Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Responder a atividade anormal detetada pelo ONTAP ARP

Colaboradores netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDFs

Quando a Proteção Autônoma contra Ransomware (ARP) detecta atividade anormal em um volume protegido, ela emite um aviso. Você deve avaliar a notificação para determinar se a atividade é aceitável (falso positivo) ou se o ataque parece malicioso. Após classificar o ataque, você pode limpar o aviso e as notificações sobre atividade anormal.

Ao categorizar um ataque, os snapshots ARP são retidos por um período abreviado iniciado pela operação de categorização (ONTAP 9.16.1 e posterior), ou excluídos instantaneamente quando você limpa o evento suspeito (ONTAP 9.15.1 e anterior).

Observação A partir do ONTAP 9.11.1, você pode modificar o "definições de retenção" para instantâneos ARP.
Sobre esta tarefa

Para volumes NAS, o ARP exibe uma lista de arquivos suspeitos quando detecta qualquer combinação de alta entropia de dados, atividade anormal do volume com criptografia de dados e extensões de arquivo incomuns.

A partir de ONTAP 9.17.1:

  • Para volumes NAS: ARP continua a fornecer arquivos e tipos de arquivo suspeitos.

  • Para volumes SAN (volumes que contêm LUNs ou namespaces NVMe): o ARP avalia a entropia apenas no nível do volume. ONTAP não vê arquivos individuais dentro do LUN ou namespace, portanto, as listas de arquivos suspeitos e os tipos de arquivo não estão disponíveis. Em vez disso, o ARP relata picos de porcentagem de criptografia no nível do volume (picos de entropia).

Os detalhes dos picos de entropia para volumes NAS e SAN são relatados na página Anti-ransomware do System Manager.

Quando uma notificação de alerta ARP for emitida, responda designando a atividade de uma das duas maneiras:

  • Falso positivo

    O tipo de arquivo identificado ou pico de entropia é esperado em sua carga de trabalho e pode ser ignorado.

  • Possível ataque de ransomware

    O tipo de arquivo identificado ou pico de entropia é inesperado na sua carga de trabalho e deve ser tratado como um ataque em potencial.

O monitoramento normal será retomado após você atualizar sua decisão e limpar as notificações do ARP. O ARP registra sua avaliação no perfil de avaliação de ameaças, usando sua escolha para monitorar atividades de arquivo subsequentes.

Em caso de suspeita de ataque, você deve determinar se é um ataque, responder a ele se for, e então limpar os avisos e restaurar os dados na ordem exigida pelo seu método de recuperação e versão do ONTAP. "Saiba mais sobre como se recuperar de um ataque de ransomware".

Antes de começar

O ARP deve estar protegendo ativamente um volume e não em modo de aprendizagem ou avaliação.

Passos

Siga estes passos quando precisar classificar uma atividade anormal:

  1. Analise os detalhes da atividade anormal

  2. Entenda o comportamento e as aprovações de Snapshot ao limpar um evento suspeito

  3. Execute um dos seguintes procedimentos:

Se precisar restaurar dados, você deverá seguir os passos descritos em "Restaure os dados dos snapshots ARP do ONTAP após um ataque de ransomware".

Analise os detalhes da atividade anormal

Você pode usar System Manager ou a CLI do ONTAP para revisar os detalhes dos avisos ARP antes de escolher um fluxo de resposta.

System Manager

  1. Ao receber uma notificação de "atividade anormal", siga o link. Como alternativa, acesse Armazenamento > Volumes, localize um volume afetado e selecione a guia Segurança.

    Os avisos são exibidos no painel Visão geral do menu Eventos do System Manager.

  2. Na aba Segurança, revise os detalhes da atividade anormal:

    • Para volumes NAS, revise o relatório Tipos de arquivo suspeitos. Uma caixa de diálogo Tipos de arquivo suspeitos mostra as extensões e a quantidade de arquivos que o ARP identificou.

    • Para volumes NAS e SAN, revise o relatório de picos de entropia, que mostra o período, a duração, a quantidade de dados gravados e os valores de entropia.

CLI

  1. Quando receber uma notificação de um ataque de ransomware suspeito, verifique a hora e a gravidade do ataque:

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    Saída da amostra:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    Você também pode verificar mensagens EMS:

    event log show -message-name callhome.arw.activity.seen

  2. (Opcional, NAS e SAN) Visualize os picos de entropia recentes detectados no volume:

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    Este comando resume os intervalos de tempo em que o ONTAP detectou uma alta porcentagem de criptografia (pico de entropia). Ele se aplica tanto a volumes NAS quanto a volumes SAN.

