Skip to main content
BlueXP ransomware protection
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Führen Sie eine Übung zur Vorbereitung auf Ransomware-Angriffe im BlueXP-Ransomware-Schutz durch

Beitragende amgrissino netapp-ahibbard

Führen Sie eine Übung zur Vorbereitung auf Ransomware-Angriffe durch, indem Sie einen Angriff auf eine neue Beispiel-Workload simulieren. Untersuchen Sie den simulierten Angriff und stellen Sie die Workload wieder her. Nutzen Sie diese Funktion, um Warnmeldungen, Reaktionen und Wiederherstellung zu testen. Führen Sie die Übung so oft wie nötig durch.

Tipp Ihre tatsächlichen Arbeitslastdaten sind davon nicht betroffen.

Sie können Bereitschaftsübungen für NFS- und CIFS-Workloads (SMB) durchführen.

Konfigurieren Sie eine Übung zur Vorbereitung eines Ransomware-Angriffs

Bevor Sie eine Simulation ausführen, richten Sie auf der Seite „Einstellungen“ eine Übung ein. Sie erreichen die Seite „Einstellungen“ über die Option „Aktionen“ im oberen Menü.

In den folgenden Situationen müssen Sie einen Benutzernamen und ein Kennwort eingeben:

  • Wenn sich der Benutzername oder das Passwort für die zuvor ausgewählte Storage-VM geändert haben

  • Wenn Sie eine andere CIFS (SMB)-Speicher-VM auswählen

  • Wenn Sie einen anderen Test-Workload-Namen eingeben

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte
  1. Wählen Sie im BlueXP-Ransomware-Schutzmenü oben rechts die Schaltfläche Bereitschaftsübung ausführen.

    Dashboardseite mit der Schaltfläche „Bereitschaftsübung ausführen“

  2. Wählen Sie auf der Seite Einstellungen auf der Bereitschaftsbohrkarte Konfigurieren aus.

    BlueXP zeigt die Seite „Bereitschaftsübung konfigurieren“ an.

    Konfigurieren Sie die Bereitschaftsbohrseite

  3. Gehen Sie wie folgt vor:

    1. Wählen Sie den BlueXP -Anschluss aus, den Sie für den Bereitschaftsbohrer verwenden möchten.

    2. Wählen Sie eine Testumgebung aus.

    3. Wählen Sie eine Test-Storage-SVM aus.

    4. Wenn Sie eine CIFS (SMB)-Speicher-VM ausgewählt haben, werden die Felder „Benutzername“ und „Passwort“ angezeigt. Geben Sie den Benutzernamen und das Passwort für die Speicher-VM ein.

    5. Geben Sie den Namen eines neuen Test-Workloads ein, der erstellt werden soll. Fügen Sie beim Namen keine Bindestriche ein.

  4. Wählen Sie Speichern.

Tipp Sie können die Konfiguration der Bereitschaftsübung später über die Seite Einstellungen bearbeiten.

Eine Bereitschaftsübung starten

Nach der Konfiguration des Bereitschaftsbohrers können Sie den Bohrer starten.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Wenn Sie mit dem Readiness Drill beginnen, überspringt der BlueXP  Ransomware-Schutz den Learning-Modus und startet das Drill im aktiven Modus. Der Erkennungsstatus des Workloads lautet „aktiv“.

Tipp Eine Arbeitslast kann den Status „Lernmodus“ zur Ransomware-Erkennung haben, wenn vor Kurzem eine Erkennungsrichtlinie zugewiesen wurde und der Dienst Arbeitslasten scannt.
Schritte
  1. Führen Sie einen der folgenden Schritte aus:

    • Wählen Sie im BlueXP-Ransomware-Schutzmenü oben rechts die Schaltfläche Bereitschaftsübung ausführen.

      Dashboardseite mit der Schaltfläche „Bereitschaftsübung ausführen“

    • ODER wählen Sie auf der Seite Einstellungen in der Bereitschaftsbohrkarte Start.

  2. Wenn Sie bereits den Bereitschaftsbohrer konfiguriert haben, beginnt nach der Auswahl von Start der Bereitschaftsbohrer.

Hinweis Nachdem der Bohrer gestartet wurde, können Sie die Bereitschaftsbohrkonfiguration nicht bearbeiten. Sie können sie zurücksetzen, um erneut zu starten.

Reagieren Sie auf eine Bereitschaftsübung

Testen Sie Ihre Bereitschaft, indem Sie auf eine Bereitschaftsübung reagieren.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

    BlueXP zeigt die Seite „Warnmeldungen“ an. In der Spalte „Warnmeldungs-ID“ sehen Sie neben der ID „Bereitschaftsübung“.

    Warnseite, auf der die Bereitschaftsmeldung angezeigt wird

  2. Wählen Sie die Warnmeldung mit der Angabe „Bereitschaftsübung“ aus. Auf der Seite „Warnungsdetails“ wird eine Liste der Ereigniswarnungen angezeigt.

