Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Restaure os dados dos snapshots ARP do ONTAP após um ataque de ransomware

Colaboradores netapp-dbagwell netapp-aherbin netapp-ahibbard netapp-forry netapp-aaron-holt
PDFs

A Proteção Autônoma contra Ransomware (ARP) cria snapshots para proteger contra possíveis ameaças de ransomware. Você pode usar snapshots da ARP ou outro snapshot do seu volume para restaurar dados.

Sobre esta tarefa

Dependendo da situação potencial do ataque, você restaurará os dados de uma das seguintes maneiras:

O ARP cria snapshots com um dos seguintes nomes prefixados:

  • Anti_ransomware_periodic_backup : Usado no ONTAP 9.17.1 e versões posteriores para snapshots criados em intervalos regulares. Por exemplo, Anti_ransomware_periodic_backup.2025-06-01_1248 .

  • Anti_ransomware_attack_backup: Usado no ONTAP 9.17.1 e posteriores para instantâneos criados em resposta a anormalidades. Por exemplo, Anti_ransomware_attack_backup.2025-08-25_1248 .

  • Anti_ransomware_backup : Usado no ONTAP 9.16.1 e versões anteriores com snapshots criados em resposta a anormalidades. Por exemplo, Anti_ransomware_backup.2022-12-20_1248 .

Antes de começar
Passos

Siga estes passos quando precisar restaurar dados após o ARP detectar uma anomalia:

Escolha um método de recuperação

Dependendo da extensão da corrupção de dados e das suas necessidades operacionais, escolha um ou uma combinação destes métodos de recuperação.

  • Restauração de snapshot de volume: Reverte todo o volume para um snapshot selecionado (ARP ou agendado). Este é o método mais rápido, mas remove todos os snapshots criados após o ponto de restauração.

  • FlexClone de um snapshot limpo: Cria um volume clone a partir do snapshot selecionado, preservando o volume original e todos os seus snapshots para análise forense ou recuperação adicional. Recomenda-se separar o clone do volume pai para isolar o volume pai infectado do clone limpo.

    Saiba mais sobre "Criando um volume FlexClone a partir de um Snapshot" e "dividir um FlexClone de seu volume pai".

  • Arquivo único SnapRestore: Restaura arquivos individuais a partir de snapshots. Cada arquivo pode ser originado de um snapshot diferente. Isso é prático quando o número de arquivos afetados é relativamente pequeno (dezenas a centenas de arquivos).

    Saiba mais sobre "Restaurar um único arquivo a partir de um Snapshot".

  • Cópia de dados do `.snapshot`diretório: Copia os dados do ponto de montagem do snapshot para um novo volume usando operações padrão de cópia de arquivos. Este método preserva o volume original e os snapshots para análise.

  • Abordagem híbrida: O volume é primeiro revertido para o Snapshot limpo mais próximo usando SnapRestore, depois quaisquer arquivos corrompidos restantes são restaurados individualmente a partir de outro Snapshot ou backup externo.

Restrições e considerações para a recuperação

  • Para ONTAP 9.15.1 e versões anteriores, liberar o bloqueio do Snapshot ARP exclui os Snapshots ARP imediatamente. Libere o bloqueio somente se você não planeja restaurar a partir de um Snapshot ARP.

  • A liberação do bloqueio anti-ransomware antes de restaurar a partir de snapshots anteriores só é necessária quando você usa volume snapshot restore. Não é necessária para FlexClone, SnapRestore de arquivo único, operações de cópia de dados ou métodos similares.

SnapMirror considerações

  • Se o volume fizer parte de uma relação do SnapMirror síncrona ou relação SAN do SnapMirror active sync no ONTAP 9.19.1 RC e você planejar uma restauração no nível do volume, silencie ou "rompa a relação antes de restaurar" e depois restabeleça a proteção após a restauração.

  • Se você restaurar um volume protegido por ARP a partir de um Snapshot enquanto ele participa de uma relação do SnapMirror, atualize manualmente todas as cópias espelhadas após a restauração. Caso contrário, as cópias espelhadas podem se tornar inutilizáveis e talvez precisem ser excluídas e recriadas.

Para obter informações completas sobre o comportamento de interoperabilidade do SnapMirror e ARP, incluindo considerações sobre snapshot e failover, consulte "Interoperabilidade SnapMirror e ARP".

Restaurar após um ataque ao sistema

Para restaurações de snapshots de volume, escolha um destes fluxos dependendo da origem do snapshot e da situação:

Restaurar a partir do snapshot ARP mais recente

Escolha este fluxo quando puder restaurar com segurança a partir do snapshot ARP mais recente, que é o snapshot mais atualizado disponível para recuperação.

System Manager

  1. Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  2. Para ONTAP 9.16.1 e versões posteriores, antes de executar uma restauração de volume, "limpar arquivos suspeitos".