  3. (Opcional) Veja um histograma da porcentagem de criptografia ao longo do tempo:

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

Entenda o comportamento e as aprovações de Snapshot ao limpar um evento suspeito

  • Para volume snapshot restore o ONTAP 9.16.1 e versões posteriores, limpe primeiro o evento suspeito e depois execute a restauração. Após limpar os arquivos suspeitos, os snapshots ARP são mantidos com base em como você categoriza a atividade: 7 dias (por padrão) se você marcar a atividade como um possível ataque de ransomware, ou 24 horas se você marcá-la como um falso positivo. Limpar primeiro não remove o destino da restauração. Além disso, a opção clear-suspect fica indisponível após uma restauração de volume, portanto, você deve limpar antes de restaurar.

  • Para volume snapshot restore o ONTAP 9.15.1 e versões anteriores, execute primeiro a restauração e depois limpe o evento suspeito. Os snapshots ARP são excluídos imediatamente ao limpar os arquivos suspeitos, portanto, você deve concluir a restauração antes de limpar para evitar a perda do snapshot antes que a operação de restauração possa ser executada.

  • Para métodos de recuperação diferentes de volume snapshot restore (por exemplo, FlexClone ou SnapRestore de arquivo único), execute a recuperação de dados primeiro e, em seguida, limpe o evento suspeito. Esses métodos não afetam a disponibilidade da opção de limpar suspeito.

  • A partir do ONTAP 9.13.1, se você usar MAV para proteger as configurações de ARP, a clear-suspect operação pode exigir aprovações adicionais. "A aprovação deve ser recebida de todos os administradores" associadas ao grupo de aprovação do MAV ou a operação falhará.

Classificar como falso positivo e retomar o monitoramento

Utilize este fluxo quando o tipo de arquivo identificado ou o pico de entropia for esperado para a carga de trabalho.

System Manager

  1. Registre sua resposta:

    • Para avisos de tipo de arquivo NAS, escolha os arquivos afetados, selecione Marcar como falso positivo e, em seguida, escolha Atualizar e limpar tipos de arquivo suspeitos.

    • Para picos de entropia (NAS e SAN), selecione Marcar como falso positivo e, em seguida, selecione Salvar e descartar.

Essas ações eliminam avisos sobre arquivos suspeitos (NAS) ou atividade anormal (NAS e SAN). O ARP então retoma o monitoramento normal do volume.

CLI

  1. Execute um dos seguintes comandos para registrar sua decisão e retomar o monitoramento normal do Autonomous Ransomware Protection:

    • Para extensões de arquivo NAS:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      Utilize o seguinte parâmetro opcional para identificar apenas extensões específicas como falsos positivos: [-extension <text>, …​ ]

    • Para picos de entropia (NAS e SAN):

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      Para volumes SAN, esta é a única maneira suportada de categorizar atividades anormais; não existem listas de arquivos suspeitos ou extensões de arquivo.

  2. A partir do ONTAP 9.18.1, você pode determinar o status da clear-suspect operação:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Classificar como potencial ataque de ransomware e recuperar dados

Utilize este fluxo quando o tipo de arquivo identificado ou o pico de entropia for inesperado para a carga de trabalho.

System Manager

  1. Classifique a atividade:

    • Para avisos sobre tipos de arquivo NAS, marque os arquivos selecionados como Possível ataque de ransomware.

    • Para picos de entropia (NAS e SAN), selecione Marcar como potencial ataque de ransomware.

  2. Antes de recuperar os dados, você deve considerar a sua "opções de método de recuperação". Em seguida, faça um dos seguintes procedimentos:

    • Se você planeja restaurar um volume com ONTAP 9.16.1 ou posterior: Limpe os avisos e, em seguida, restaure o volume:

      1. Avisos claros para o possível ataque:

        • Para avisos sobre tipos de arquivo NAS, selecione Atualizar e limpar tipos de arquivo suspeitos.

        • Para picos de entropia (NAS e SAN), selecione Save and dismiss.

          Observação Após a remoção dos arquivos suspeitos, o snapshot ARP é mantido por 7 dias (por padrão). Se precisar de mais tempo para recuperação de dados, "Ajustar configurações de Snapshot ARP" aumente o período de retenção do snapshot para o valor desejado. Após a conclusão da recuperação de dados, você pode diminuir o período de retenção.

