回應 ONTAP ARP 偵測到的異常活動
建議變更
PDF
當 Autonomous Ransomware Protection (ARP) 偵測到受保護磁碟區中的異常活動時,它會發出警告。您應該評估此通知,以確定該活動是否可接受(誤報)或攻擊是否似乎為惡意攻擊。在對攻擊進行分類後,您可以清除有關異常活動的警告和通知。
當您對攻擊進行分類時,ARP 快照會在分類作業啟動後保留一段較短的時間(ONTAP 9.16.1 及更新版本),或在清除可疑事件時立即刪除(ONTAP 9.15.1 及更早版本)。
|
從ONTAP 9.11.1 開始,您可以修改"保留設定"用於 ARP 快照。 |
對於 NAS Volume ,當 ARP 偵測到高資料熵、資料加密的異常 Volume 活動和不尋常的檔案副檔名的任何組合時,它會顯示可疑檔案清單。
從 ONTAP 9.17.1 開始:
-
對於 NAS Volume:ARP 會繼續提供可疑的檔案和檔案類型。
-
對於 SAN 磁碟區(包含 LUN 或 NVMe 命名空間的磁碟區):ARP 僅在磁碟區層級評估熵。ONTAP 看不到 LUN 或命名空間內的個別檔案,因此*無法*取得可疑檔案清單和檔案類型。相反地,ARP 會報告磁碟區層級的加密百分比峰值(熵峰值)。
系統管理器中的反勒索軟體頁面會報告 NAS 和 SAN 磁碟區的熵峰值詳細資料。
當發出 ARP 警告通知時,透過以下兩種方式之一指定活動進行回應:
-
* 誤判 *
已識別的文件類型或熵峰值是您的工作負載中預期會出現的,可以忽略。
-
* 可能的勒索軟體攻擊 *
所識別的文件類型或熵峰值在您的工作負載中是意外的,應被視為潛在攻擊。
在您更新您的決定並清除 ARP 通知後,系統將恢復正常監控。 ARP會將您的評估記錄到威脅評估設定檔中,並使用您的選擇來監控後續的檔案活動。
如果懷疑發生攻擊,您必須確定是否為攻擊,如果是,則需做出回應,然後按照您的復原方法和 ONTAP 版本要求的順序清除通知並復原資料。"深入瞭解如何從勒索軟體攻擊中恢復".
ARP 必須主動保護卷,而不是處於學習或評估模式。
當您需要對異常活動進行分類時,請遵循以下步驟:
如果您需要還原資料,請使用 "在勒索軟體攻擊之後,從 ONTAP ARP 快照還原資料" 中的步驟。
檢閱異常活動詳細資料
您可以使用 System Manager 或 ONTAP CLI 查看 ARP 警告詳細資訊,然後再選擇回應流程。
-
收到「異常活動」通知後,請點選連結。或者,導航至 Storage > Volumes,找到受影響的 Volume,然後選擇 Security 標籤。
警告會顯示在 System Manager 儀表板 Events 功能表的 Overview 窗格中。
-
在 Security 標籤中,檢閱異常活動詳細資料:
-
對於 NAS Volume,請檢閱 Suspected file types 報告。Suspected File Types 對話方塊會顯示 ARP 已識別的檔案副檔名和檔案數量。
-
對於 NAS 和 SAN Volume,請檢閱熵峰值報告,其中顯示時間視窗、持續時間、寫入的資料量和熵值。
-
-
當您收到可疑勒索軟體攻擊的通知時、請確認攻擊的時間和嚴重性:
security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>範例輸出:
Vserver Name: vs0 Volume Name: vol1 State: enabled Attack Probability: moderate Attack Timeline: 5/12/2025 01:03:23 Number of Attacks: 1 Attack Detected By: encryption_percentage_analysis
您也可以檢查EMS訊息:
event log show -message-name callhome.arw.activity.seen -
(選用、NAS 和 SAN)檢視在磁碟區上偵測到的最近熵峰值:
security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>此指令匯總 ONTAP 偵測到高加密百分比(熵峰值)的時間視窗。它適用於 NAS 和 SAN 磁碟區。
-
(選用)檢視加密百分比隨時間變化的長條圖:
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>
了解清除可疑事件時的 Snapshot 行為和核准
-
對於
