Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

应对异常活动。

贡献者
PDF

当自主勒索软件保护(ARP)检测到受保护卷中的异常活动时、它会发出警告。您应评估通知以确定活动是否可接受(误报)或攻击是否看起来是恶意的。

关于此任务

如果ARP检测到高数据容量、具有数据加密的异常卷活动以及异常文件扩展名的任意组合、则会显示可疑文件的列表。

发出警告后、通过以下两种方式之一指定文件活动来进行响应:

  • 误报

    您的工作负载应具有已标识的文件类型,可以忽略此文件类型。

  • 潜在勒索软件攻击

    确定的文件类型在工作负载中是意外的,应视为潜在攻击。

在这两种情况下、在更新和清除通知后、正常监控将恢复。ARP会将您的评估记录到威胁评估配置文件中、并使用您的选择来监控后续文件活动。

如果发生可疑攻击、您必须确定是否为攻击、如果是、则对其做出响应、并在清除通知之前还原受保护的数据。 "详细了解如何从勒索软件攻击中恢复"

备注 如果还原整个卷、则不需要清除任何通知。
开始之前

ARP必须在活动模式下运行。

步骤

您可以使用System Manager或ONTAP命令行界面来响应异常任务。

System Manager

  1. 当您收到"异常活动"通知时、请单击链接。或者,导航到*卷*概述的*安全性*选项卡。

    警告显示在*Events*菜单的*Overview*窗格中。

  2. 当显示"Detected ab不正常volume active"(检测到异常卷活动)消息时、请查看可疑文件。

    在*安全性*选项卡中,选择*查看可疑文件类型*。

  3. 在*可疑文件类型*对话框中,检查每种文件类型,并将其标记为"False"(误报)或"Ppyseed Ransamor Attack"(潜在的Ransamor攻击)。

如果选择此值 …​

执行此操作…

误报

选择*更新*和*清除可疑文件类型*以记录您的决定并恢复正常ARP监控。

备注 从ONTAP 9.13.1开始、如果使用MAV保护ARP设置、则清除可疑操作会提示您获得一个或多个其他管理员的批准。 "必须获得所有管理员的批准" 与MAV审批组关联、否则操作将失败。

潜在勒索软件攻击

应对攻击并还原受保护的数据。然后选择*更新*和*清除可疑文件类型*以记录您的决定并恢复正常ARP监控。
如果还原了整个卷、则不需要清除任何可疑文件类型。
命令行界面

  1. 收到可疑勒索软件攻击的通知后,请验证此攻击的时间和严重性:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    示例输出:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    您还可以检查 EMS 消息:

    event log show -message-name callhome.arw.activity.seen

  2. 生成攻击报告并记下输出位置:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    示例输出:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 在管理客户端系统上查看报告。例如:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. 根据对文件扩展名的评估,执行以下操作之一:

    • 误报

      输入以下命令记录您的决定、将新扩展名添加到允许的扩展名列表中、并恢复正常的反勒索软件监控:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      使用以下参数之一标识扩展:
      [-seq-no integer] 可疑列表中的文件序列号。
      [-extension text, … ] 文件扩展名
      [-start-time date_time -end-time date_time] 要清除的文件范围的开始时间和结束时间、格式为"MM/DD/YYYY HH:MM:SS"。

    • 潜在的勒索软件攻击

      应对攻击、然后 "从ARP创建的备份快照恢复数据"。恢复数据后、输入以下命令记录您的决定并恢复正常ARP监控:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      使用以下参数之一标识扩展:
      [-seq-no integer] 可疑列表中的文件序列号
      [-extension text, … ] 文件扩展名
      [-start-time date_time -end-time date_time] 要清除的文件范围的开始时间和结束时间、格式为"MM/DD/YYYY HH:MM:SS"。

    如果还原了整个卷、则不需要清除任何可疑文件类型。系统将删除ARP创建的备份快照、并清除攻击报告。

  5. 如果您使用的是MAV和预期的 clear-suspect 运营需要额外批准、每个MAV组批准人必须:

    1. 显示请求:

      security multi-admin-verify request show

    2. 批准恢复正常反勒索软件监控的请求:

      security multi-admin-verify request approve -index[number returned from show request]

    最后一个组批准者的响应指示卷已修改、并记录误报。

  6. 如果您正在使用MAV、并且您是MAV组批准者、您还可以拒绝可疑交易请求:

    security multi-admin-verify request veto -index[number returned from show request]

更多信息