Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

回應異常活動

貢獻者
PDF

當自發勒索軟體保護(Arp)偵測到受保護磁碟區中的異常活動時、就會發出警告。您應該評估通知、以判斷該活動是否可接受(誤判)、或攻擊是否看起來惡意。

關於這項工作

當Arp偵測到高資料Entropy、異常Volume活動與資料加密、以及異常檔案副檔名的任何組合時、會顯示可疑檔案的清單。

發出警告時、請以下列兩種方式之一來指定檔案活動:

  • 誤判

    識別的檔案類型應在您的工作負載中使用、而且可以忽略。

  • 可能的勒索軟體攻擊

    識別出的檔案類型在您的工作負載中是非預期的、應該視為潛在攻擊。

在這兩種情況下、更新和清除通知後、系統都會繼續正常監控。ARP 會將您的評估記錄在威脅評估設定檔中、並使用您的選擇來監控後續的檔案活動。

如果是可疑的攻擊、您必須判斷它是否為攻擊、如果是攻擊、請回應、並在清除通知之前還原受保護的資料。 "深入瞭解如何從勒索軟體攻擊中恢復"

註 如果您還原整個磁碟區、則沒有要清除的通知。
開始之前

ARP 必須以作用中模式執行。

步驟

您可以使用系統管理員或 ONTAP CLI 來回應異常工作。

系統管理員

  1. 當您收到「異常活動」通知時、請點選連結。或者、瀏覽至 * Volumes * 總覽的 * Security * 標籤。

    警告會顯示在 * 事件 * 功能表的 * 總覽 * 窗格中。

  2. 顯示「偵測到異常Volume活動」訊息時、請檢視可疑檔案。

    在 * 安全 * 標籤中、選取 * 檢視可疑的檔案類型 * 。

  3. 在「可疑的檔案類型」對話方塊中、檢查每種檔案類型、並將其標示為「誤判」或「潛在勒索軟體攻擊」。

如果您選取此值…​

請採取此行動…

誤判

選擇 * 更新 * 和 * 清除可疑檔案類型 * 、以記錄您的決定並恢復正常的 ARP 監控。

註 從 ONTAP 9.13.1 開始、如果您使用 MAV 來保護您的 ARP 設定、則清除可疑的作業會提示您取得一或多個額外管理員的核准。 "必須收到所有管理員的核准" 與 MAV 核准群組相關聯、否則作業將會失敗。

可能的勒索軟體攻擊

回應攻擊並還原受保護的資料。然後選擇 * 更新 * 和 * 清除可疑的檔案類型 * 來記錄您的決定並恢復正常的 ARP 監控。
如果還原整個磁碟區、則沒有可疑的檔案類型可清除。
CLI

  1. 當您收到可疑勒索軟體攻擊的通知時、請確認攻擊的時間和嚴重性:

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    範例輸出:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    您也可以檢查EMS訊息:

    event log show -message-name callhome.arw.activity.seen

  2. 產生攻擊報告並記下輸出位置:

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    範例輸出:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 在管理用戶端系統上檢視報告。例如:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. 根據您對副檔名的評估、採取下列其中一項行動:

    • 誤判

      輸入下列命令以記錄您的決定、將新的副檔名新增至允許的項目清單、並恢復正常的反勒索軟體監控:
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      使用下列其中一個參數來識別副檔名:
      [-seq-no integer] 可疑清單中檔案的序號。
      [-extension text, … ] 副檔名
      [-start-time date_time -end-time date_time] 要清除之檔案範圍的開始和結束時間、格式為「 MM/DD/YYYY HH : MM : SS 」。

    • 可能的勒索軟體攻擊

      回應攻擊和 "從 ARP 建立的備份快照中恢復資料"。恢復資料後、輸入下列命令以記錄您的決定、並恢復正常的 ARP 監控:

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      使用下列其中一個參數來識別副檔名:
      [-seq-no integer] 可疑清單中檔案的序號
      [-extension text, … ] 副檔名
      [-start-time date_time -end-time date_time] 要清除之檔案範圍的開始和結束時間、格式為「 MM/DD/YYYY HH : MM : SS 」。

    如果還原整個磁碟區、則沒有可疑的檔案類型可清除。將移除 ARP 建立的備份快照、並清除攻擊報告。

  5. 如果您使用的是 MAV 、而且是預期的 clear-suspect 作業需要額外核准、每位 MAV 群組核准者必須:

    1. 顯示要求:

      security multi-admin-verify request show

    2. 核准恢復正常反勒索軟體監控的要求:

      security multi-admin-verify request approve -index[number returned from show request]

    最後一個群組核准者的回應表示已修改磁碟區、並記錄誤報。

  6. 如果您使用的是 MAV 、而您是 MAV 群組核准者、您也可以拒絕明確可疑的要求:

    security multi-admin-verify request veto -index[number returned from show request]

更多資訊