無法提供所要求的文章。該文章不適用於此版本的產品,或相關資訊在此版本的文件中的組織方式不同。您可以搜尋、瀏覽或 返回其他版本.
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
在勒索軟體攻擊之後,從 ONTAP ARP 快照還原資料
自主勒索軟體保護( ARP )會在偵測到可能的勒索軟體威脅時,建立名為的快照 Anti_ransomware_backup。您可以使用這些 ARP 快照或磁碟區的另一個快照來還原資料。
關於這項工作
如果磁碟區具有 SnapMirror 關係,請在從快照還原後立即手動複寫磁碟區的所有鏡射複本。否則可能導致無法使用的鏡像複本、必須刪除並重新建立。
若要在識別出系統攻擊後從快照以外的快照還原 Anti_ransomware_backup,您必須先發行 ARP 快照。
如果未報告系統攻擊,您必須先從快照還原 Anti_ransomware_backup,然後從您選擇的快照完成後續的磁碟區還原。
步驟
您可以使用System Manager或ONTAP NetApp CLI來還原資料。
系統攻擊後還原
-
若要從 ARP 快照還原,請跳至步驟二。若要從較早的快照還原,您必須先釋放 ARP 快照的鎖定。
-
選擇*儲存>磁碟區*。
-
選擇 * 安全 * ,然後 * 檢視可疑的檔案類型 * 。
-
將檔案標記為「可能的勒索軟體攻擊」。
-
選擇 * 更新 * 和 * 清除可疑檔案類型 * 。
-
在磁碟區中顯示快照:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選取
您要還原的快照旁的 * 還原 * 。
如果未識別出系統攻擊、請進行還原
-
在磁碟區中顯示快照:
選擇 * 儲存 > Volumes (磁碟區) * 、然後選擇 Volume (磁碟區)和 * Snapshot Copies ( * 快照複本) * 。
-
選擇它們選擇 `Anti_ransomware_backup`快照。
-
選擇*還原*。
-
返回 * Snapshot Copies (快照複本) * 功能表,然後選擇您要使用的快照。選擇*還原*。
系統攻擊後還原
-
若要從 ARP 快照還原,請跳至步驟二。若要還原舊版快照的資料,您必須釋放 ARP 快照的鎖定。
|
如果您使用的命令如下所述,則只有在從先前的快照還原之前,才需要先釋放反勒索軟體 SnapLock volume snapshot restore 。如果您使用 FlexClone ,單一檔案貼齊還原或其他方法還原資料,則不需要這麼做。
|
將攻擊標記為可能的勒索軟體攻擊(-false-positive false)並清除可疑檔案(clear-suspect):
`anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false`使用下列其中一個參數來識別副檔名:
`[-seq-no integer]`可疑清單中檔案的序號。
`[-extension text, … ]`要清除之檔案範圍的檔案副檔名
`[-start-time date_time -end-time date_time]`開始和結束時間,格式為「 MM/DD/YYYY HH : MM : SS 」。
-
列出磁碟區中的快照:
clus1::> volume snapshot show -vserver vs1 -volume vol1
Vserver Volume Snapshot State Size Total% Used%
------- ------ ---------- ----------- ------ ----- ------ -----
vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0%
daily.2013-01-25_0010 valid 92KB 0% 0%
hourly.2013-01-25_0105 valid 228KB 0% 0%
hourly.2013-01-25_0205 valid 236KB 0% 0%
hourly.2013-01-25_0305 valid 244KB 0% 0%
hourly.2013-01-25_0405 valid 244KB 0% 0%
hourly.2013-01-25_0505 valid 244KB 0% 0%
7 entries were displayed.
-
從快照還原磁碟區的內容:
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
如果未識別出系統攻擊、請進行還原
-
列出磁碟區中的快照:
clus1::> volume snapshot show -vserver vs1 -volume vol1
Vserver Volume Snapshot State Size Total% Used%
------- ------ ---------- ----------- ------ ----- ------ -----
vs1 vol1 hourly.2013-01-25_0005 valid 224KB 0% 0%
daily.2013-01-25_0010 valid 92KB 0% 0%
hourly.2013-01-25_0105 valid 228KB 0% 0%
hourly.2013-01-25_0205 valid 236KB 0% 0%
hourly.2013-01-25_0305 valid 244KB 0% 0%
hourly.2013-01-25_0405 valid 244KB 0% 0%
hourly.2013-01-25_0505 valid 244KB 0% 0%
7 entries were displayed.
-
從快照還原磁碟區的內容:
cluster1::> volume snapshot restore -vserver vs0 -volume vol1 -snapshot daily.2013-01-25_0010
-
重複步驟 1 和 2 ,使用所需的快照還原磁碟區。
版本資訊
建議變更
PDF
