Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Responder a atividades anormais

Colaboradores

Quando o Autonomous ransomware Protection (ARP) deteta atividade anormal em um volume protegido, ele emite um aviso. Você deve avaliar a notificação para determinar se a atividade é aceitável (falso positivo) ou se um ataque parece mal-intencionado.

Sobre esta tarefa

ARP exibe uma lista de arquivos suspeitos quando deteta qualquer combinação de alta entropia de dados, atividade de volume anormal com criptografia de dados e extensões de arquivos incomuns.

Quando o aviso for emitido, responda designando a atividade do ficheiro de duas formas:

  • Falso positivo

    O tipo de arquivo identificado é esperado em sua carga de trabalho e pode ser ignorado.

  • Possível ataque de ransomware

    O tipo de arquivo identificado é inesperado em sua carga de trabalho e deve ser Tratado como um potencial ataque.

Em ambos os casos, a monitorização normal é retomada após a atualização e limpeza dos avisos. O ARP Registra sua avaliação no perfil de avaliação de ameaças, usando sua escolha para monitorar atividades subsequentes de arquivos.

No caso de um ataque suspeito, você deve determinar se é um ataque, responder a ele, se for, e restaurar dados protegidos antes de limpar os avisos. "Saiba mais sobre como se recuperar de um ataque de ransomware".

Observação Se você restaurar um volume inteiro, não há avisos para limpar.
Antes de começar

O ARP deve estar em execução no modo ativo.

Passos

Você pode usar o Gerenciador de sistema ou a CLI do ONTAP para responder a uma tarefa anormal.

System Manager
  1. Quando receber uma notificação de "atividade anormal", siga o link. Alternativamente, navegue até a guia Security da visão geral volumes.

    Os avisos são exibidos no painel Visão geral do menu Eventos.

  2. Quando for apresentada uma mensagem "Detected abnormal volume activity" (atividade de volume anormal detetada), visualize os ficheiros suspeitos.

    Na guia Segurança, selecione Exibir tipos de arquivo suspeitos.

  3. Na caixa de diálogo tipos de arquivo suspeitos, examine cada tipo de arquivo e marque-o como "Falso positivo" ou "ataque de potencial ransomware".

Se selecionou este valor…​

Tome esta ação…​

Falso positivo

Selecione Update e Clear Suspect File Types para gravar sua decisão e retomar o monitoramento ARP normal.

Observação A partir do ONTAP 9.13,1, se você estiver usando o MAV para proteger suas configurações ARP, a operação clara suspeita solicitará que você obtenha a aprovação de um ou mais administradores adicionais. "A aprovação deve ser recebida de todos os administradores" Associado ao grupo de aprovação MAV ou à operação falhará.

Potencial ataque de ransomware

Responda ao ataque e restaure os dados protegidos. Em seguida, selecione Update e Clear Suspect File Types para gravar sua decisão e retomar o monitoramento ARP normal. Não há tipos de arquivo suspeitos para limpar se você restaurou um volume inteiro.

CLI
  1. Quando receber uma notificação de um ataque de ransomware suspeito, verifique a hora e a gravidade do ataque:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    Saída da amostra:

    Vserver Name: vs0
    Volume Name: vol1
    State: enabled
    Attack Probability: moderate
    Attack Timeline: 9/14/2021 01:03:23
    Number of Attacks: 1

    Você também pode verificar mensagens EMS:

    event log show -message-name callhome.arw.activity.seen

  2. Gere um relatório de ataque e anote o local de saída:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    Saída da amostra:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. Exibir o relatório em um sistema de cliente admin. Por exemplo:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08
    
    19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
    20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
    21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`
  4. Execute uma das seguintes ações com base na avaliação das extensões de arquivo:

    • Falso positivo

      Digite o seguinte comando para Registrar sua decisão, adicionando a nova extensão à lista dos permitidos, e retomar o monitoramento normal anti-ransomware:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      Use um dos seguintes parâmetros para identificar as extensões:
      [-seq-no integer] Número de sequência do arquivo na lista suspeita.
      [-extension text, … ] Extensões de arquivo
      [-start-time date_time -end-time date_time] começando e terminando tempos para o intervalo de arquivos a ser limpo, no formulário "MM/DD/AAAA HH:MM:SS".

    • Possível ataque de ransomware

      Responder ao ataque e "Recupere dados do instantâneo de backup criado pelo ARP". Depois que os dados forem recuperados, digite o seguinte comando para Registrar sua decisão e retomar o monitoramento ARP normal:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      Use um dos seguintes parâmetros para identificar as extensões:
      [-seq-no integer] Número de sequência do arquivo na lista suspeita
      [-extension text, … ] extensão de arquivo
      [-start-time date_time -end-time date_time] horários de início e término para o intervalo de arquivos a ser limpo, no formulário "MM/DD/AAAA HH:MM:SS".

    Não há tipos de arquivo suspeitos para limpar se você restaurou um volume inteiro. O instantâneo de backup criado pelo ARP será removido e o relatório de ataque será limpo.

  5. Se você estiver usando MAV e uma operação esperada clear-suspect precisar de aprovações adicionais, cada aprovador de grupo MAV deve:

    1. Mostrar o pedido:

      security multi-admin-verify request show

    2. Aprovar a solicitação para retomar o monitoramento normal anti-ransomware:

      security multi-admin-verify request approve -index[number returned from show request]

    A resposta para o último aprovador do grupo indica que o volume foi modificado e um falso positivo é registrado.

  6. Se você estiver usando MAV e for um aprovador de grupo MAV, também poderá rejeitar uma solicitação clara e suspeita:

    security multi-admin-verify request veto -index[number returned from show request]