volume snapshot restoreONTAP 9.16.1 及更高版本,請先清除可疑事件,然後再執行還原。清除可疑檔案後,ARP 快照的保留時間取決於您對活動的分類:如果您將活動標記為潛在的勒索軟體攻擊,則預設保留 7 天;如果您將其標記為誤報,則保留 24 小時。先清除可疑事件不會刪除您的還原目標。此外,磁碟區還原後,清除可疑事件選項將不可用,因此您必須在還原之前清除可疑事件。 -
對於
volume snapshot restoreONTAP 9.15.1 及更早版本,請先執行還原,然後再清除可疑事件。當您清除可疑檔案時,ARP 快照會立即刪除,因此您必須在清除之前完成還原,以避免在還原作業執行之前遺失快照。 -
對於 `volume snapshot restore`以外的其他還原方法(例如 FlexClone 或單一檔案 SnapRestore),請先執行資料還原,然後再清除可疑事件。這些方法不會影響清除可疑事件選項的可用性。
-
從 ONTAP 9.13.1 開始,如果您使用 MAV 來保護 ARP 設定,則 `clear-suspect`作業可能需要額外核准。"必須收到所有管理員的核准"與 MAV 核准群組相關聯,否則作業將會失敗。
分類為誤報並繼續監控
當工作負載預期會出現已識別的檔案類型或熵峰值時,請使用此流程。
-
記錄你的答案:
-
對於 NAS 檔案類型警告,選擇受影響的檔案,選擇 Mark as false positive,然後選擇 Update and Clear Suspected File Types。
-
對於熵峰值(NAS 和 SAN),選擇 標記為誤報,然後選擇 儲存並忽略。
-
這些操作會清除有關可疑檔案(NAS)或異常活動(NAS 和 SAN)的警告通知。之後,ARP 將恢復對磁碟區的正常監控。
-
執行以下命令之一來記錄您的決定並恢復正常的自主勒索軟體防護監控:
-
對於 NAS 檔案副檔名:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true使用下列選用參數,僅將特定副檔名識別為誤報:
[-extension <text>, … ] -
對於熵尖峰(NAS 和 SAN):
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true對於 SAN 磁碟區,這是唯一受支援的對異常活動進行分類的方法;沒有可疑檔案清單或檔案副檔名。
-
-
從 ONTAP 9.18.1 開始,您可以確定 `clear-suspect`操作的狀態:
security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>
歸類為潛在勒索軟體攻擊並恢復資料
當識別出的檔案類型或熵峰值對於工作負載而言是 意料之外的 時,請使用此流程。
-
將活動分類:
-
對於 NAS 檔案類型警告,將選定的檔案標記為 潛在的勒索軟體攻擊。
-
對於熵峰值(NAS 和 SAN),請選取 標記為潛在的勒索軟體攻擊。
-
-
在恢復資料之前、您應該考慮 "還原方法選項"。然後執行下列其中一項操作:
-
如果您打算使用 ONTAP 9.16.1 或更新版本還原 Volume:清除通知,然後還原 Volume:
-
-
對於 NAS 檔案類型警告,請選擇 Update and Clear Suspected File Types 。
-
對於熵峰值(NAS 和 SAN)、請選取 Save and dismiss。
清除可疑檔案後,ARP 快照預設保留 7 天。如果需要更多時間進行資料恢復,"調整 ARP Snapshot 設定" 可以將快照保留時間增加到所需值。資料恢復完成後,您可以縮短保留時間。
-
-
使用 "最新的 ARP Snapshot 或更早的 Snapshot" 恢復資料。
-
-
如果您打算使用 ONTAP 9.15.1 或更早版本還原磁碟區:還原磁碟區,然後清除通知:
-
使用 "最新的 ARP Snapshot 或更早的 Snapshot" 恢復資料。
-
-
對於 NAS 檔案類型警告,請選擇 Update and Clear Suspected File Types 。
-
對於熵峰值(NAS 和 SAN)、請選取 Save and dismiss。
-
-
-
如果您打算使用其他還原方法:請先還原資料,然後清除通知:
-
資料還原後完成分類,以恢復正常的 ARP 監控:
-
對於 NAS 檔案類型警告,請選擇 Update and Clear Suspected File Types 。
-
對於熵峰值(NAS 和 SAN)、請選取 Save and dismiss。
記錄您的決定會清除攻擊報告。
