对ONTAP ARP检测到的异常活动做出响应
建议更改
PDF
当自主勒索软件保护(ARP)检测到受保护卷中的异常活动时、它会发出警告。您应评估通知以确定活动是否可接受(误报)或攻击是否看起来是恶意的。对攻击进行分类后、您可以清除有关可疑文件的警告和通知。
对攻击进行分类时,ARP 快照要么在分类操作启动后保留一段较短的时间(ONTAP 9.16.1 及更高版本),要么立即删除(ONTAP 9.15.1 及更早版本)。
|
从ONTAP 9.11.1 开始,您可以修改"保留设置"用于 ARP 快照。 |
当 ARP 检测到高数据熵、包含数据加密的异常卷活动以及异常文件扩展名的任意组合时,它会显示可疑文件列表。从适用于 NAS 和 SAN 环境的ONTAP 9.17.1 开始,系统管理器中的“反勒索软件”页面还会报告熵峰值的详细信息。
当发出 ARP 警告通知时,请通过以下两种方式之一指定活动进行响应:
-
误报
已识别的文件类型或熵峰值是您的工作负载中预期会出现的,可以忽略。
-
潜在勒索软件攻击
所识别的文件类型或熵峰值在您的工作负载中是意外的,应被视为潜在攻击。
在您更新您的决定并清除 ARP 通知后,系统将恢复正常监控。ARP会将您的评估记录到威胁评估配置文件中,并使用您的选择来监控后续的文件活动。
如果发生可疑攻击、您必须确定是否为攻击、如果是、则对其做出响应、并在清除通知之前还原受保护的数据。 "详细了解如何从勒索软件攻击中恢复"。
|
|
如果还原整个卷、则不需要清除任何通知。 |
ARP 必须主动保护卷,而不是处于学习或评估模式。
您可以使用System Manager或ONTAP命令行界面来响应异常活动。
-
当您收到“异常活动”通知时,请点击链接。或者,导航到“卷”概览的“安全”选项卡。
警告显示在*Events*菜单的*Overview*窗格中。
-
在“安全”选项卡中,查看可疑文件类型或熵峰值报告。
-
对于可疑文件,请检查“可疑文件类型”对话框中的每种文件类型,并分别标记。
-
对于熵峰值,请检查熵报告。
-
-
记录你的回答:
如果选择此值…
执行此操作 …
误报
-
执行以下操作之一:
-
对于文件类型警告,选择*更新并清除可疑文件类型*。
-
对于熵尖峰,选择*标记为假阳性*。
这些操作可清除有关可疑文件或活动的警告通知。ARP随后将恢复对卷的正常监控。对于ONTAP 9.16.1 及更高版本中的 ARP/AI,ARP 快照会在分类操作触发的缩短保留期后自动删除。对于ONTAP 9.15.1 及更早版本,清除可疑文件类型后,相关的 ARP 快照会自动删除。
从ONTAP 9.13.1开始、如果使用MAV保护ARP设置、则清除可疑操作会提示您获得一个或多个其他管理员的批准。 "必须获得所有管理员的批准" 与MAV审批组关联、否则操作将失败。 -
潜在勒索软件攻击
-
回应攻击:
-
对于文件类型警告,将选定的文件标记为*潜在勒索软件攻击*,并"还原受保护的数据" 。
-
对于表示攻击的熵峰值,选择“标记为潜在勒索软件攻击”并"还原受保护的数据" 。
-
-
数据恢复完成后,记录您的决定并恢复正常的ARP监控:
-
对于文件类型警告,选择*更新并清除可疑文件类型*。
-
对于熵峰值,选择*标记为潜在勒索软件攻击*并选择*保存并关闭*。
-
如果您已恢复整个卷,则无需清除任何可疑文件类型通知。 记录您的决定将清除攻击报告。对于ONTAP 9.16.1 及更高版本中的 ARP/AI,ARP 快照会在分类操作触发的缩短保留期后自动删除。对于ONTAP 9.15.1 及更早版本,还原卷后,ARP 快照将自动删除。
-
-
收到可疑勒索软件攻击的通知后,请验证此攻击的时间和严重性:
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>示例输出:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 5/12/2025 01:03:23 Number of Attacks: 1 Attack Detected By: encryption_percentage_analysis
您还可以检查 EMS 消息:
event log show -message-name callhome.arw.activity.seen -
生成攻击报告并指定保存位置:
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>命令示例:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
示例输出:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
在管理客户端系统上查看报告。例如:
cat report_file_vs0_vol1_14-09-2021_01-21-08
-
根据您对文件扩展名或熵峰值的评估,执行以下操作之一:
-
误报
运行以下命令之一来记录您的决定并恢复正常的自主勒索软件防护监控:
-
对于文件扩展名:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true使用以下可选参数仅将特定扩展识别为误报:
-
[-extension <text>, … ]:文件扩展名
-
-
对于熵尖峰:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true
-
-
潜在的勒索软件攻击
应对攻击和 "从ARP创建的备份快照恢复数据"。运行以下命令之一记录您的决定并恢复正常的 ARP 监控:
-
对于文件扩展名:
anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下可选参数仅将特定扩展识别为潜在勒索软件:
-
[-extension <text>, … ]:文件扩展名
-
-
对于熵尖峰:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false
-
这 `clear-suspect`操作会清除攻击报告。如果您还原了整个卷,则无需清除任何可疑文件类型通知。对于ONTAP 9.16.1 及更高版本中的 ARP/AI,ARP 快照会在分类操作触发的缩短保留期后自动删除。对于ONTAP 9.15.1 及更早版本,还原卷或清除可疑事件后,ARP 快照会自动删除。
-
-
如果您使用的是MAV和预期的
clear-suspect运营需要额外批准、每个MAV组批准人必须:-
显示请求:
security multi-admin-verify request show -
批准恢复正常反勒索软件监控的请求:
security multi-admin-verify request approve -index[<number returned from show request>]最后一个组批准者的响应指示卷已修改、并记录误报。
-
-
如果您正在使用MAV、并且您是MAV组批准者、您还可以拒绝可疑交易请求:
security multi-admin-verify request veto -index[<number returned from show request>]