Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

回應 ONTAP ARP 偵測到的異常活動

貢獻者
PDF

當自發勒索軟體保護(Arp)偵測到受保護磁碟區中的異常活動時、就會發出警告。您應該評估通知、以判斷該活動是否可接受(誤判)、或攻擊是否看起來惡意。將攻擊分類後,您可以清除可疑檔案的警告和注意事項。

當 ONTAP 偵測到異常時,也會建立"ARP 快照"磁碟區以建立最佳的恢復點。依預設, ARP 快照會保留兩到五天。

當您將攻擊分類時,這些 ARP 快照會立即刪除( ONTAP 9.15.1 及更早版本),或保留在分類作業( ONTAP 9.16.1 及更新版本)所起始的簡短期間內。

註 從 ONTAP 9.11.1 開始,您可以修改保留設定用於 ARP 快照的。
關於這項工作

當Arp偵測到高資料Entropy、異常Volume活動與資料加密、以及異常檔案副檔名的任何組合時、會顯示可疑檔案的清單。

發出 ARP 警告時,請以下列兩種方式之一來指定檔案活動:

  • * 誤判 *

    識別的檔案類型應在您的工作負載中使用、而且可以忽略。

  • * 可能的勒索軟體攻擊 *

    識別出的檔案類型在您的工作負載中是非預期的、應該視為潛在攻擊。

在這兩種情況下、更新和清除通知後、系統都會繼續正常監控。ARP 會將您的評估記錄在威脅評估設定檔中、並使用您的選擇來監控後續的檔案活動。

如果是可疑的攻擊、您必須判斷它是否為攻擊、如果是攻擊、請回應、並在清除通知之前還原受保護的資料。 "深入瞭解如何從勒索軟體攻擊中恢復"

註 如果您還原整個磁碟區、則沒有要清除的通知。
開始之前

ARP 必須處於作用中狀態,而非處於學習模式。

步驟

您可以使用系統管理員或 ONTAP CLI 來回應異常活動。

系統管理員

  1. 當您收到「異常活動」通知時,請點選連結。或者、瀏覽至 * Volumes * 總覽的 * Security * 標籤。

    警告會顯示在 * 事件 * 功能表的 * 總覽 * 窗格中。

  2. 當出現偵測到異常 Volume 活動的訊息時,請檢視可疑的檔案類型。

    在 * 安全 * 標籤中,選取選項以檢閱可疑的檔案類型。

  3. 在 * 可疑檔案類型 * 對話方塊中,檢查每種檔案類型,並將其標記為「誤判」或「可能的勒索軟體攻擊」。

    如果您選取此值…​

    請採取此行動…​

    誤判

    1. 選擇 * 更新 * 和 * 清除可疑檔案類型 * 來記錄您的決定。

      註 從 ONTAP 9.13.1 開始、如果您使用 MAV 來保護您的 ARP 設定、則清除可疑的作業會提示您取得一或多個額外管理員的核准。 "必須收到所有管理員的核准" 與 MAV 核准群組相關聯、否則作業將會失敗。

      此動作會清除可疑檔案的警告通知。接著, ARP 會恢復對磁碟區的正常監控。對於 ONTAP 9.15.1 及更早版本,清除可疑的檔案類型之後,系統會自動刪除 ARP 快照。對於 ONTAP 9.16.1 及更新版本中的 ARP/AI ,在分類作業觸發的縮短保留期間之後,會自動刪除 ARP 快照。

    可能的勒索軟體攻擊

    1. 回應攻擊和"還原受保護的資料"

    2. 選擇 * 更新 * 和 * 清除可疑檔案類型 * 、以記錄您的決定並恢復正常的 ARP 監控。

    此動作會清除攻擊報告。如果您還原了整個磁碟區,則沒有可疑的檔案類型通知可清除。對於 ONTAP 9.15.1 及更早版本,還原磁碟區之後,系統會自動刪除 ARP 快照。對於 ONTAP 9.16.1 及更新版本中的 ARP/AI ,在分類作業觸發的縮短保留期間之後,會自動刪除 ARP 快照。
相關資訊