CONTAP-245206:新たに検出されたファイル拡張子がworkload-behaviorにfalse positiveとマークされても、ワークロードの動作に表示される
問題
- ARW攻撃後、影響を受ける拡張をfalse positiveとしてマークすることでclear-suspectが実行されます。
::> security anti-ransomware volume attack clear-suspect -vserver SVM1 -volume vol1 -false-positive true -extensions testlog, pdf, tmp- ただし、以降も、ワークロードの動作出力の「Newly Observed File Extensions」セクションに拡張子が報告されます。
::> security anti-ransomware volume workload-behavior show -vserver SVM1 -volume vol1 Vserver: SVM1 Volume: vol1 File Extensions Observed: CSV, xlsx, tmp, dll, pdf, pptx, JPG, cache, cs, VR, xd$, TP, vr, LS, xdw, tx, DLL, xlsm, editorconfig, in, ev, tp, zip, #dw, jpg, dwg, VD, sv, JBI Number of File Extensions Observed: 465Historical Statistics High Entropy Data Write Percentage: 98 High Entropy Data Write Peak Rate (KB/Minute): 27192 File Create Peak Rate (per Minute): 1567 File Delete Peak Rate (per Minute): 1793 File Rename Peak Rate (per Minute): 18Surge Observed Surge Timeline: - High Entropy Data Write Percentage: - High Entropy Data Write Peak Rate (KB/Minute): - File Create Peak Rate (per Minute): - File Delete Peak Rate (per Minute): - File Rename Peak Rate (per Minute): - Newly Observed File Extensions: {color:#ff8b00}testlog, pdf, tmp{color} Number of Newly Observed File Extensions: 1, 5, 7