Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Restaure os dados dos snapshots ARP do ONTAP após um ataque de ransomware

Colaboradores netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDFs

A Proteção Autônoma contra Ransomware (ARP) cria snapshots para proteger contra uma possível ameaça de ransomware. Você pode usar um desses snapshots ARP ou outro snapshot do seu volume para restaurar dados.

Sobre esta tarefa

O ARP cria snapshots com um dos seguintes nomes anexados:

  • Anti_ransomware_periodic_backup : Usado no ONTAP 9.17.1 e versões posteriores para snapshots criados em intervalos regulares. Por exemplo, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Usado no ONTAP 9.17.1 e posteriores para instantâneos criados em resposta a anormalidades. Por exemplo, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Usado no ONTAP 9.16.1 e versões anteriores com snapshots criados em resposta a anormalidades. Por exemplo, Anti_ransomware_backup.2022-12-20_1248 .

Para restaurar a partir de um instantâneo diferente do Anti_ransomware snapshot após um ataque ao sistema ser identificado, você deve primeiro liberar o snapshot ARP.

Se nenhum ataque ao sistema for relatado, você deve primeiro restaurar a partir do Anti_ransomware instantâneo e conclua uma restauração subsequente do volume a partir do instantâneo escolhido.

Mais informações sobre SnapMirror relationships e snapshots ARP

Se o volume protegido por ARP fizer parte de um relacionamento SnapMirror , você precisará atualizar manualmente todas as cópias espelhadas do volume após restaurá-lo a partir de um snapshot. Se você pular esta etapa, as cópias espelhadas poderão ficar inutilizáveis e precisarão ser excluídas e recriadas.

Se o volume protegido por ARP fizer parte de uma relação síncrona do SnapMirror ou de sincronização ativa do SnapMirror no ONTAP 9.19.1 RC, considerações adicionais de recuperação se aplicam:

  • Os snapshots ARP são criados e mantidos apenas no volume primário. Eles não são replicados para o volume secundário como parte de SnapMirror synchronous ou SnapMirror active sync.

  • O estado de capacitação do ARP não é replicado durante o failover. Você precisa "ativar ARP novamente" no volume de recuperação após o failover.

  • A restauração em nível de volume (volume snapshot restore em volumes SnapMirror síncronos ou SnapMirror active sync pode exigir que você suspenda temporariamente ou interrompa a relação SnapMirror síncrona ou SnapMirror active sync.

  • Em muitos casos, você pode evitar a interrupção da SnapMirror synchronous ou da SnapMirror active sync usando FlexClone ou operações de restauração em nível de arquivo a partir de ARP ou outros snapshots no volume primário.

Antes de começar

"Você deve marcar o ataque como um potencial ataque de ransomware" antes de restaurar dados de um instantâneo.

Passos

Você pode usar o Gerenciador do sistema ou a CLI do ONTAP para restaurar seus dados.

System Manager
Restaurar após um ataque ao sistema

  1. Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar a partir de um instantâneo anterior, primeiro é necessário liberar o bloqueio no instantâneo ARP.

    1. Selecione armazenamento > volumes.

    2. Selecione Segurança e depois Exibir tipos de arquivos suspeitos.

    3. Marque os arquivos como "possível ataque de ransomware".

    4. Selecione Update e Clear Suspect File Types.

  2. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  3. Selecione Ícone de opções do menu ao lado do instantâneo que deseja restaurar e depois Restaurar.

    Se o volume fizer parte de um SnapMirror síncrono ou de SnapMirror active sync em uma relação SAN no ONTAP 9.19.1 RC e você planeja executar uma restauração em nível de volume, siga a documentação de SnapMirror síncrono ou de SnapMirror active sync para suspender ou "romper a relação de proteção" antes de iniciar a restauração e, em seguida, restabeleça a proteção após a conclusão da restauração.

Restaure se um ataque do sistema não foi identificado

  1. Exibir os instantâneos em volumes:

    Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  2. Selecione Ícone de opções do menu então escolha o Anti_ransomware instantâneo.

  3. Selecione Restaurar.

  4. Retorne ao menu cópias instantâneas e escolha o instantâneo que deseja usar. Selecione Restaurar.

CLI
Restaurar após um ataque ao sistema

Para restaurar a partir do instantâneo ARP, passe para a etapa dois. Para restaurar dados de instantâneos anteriores, você deve liberar o bloqueio no instantâneo ARP.

Observação Só é necessário liberar o anti-ransomware SnapLock antes de restaurar a partir de snapshots anteriores se você estiver usando o comando volume snapshot restore conforme descrito abaixo. Se você estiver restaurando dados usando FlexClone, SnapRestore de arquivo único ou outros métodos, isso não é necessário.

  1. Marque o ataque como um potencial ataque de ransomware (-false-positive false ) e limpar arquivos suspeitos (clear-suspect ):

    anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Use um dos seguintes parâmetros para identificar as extensões:

    • [-seq-no integer] : Número de sequência do arquivo na lista de suspeitos.

    • [-extension text, … ] : Extensões de arquivo

    • [-start-time date_time -end-time date_time] : Horários de início e término para o intervalo de arquivos a serem limpos, no formato "MM/DD/AAAA HH:MM:SS".

  2. Se o volume fizer parte de um SnapMirror synchronous ou SnapMirror active sync relacionamento SAN no ONTAP 9.19.1 RC e você pretender executar uma restauração em nível de volume com volume snapshot restore, coloque em estado quiescente ou "romper a relação de sincronização síncrona do SnapMirror ou sincronização ativa do SnapMirror" de acordo com a documentação do SnapMirror synchronous ou SnapMirror active sync antes de executar a operação de restauração.

  3. Listar os instantâneos em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra o instantâneo no vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  4. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
Restaure se um ataque do sistema não foi identificado

  1. Listar os instantâneos em um volume:

    volume snapshot show -vserver <SVM> -volume <volume>

    O exemplo a seguir mostra o instantâneo no vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  2. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <SVM> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Saiba mais sobre volume snapshot o "Referência do comando ONTAP"na .

Informações relacionadas