      2. Recupere os dados usando "o snapshot ARP mais recente ou um snapshot anterior".

    • Se você planeja restaurar um volume com ONTAP 9.15.1 ou anterior: Restaure o volume e, em seguida, limpe os avisos:

      1. Recupere os dados usando "o snapshot ARP mais recente ou um snapshot anterior".

      2. Finalizar a categorização após a restauração dos dados para retomar o monitoramento normal de ARP:

        • Para avisos sobre tipos de arquivo NAS, selecione Atualizar e limpar tipos de arquivo suspeitos.

        • Para picos de entropia (NAS e SAN), selecione Save and dismiss.

    • Se você planeja usar outro método de restauração: Restaure os dados primeiro, depois limpe os avisos:

      1. "Recupere dados usando FlexClone ou SnapRestore de arquivo único".

      2. Finalize a categorização após a restauração dos dados para retomar o monitoramento normal do ARP:

        • Para avisos sobre tipos de arquivo NAS, selecione Atualizar e limpar tipos de arquivo suspeitos.

        • Para picos de entropia (NAS e SAN), selecione Save and dismiss.

          Observação Ao registrar sua decisão, o relatório de ataque é apagado.
CLI

  1. (Apenas para volumes NAS) Crie um relatório de ataque:

    1. Gere um relatório de ataque e especifique onde salvá-lo.

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      Exemplo de comando:

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      Saída da amostra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. Exibir o relatório em um sistema de cliente admin. Por exemplo:

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      Observação Este comando não é suportado em volumes que contêm LUNs ou namespaces NVMe (cargas de trabalho SAN).

  2. Escolha uma "método de recuperação". Em seguida, faça uma das seguintes ações:

    • Caso pretenda utilizar volume snapshot restore: Siga a sequência específica da versão:

      • ONTAP 9.16.1 e posterior: Primeiro, remova o ataque e, em seguida, execute volume snapshot restore:

        1. Execute um dos seguintes comandos para limpar os arquivos suspeitos:

          • Para extensões de arquivo NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilize o seguinte parâmetro opcional para identificar apenas extensões específicas como potenciais ransomware: [-extension <text>, …​ ]

          • Para picos de entropia (NAS e SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Para volumes SAN, use este comando para confirmar o ataque antes da recuperação. Isso atualiza a avaliação de ameaça ARP para a carga de trabalho SAN.

        2. Recupere os dados usando "um snapshot ARP recente ou um snapshot anterior".

      • ONTAP 9.15.1 e versões anteriores: Execute volume snapshot restore primeiro e, em seguida, remova o ataque:

        1. Recupere os dados usando "um snapshot ARP recente ou um snapshot anterior".

        2. Execute um dos seguintes comandos para limpar os arquivos suspeitos:

          • Para extensões de arquivo NAS:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            Utilize o seguinte parâmetro opcional para identificar apenas extensões específicas como potenciais ransomware: [-extension <text>, …​ ]

          • Para picos de entropia (NAS e SAN):

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            Para volumes SAN, use este comando para confirmar o ataque após a recuperação. Isso atualiza a avaliação de ameaça ARP para a carga de trabalho SAN.

    • Se você planeja usar outros métodos de recuperação: Restaure os dados primeiro, depois remova o ataque:

      1. Recupere os dados usando "FlexClone ou arquivo único SnapRestore".

      2. Execute um dos seguintes comandos para limpar os arquivos suspeitos:

        • Para extensões de arquivo NAS:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          Utilize o seguinte parâmetro opcional para identificar apenas extensões específicas como potenciais ransomware: [-extension <text>, …​ ]

        • Para picos de entropia (NAS e SAN):

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          Para volumes SAN, use este comando para confirmar o ataque após a recuperação. Isso atualiza a avaliação de ameaça ARP para a carga de trabalho SAN.

  3. A partir do ONTAP 9.18.1, você pode determinar o status da clear-suspect operação:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

Opções de verificação multi-administrador

Se você estiver usando a verificação multiadministradora (MAV) e uma operação `clear-suspect`esperada precisar de aprovações adicionais, cada aprovador do grupo MAV deverá:

  1. Mostrar o pedido:

    security multi-admin-verify request show

  2. Aprovar a solicitação para retomar o monitoramento normal anti-ransomware:

    security multi-admin-verify request approve -index[<number returned from show request>]

    A resposta para o último aprovador do grupo indica que o volume foi modificado e um falso positivo é registrado.

Se você estiver usando MAV e for um aprovador de grupo MAV, também poderá rejeitar uma solicitação clara e suspeita:

security multi-admin-verify request veto -index[<number returned from show request>]
Informações relacionadas