    Warnungs-Detailseite, auf der die Bereitschaftsübung angezeigt wird

  3. Überprüfen Sie die Warnungsvorfälle.

  4. Wählen Sie einen Warnungsvorfall aus.

    Incident-Seite mit der Bereitschaftsmeldung

Hier sind einige Dinge, auf die Sie achten sollten:

  • Sehen Sie sich den potenziellen Angriffstyp an.

    Wenn der Typ angibt, dass ein Benutzer verdächtig ist, bösartige Aktivitäten durchzuführen, überprüfen Sie den Benutzernamen. Sie können den Benutzer in Data Infrastructure Insights Workload Security genauer untersuchen, indem Sie Investigate in Workload Security auswählen.

  • Schauen Sie sich die Dateiaktivität und die vermuteten Prozesse an:

    • Überprüfen Sie die eingehenden erkannten Daten im Vergleich zu den erwarteten Daten.

    • Prüfen Sie die Erstellungsrate der erkannten Dateien im Vergleich zur erwarteten Rate.

    • Sehen Sie sich die erkannte Umbenennungsrate der Datei im Vergleich zur erwarteten Rate an.

    • Prüfen Sie die Löschrate im Vergleich zur erwarteten Rate.

  • Sehen Sie sich die Liste der betroffenen Dateien an. Sehen Sie sich die Erweiterungen an, die den Angriff verursachen könnten.

  • Bestimmen Sie die Auswirkungen und die Breite des Angriffs, indem Sie die Anzahl der betroffenen Dateien und Verzeichnisse überprüfen.

Test-Workload wiederherstellen

Stellen Sie nach der Überprüfung der Warnung zur Bereitschaftsübung bei Bedarf die Testarbeitslast wieder her.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte
  1. Kehren Sie zur Seite mit den Warnungsdetails zurück.

  2. Wenn der Test-Workload wiederhergestellt werden soll, gehen Sie wie folgt vor:

    • Wählen Sie Wiederherstellung erforderlich markieren.

    • Überprüfen Sie die Bestätigung, und wählen Sie im Bestätigungsfeld Wiederherstellung erforderlich markieren aus.

      • Wählen Sie im Menü BlueXP Ransomware Protection die Option Recovery aus.

      • Wählen Sie den mit „Readiness Drill“ markierten Test-Workload aus, den Sie wiederherstellen möchten.

      • Wählen Sie Wiederherstellen.

      • Geben Sie auf der Seite Wiederherstellen Informationen für die Wiederherstellung an:

    • Wählen Sie die Snapshot-Quellkopie aus.

    • Wählen Sie das Ziel-Volume aus.

  3. Wählen Sie auf der Seite „Überprüfung wiederherstellen“ die Option Wiederherstellen.

    BlueXP zeigt den Status der Wiederherstellung der Bereitschaftsübung auf der Wiederherstellungsseite als „In Bearbeitung“ an.

    Nachdem die Wiederherstellung abgeschlossen ist, ändert BlueXP den Status der Arbeitslast in Wiederhergestellt.

  4. Überprüfen Sie den wiederhergestellten Workload.

Tipp Weitere Informationen zum Wiederherstellungsvorgang finden Sie unter "Wiederherstellung nach einem Ransomware-Angriff (nach dem Neutralisieren von Vorfällen)".

Ändern Sie den Warnungsstatus nach der Bereitschaftsübung

Nachdem Sie die Warnung zur Bereitschaftsübung überprüft und die Arbeitslast wiederhergestellt haben, ändern Sie bei Bedarf den Warnungsstatus.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte
  1. Kehren Sie zur Seite mit den Warnungsdetails zurück.

  2. Wählen Sie die Warnmeldung erneut aus.

  3. Geben Sie den Status an, indem Sie Status bearbeiten auswählen und den Status in einen der folgenden Werte ändern:

    • Entlassen: Wenn Sie vermuten, dass die Aktivität kein Ransomware-Angriff ist, ändern Sie den Status in Abgewiesen.

      Wichtig Nachdem du einen Angriff abgetan hast, kannst du ihn nicht zurückchanagen. Wenn Sie einen Workload entlassen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht. Wenn Sie den Alarm schließen, wird der Bereitschaftsbohrer als abgeschlossen betrachtet.
    • Behoben: Der Vorfall wurde behoben.

Prüfen Sie die Berichte zur Bereitschaftsübung

Nach Abschluss der Bereitschaftsübung möchten Sie möglicherweise einen Bericht über den Bohrer prüfen und speichern.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator, Ransomware-Schutzadministrator oder Ransomware-Viewer-Rolle. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte
  1. Wählen Sie im Menü zum Ransomware-Schutz von BlueXP Berichte aus.

    Berichtsseite, auf der der Bereitschaftsbericht angezeigt wird

  2. Wählen Sie Readiness Drill und Download, um den Readiness Drill Report herunterzuladen.