-
-
-
(僅限 NAS Volume)建立攻擊報告:
-
產生攻擊報告並指定儲存位置。
security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>命令範例:
security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1
範例輸出:
Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"
-
在管理用戶端系統上檢視報告。例如:
cat report_file_vs0_vol1_14-09-2021_01-21-08
此命令在包含 LUN 或 NVMe 命名空間 (SAN 工作負載) 的磁碟區上*不受支援*。
-
-
選擇一個 "還原方法"。然後執行下列其中一項操作:
-
如果您打算使用
volume snapshot restore:請遵循特定版本的順序:-
ONTAP 9.16.1 及更高版本:先清除攻擊,再執行
volume snapshot restore:-
-
對於 NAS 檔案副檔名:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下可選參數,僅將特定副檔名識別為潛在的勒索軟體:
[-extension <text>, … ] -
對於熵尖峰(NAS 和 SAN):
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false對於 SAN Volume,請在恢復之前使用此命令確認攻擊。這將更新 SAN 工作負載的 ARP 威脅評估。
-
-
使用 "最近的 ARP Snapshot 或更早的 Snapshot" 恢復資料。
-
-
ONTAP 9.15.1 及更早版本:先執行
volume snapshot restore,然後清除攻擊:-
使用 "最近的 ARP Snapshot 或更早的 Snapshot" 恢復資料。
-
-
對於 NAS 檔案副檔名:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下可選參數,僅將特定副檔名識別為潛在的勒索軟體:
[-extension <text>, … ] -
對於熵尖峰(NAS 和 SAN):
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false對於 SAN Volume,請使用此命令在恢復後確認攻擊。這將更新 SAN 工作負載的 ARP 威脅評估。
-
-
-
-
如果您打算使用其他恢復方法:請先還原資料,然後再清除攻擊:
-
使用 "FlexClone 或單一檔案 SnapRestore" 恢復資料。
-
執行下列其中一個命令以清除可疑檔案:
-
對於 NAS 檔案副檔名:
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false使用以下可選參數,僅將特定副檔名識別為潛在的勒索軟體:
[-extension <text>, … ] -
對於熵尖峰(NAS 和 SAN):
security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false對於 SAN Volume,請使用此命令在恢復後確認攻擊。這將更新 SAN 工作負載的 ARP 威脅評估。
-
-
-
-
從 ONTAP 9.18.1 開始,您可以確定 `clear-suspect`操作的狀態:
security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>
多重管理員驗證選項
如果您使用多重管理員驗證 (MAV) 並且預期 `clear-suspect`作業需要額外核准,則每個 MAV 群組核准者必須:
-
顯示要求:
security multi-admin-verify request show -
核准恢復正常反勒索軟體監控的要求:
security multi-admin-verify request approve -index[<number returned from show request>]最後一個群組核准者的回應表示已修改磁碟區、並記錄誤報。
如果您使用的是 MAV 、而您是 MAV 群組核准者、您也可以拒絕明確可疑的要求:
security multi-admin-verify request veto -index[<number returned from show request>]