Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Responder a atividade anormal detetada pelo ONTAP ARP

Colaboradores netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDFs

Quando o Autonomous ransomware Protection (ARP) deteta atividade anormal em um volume protegido, ele emite um aviso. Você deve avaliar a notificação para determinar se a atividade é aceitável (falso positivo) ou se um ataque parece mal-intencionado. Depois de categorizar o ataque, você pode limpar o aviso e avisos sobre arquivos suspeitos.

Quando você categoriza um ataque, os instantâneos do ARP são retidos por um período abreviado iniciado pela operação de categorização (ONTAP 9.16.1 e posteriores) ou excluídos instantaneamente (ONTAP 9.15.1 e anteriores).

Observação A partir do ONTAP 9.11.1, você pode modificar o "definições de retenção" para instantâneos ARP.
Sobre esta tarefa

O ARP exibe uma lista de arquivos suspeitos ao detectar qualquer combinação de alta entropia de dados, atividade anormal de volume com criptografia de dados e extensões de arquivo incomuns. A partir do ONTAP 9.17.1 para ambientes NAS e SAN, os detalhes dos picos de entropia também são relatados na página Anti-ransomware no Gerenciador de Sistemas.

Quando uma notificação de alerta ARP for emitida, responda designando a atividade de uma das duas maneiras:

  • Falso positivo

    O tipo de arquivo identificado ou pico de entropia é esperado em sua carga de trabalho e pode ser ignorado.

  • Possível ataque de ransomware

    O tipo de arquivo identificado ou pico de entropia é inesperado na sua carga de trabalho e deve ser tratado como um ataque em potencial.

O monitoramento normal será retomado após você atualizar sua decisão e limpar as notificações do ARP. O ARP registra sua avaliação no perfil de avaliação de ameaças, usando sua escolha para monitorar atividades de arquivo subsequentes.

No caso de um ataque suspeito, você deve determinar se é um ataque, responder a ele, se for, e restaurar dados protegidos antes de limpar os avisos. "Saiba mais sobre como se recuperar de um ataque de ransomware".

Observação Se você restaurar um volume inteiro, não há avisos para limpar.
Antes de começar

O ARP deve estar protegendo ativamente um volume e não em modo de aprendizagem ou avaliação.

Passos

Use o Gerenciador de sistema ou a CLI do ONTAP para responder a atividades anormais.

System Manager

  1. Ao receber uma notificação de "atividade anormal", siga o link. Como alternativa, navegue até a aba Segurança da visão geral de Volumes.

    Os avisos são exibidos no painel Visão geral do menu Eventos.

  2. Na aba Segurança, revise os tipos de arquivos suspeitos ou o relatório de picos de entropia.

    • Para arquivos suspeitos, examine cada tipo de arquivo na caixa de diálogo Tipos de arquivo suspeitos e marque cada um individualmente.

    • Para picos de entropia, examine o relatório de entropia.

  3. Registre sua resposta:

    Se você selecionar este valor…​

    Tome esta ação…​

    Falso positivo

    1. Execute um dos seguintes procedimentos:

      • Para avisos de tipo de arquivo, selecione Atualizar e limpar tipos de arquivo suspeitos.

      • Para picos de entropia, selecione Marcar como falso positivo.

        Essas ações limpam avisos sobre arquivos ou atividades suspeitas. O ARP então retoma o monitoramento normal do volume. Para ARP/AI no ONTAP 9.16.1 e versões posteriores, os snapshots ARP são excluídos automaticamente após um período de retenção abreviado, acionado pela operação de categorização. Para o ONTAP 9.15.1 e versões anteriores, os snapshots do ARP relacionados são excluídos automaticamente após a limpeza dos tipos de arquivo suspeitos.

      Observação A partir do ONTAP 9.13,1, se você estiver usando o MAV para proteger suas configurações ARP, a operação clara suspeita solicitará que você obtenha a aprovação de um ou mais administradores adicionais. "A aprovação deve ser recebida de todos os administradores" Associado ao grupo de aprovação MAV ou à operação falhará.

    Potencial ataque de ransomware

    1. Responda ao ataque:

    2. Após a conclusão da restauração dos dados, registre sua decisão e retome o monitoramento normal do ARP:

      • Para avisos de tipo de arquivo, selecione Atualizar e limpar tipos de arquivo suspeitos.

      • Para picos de entropia, selecione Marcar como possível ataque de ransomware e selecione Salvar e descartar.

    Observação Não há avisos de tipos de arquivos suspeitos para limpar se você tiver restaurado um volume inteiro.

    Registrar sua decisão limpa o relatório de ataque. Para ARP/AI no ONTAP 9.16.1 e versões posteriores, os snapshots ARP são excluídos automaticamente após um período de retenção abreviado, acionado pela operação de categorização. No ONTAP 9.15.1 e versões anteriores, após a restauração de um volume, os snapshots ARP são excluídos automaticamente.
CLI

  1. Quando receber uma notificação de um ataque de ransomware suspeito, verifique a hora e a gravidade do ataque:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Saída da amostra:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Você também pode verificar mensagens EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Gere um relatório de ataque e especifique onde salvá-lo:

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    Exemplo de comando:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    Saída da amostra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Exibir o relatório em um sistema de cliente admin. Por exemplo:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. Execute uma das seguintes ações com base na sua avaliação das extensões de arquivo ou picos de entropia:

    • Falso positivo

      Execute um dos seguintes comandos para registrar sua decisão e retomar o monitoramento normal do Autonomous Ransomware Protection:

      • Para extensões de arquivo:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        Use o seguinte parâmetro opcional para identificar apenas extensões específicas como falsos positivos:

        • [-extension <text>, … ]: Extensões de ficheiro

      • Para picos de entropia:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • Possível ataque de ransomware

      Responder ao ataque e "Recupere dados do instantâneo de backup criado pelo ARP" . Após a recuperação dos dados, execute um dos seguintes comandos para registrar sua decisão e retomar o monitoramento normal do ARP:

      • Para extensões de arquivo:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        Use o seguinte parâmetro opcional para identificar apenas extensões específicas como possíveis ransomware:

        • [-extension <text>, … ]: Extensão do ficheiro

      • Para picos de entropia:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    Esse clear-suspect A operação limpa o relatório de ataque. Não há avisos de tipo de arquivo suspeito para limpar se você restaurar um volume inteiro. Para ARP/AI no ONTAP 9.16.1 e versões posteriores, os snapshots ARP são excluídos automaticamente após um período de retenção abreviado, acionado pela operação de categorização. No ONTAP 9.15.1 e versões anteriores, os snapshots ARP são excluídos automaticamente após a restauração de um volume ou a limpeza de um evento suspeito.

  5. Se você estiver usando MAV e uma operação esperada clear-suspect precisar de aprovações adicionais, cada aprovador de grupo MAV deve:

    1. Mostrar o pedido:

      security multi-admin-verify request show

    2. Aprovar a solicitação para retomar o monitoramento normal anti-ransomware:

      security multi-admin-verify request approve -index[<number returned from show request>]

      A resposta para o último aprovador do grupo indica que o volume foi modificado e um falso positivo é registrado.

  6. Se você estiver usando MAV e for um aprovador de grupo MAV, também poderá rejeitar uma solicitação clara e suspeita:

    security multi-admin-verify request veto -index[<number returned from show request>]
Informações relacionadas