    Observação Após a remoção dos arquivos suspeitos, o snapshot ARP é mantido por 7 dias (por padrão). Se precisar de mais tempo para recuperação de dados, "Ajustar configurações de Snapshot ARP" aumente o período de retenção do snapshot para o valor desejado. Após a conclusão da recuperação de dados, você pode diminuir o período de retenção.

  3. Selecione Ícone de opções do menu ao lado do snapshot ARP mais recente (Anti_ransomware que deseja restaurar e, em seguida, selecione Restaurar.

  4. Para ONTAP 9.15.1 e versões anteriores, após a conclusão da restauração, "limpar arquivos suspeitos".

CLI

  1. Listar os instantâneos em um volume:

    volume snapshot show -vserver <svm> -volume <volume>

  2. Para ONTAP 9.16.1 e versões posteriores, antes de executar volume snapshot restore, "limpar arquivos suspeitos".

  3. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  4. Para ONTAP 9.15.1 e versões anteriores, após a conclusão da restauração, "limpar arquivos suspeitos".

Restaurar a partir de um snapshot anterior

Escolha este fluxo quando não tiver confiança no snapshot mais recente e quiser restaurar a partir de um snapshot anterior. Libere o bloqueio no snapshot ARP mais recente antes de restaurar a partir do snapshot anterior.

System Manager

  1. Libere o bloqueio no snapshot ARP mais recente:

    1. Selecione armazenamento > volumes.

    2. Selecione Segurança e depois Exibir tipos de arquivos suspeitos.

    3. Marque os arquivos como "possível ataque de ransomware".

    4. Selecione Atualizar e limpar tipos de arquivo suspeitos.

      Observação Se você já classificou a atividade como um possível ataque de ransomware seguindo os passos descritos em "Responder a atividade anormal detetada pelo ONTAP ARP", basta limpar os tipos de arquivo suspeitos aqui.

  2. Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  3. Selecione Ícone de opções do menu ao lado do Snapshot anterior que deseja restaurar e, em seguida, selecione Restaurar.

CLI

  1. Se você estiver restaurando a partir de um snapshot anterior usando volume snapshot restore, marque o ataque como potencial ransomware (-false-positive false e limpe os arquivos suspeitos para liberar o bloqueio:

    security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

    Use um dos seguintes parâmetros para identificar as extensões:

    • [-seq-no integer] : Número de sequência do arquivo na lista de suspeitos.

    • [-extension text, … ] : Extensões de arquivo

    • [-start-time date_time -end-time date_time] : Horários de início e término para o intervalo de arquivos a serem limpos, no formato "MM/DD/AAAA HH:MM:SS".

  2. Listar os instantâneos em um volume:

    volume snapshot show -vserver <svm> -volume <volume>

    O exemplo a seguir mostra o instantâneo no vol1:

    clus1::> volume snapshot show -vserver vs1 -volume vol1

Vserver Volume Snapshot                State    Size  Total% Used%
------- ------ ---------- ----------- ------   -----  ------ -----
vs1	    vol1   hourly.2013-01-25_0005  valid   224KB     0%    0%
               daily.2013-01-25_0010   valid   92KB      0%    0%
               hourly.2013-01-25_0105  valid   228KB     0%    0%
               hourly.2013-01-25_0205  valid   236KB     0%    0%
               hourly.2013-01-25_0305  valid   244KB     0%    0%
               hourly.2013-01-25_0405  valid   244KB     0%    0%
               hourly.2013-01-25_0505  valid   244KB     0%    0%

7 entries were displayed.

  3. Restaure o conteúdo de um volume a partir de um instantâneo:

    volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

    O exemplo a seguir restaura o conteúdo vol1 de :

    cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010

Restaurar quando nenhum ataque ao sistema for identificado

Quando nenhum ataque for identificado, primeiro restaure a partir do snapshot ARP mais recente e depois restaure a partir de um snapshot anterior de sua escolha.

System Manager

  1. Selecione armazenamento > volumes e, em seguida, selecione o volume e cópias Snapshot.

  2. Selecione Ícone de opções do menue escolha a `Anti_ransomware`Snapshot mais recente.

  3. Selecione Restaurar.

  4. Volte ao menu Snapshot Copies e escolha o instantâneo anterior que deseja usar.

  5. Selecione Restaurar.

CLI

  1. Restaure primeiro a partir do snapshot ARP mais recente:

    1. Listar os instantâneos em um volume:

      volume snapshot show -vserver <svm> -volume <volume>

    2. Restaure o conteúdo de um volume a partir de um instantâneo:

      volume snapshot restore -vserver <svm> -volume <volume> -snapshot <snapshot>

  2. Selecione o snapshot anterior que deseja usar e repita a restauração.

Saiba mais sobre volume snapshot o "Referência do comando ONTAP"na .

Informações relacionadas