, 의심되는 파일 유형 대화 상자에서 각 파일 유형을 검사하고 각각을 개별적으로 표시하세요.
-
엔트로피 스파이크에 대해서는 엔트로피 보고서를 살펴보세요.
-
-
귀하의 응답을 기록하세요:
이 값을 선택하면…
이 작업 수행…
거짓 양성
-
다음 중 하나를 수행합니다.
-
파일 유형 경고를 보려면 *의심스러운 파일 유형 업데이트 및 지우기*를 선택하세요.
-
엔트로피 스파이크의 경우 *거짓 양성으로 표시*를 선택합니다.
이러한 작업은 의심되는 파일 또는 활동에 대한 경고 알림을 지웁니다. 그런 다음 ARP가 볼륨에 대한 정상적인 모니터링을 재개합니다. ONTAP 9.16.1 이상의 ARP/AI의 경우, 분류 작업으로 트리거된 단축 보존 기간이 지나면 ARP 스냅샷이 자동으로 삭제됩니다. ONTAP 9.15.1 이하 버전의 경우, 의심되는 파일 유형을 지우면 관련 ARP 스냅샷이 자동으로 삭제됩니다.
ONTAP 9.13.1 부터, ARP 설정을 보호하기 위해 MAV를 사용하는 경우, 의심스러운 작업이 하나 이상의 추가 관리자의 승인을 얻으라는 메시지를 표시합니다. "모든 관리자로부터 승인을 받아야 합니다" MAV 승인 그룹과 연관되거나 작업이 실패합니다. -
잠재적인 랜섬웨어 공격
-
공격에 대응하세요:
-
파일 유형 경고의 경우 선택한 파일을 *잠재적 랜섬웨어 공격*으로 표시하고 "보호된 데이터를 복원합니다" .
-
공격을 나타내는 엔트로피 스파이크의 경우 *잠재적 랜섬웨어 공격으로 표시*를 선택합니다. "보호된 데이터를 복원합니다" .
-
-
데이터 복구가 완료되면 결정을 기록하고 정상적인 ARP 모니터링을 재개하세요.
-
파일 유형 경고를 보려면 *의심스러운 파일 유형 업데이트 및 지우기*를 선택하세요.
-
엔트로피 스파이크의 경우 *잠재적 랜섬웨어 공격으로 표시*를 선택하고 *저장 및 해제*를 선택합니다.
-
전체 볼륨을 복원한 경우 지워야 할 의심되는 파일 유형 알림이 없습니다. 결정을 기록하면 공격 보고서가 삭제됩니다. ONTAP 9.16.1 이상의 ARP/AI의 경우, 분류 작업으로 트리거된 단축 보존 기간이 지나면 ARP 스냅샷이 자동으로 삭제됩니다. ONTAP 9.15.1 이하 버전의 경우 볼륨을 복원하면 ARP 스냅샷이 자동으로 삭제됩니다.
-
-
랜섬웨어 공격이 의심되는 경우 다음 사항을 통지하여 공격의 시간 및 심각도를 확인하십시오.
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>
샘플 출력:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 5/12/2025 01:03:23 Number of Attacks: 1 Attack Detected By: encryption_percentage_analysis
EMS 메시지를 확인할 수도 있습니다.
event log show -message-name callhome.arw.activity.seen
-
공격 보고서를 생성하고 출력 위치를 기록합니다.
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>
명령 예:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
샘플 출력:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
관리 클라이언트 시스템에서 보고서를 봅니다. 예를 들면 다음과 같습니다.
cat report_file_vs0_vol1_14-09-2021_01-21-08
-
파일 확장자나 엔트로피 스파이크에 대한 평가에 따라 다음 작업 중 하나를 수행하세요.
-
거짓 양성
다음 명령 중 하나를 실행하여 결정을 기록하고 정상적인 Autonomous Ransomware Protection 모니터링을 재개하세요.
-
파일 확장자의 경우:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true
다음 선택적 매개 변수를 사용하여 특정 확장만 위양성으로 식별합니다.
-
[-extension <text>, … ]
: 파일 확장자
-
-
엔트로피 스파이크의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true
-
-
잠재적인 랜섬웨어 공격
공격에 대응하고 "ARP 생성 백업 스냅샷으로부터 데이터를 복구합니다". 데이터가 복구되면 다음 명령 중 하나를 실행하여 결정을 기록하고 정상적인 ARP 모니터링을 재개하세요
-
파일 확장자의 경우:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false
다음 선택적 매개 변수를 사용하여 특정 확장만 잠재적 랜섬웨어로 식별하십시오.
-
[-extension <text>, … ]
: 파일 확장자
-
-
엔트로피 스파이크의 경우:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false
-
이것
clear-suspect
작업은 공격 보고서를 지웁니다. 전체 볼륨을 복원한 경우 지울 의심 파일 유형 알림은 없습니다. ONTAP 9.16.1 이상의 ARP/AI의 경우, 분류 작업으로 트리거된 단축 보존 기간이 지나면 ARP 스냅샷이 자동으로 삭제됩니다. ONTAP 9.15.1 이하 버전의 경우, 볼륨을 복원하거나 의심 이벤트를 삭제하면 ARP 스냅샷이 자동으로 삭제됩니다. -
-
MAV를 사용하고 있고 예상되는 경우
clear-suspect
작업에 추가 승인이 필요합니다. 각 MAV 그룹 승인자는 다음을 수행해야 합니다.-
요청 표시:
security multi-admin-verify request show
-
정상적인 랜섬웨어 방지 모니터링 재개 요청을 승인합니다.
security multi-admin-verify request approve -index[<number returned from show request>]
마지막 그룹 승인자에 대한 응답은 볼륨이 수정되었고 가양성이 기록되었음을 나타냅니다.
-
-
MAV를 사용하고 있고 MAV 그룹 승인자인 경우 의심스러운 요청을 거부할 수도 있습니다.
security multi-admin-verify request veto -index[<number returned from show request>]