Skip to main content
BlueXP ransomware protection
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Behandeln Sie erkannte Ransomware-Warnmeldungen mit dem BlueXP-Ransomware-Schutz

Beitragende amgrissino netapp-ahibbard
PDFs

Wenn der BlueXP-Ransomware-Schutz einen möglichen Angriff erkennt, wird eine Warnung im Dashboard und im Benachrichtigungsbereich angezeigt. Der Dienst erstellt sofort einen Schnappschuss. Überprüfen Sie das potenzielle Risiko im Tab „Warnungen“ des BlueXP-Ransomware-Schutzes.

Wenn der BlueXP ransomware protection einen möglichen Angriff erkennt, wird eine Benachrichtigung in den BlueXP Benachrichtigungen angezeigt und eine E-Mail an die konfigurierte Adresse gesendet. Die E-Mail enthält Informationen zum Schweregrad, zur betroffenen Arbeitslast und einen Link zur Warnung im Reiter „Warnungen“ des BlueXP ransomware protection .

Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen.

Tipp Wenn Sie die Warnung verwerfen, lernt der Dienst dieses Verhalten, verknüpft es mit normalen Vorgängen und löst keine weitere Warnung aus.

Um Ihre Daten wiederherzustellen, markieren Sie die Warnmeldung als bereit für die Recovery, damit Ihr Storage-Administrator mit dem Recovery-Prozess beginnen kann.

Jede Warnung kann mehrere Vorfälle mit unterschiedlichem Umfang und Status enthalten. Überprüfen Sie alle Vorfälle.

Der Dienst bietet Informationen, die als Evidence bezeichnet werden, über den Grund, aus dem die Warnung ausgegeben wurde, wie z. B.:

  • Dateierweiterungen wurden erstellt oder geändert

  • Dateierstellung mit einem Vergleich der erkannten und erwarteten Raten

  • Dateilöschung mit einem Vergleich der erkannten und erwarteten Raten

  • Wenn die Verschlüsselung hoch ist, ohne Dateierweiterung Änderungen

Eine Meldung wird als eine der folgenden klassifiziert:

  • Potenzieller Angriff: Ein Alarm tritt auf, wenn Autonomous Ransomware Protection eine neue Erweiterung erkennt und das Auftreten in den letzten 24 Stunden mehr als 20 Mal wiederholt wird (Standardverhalten).

  • Warnung: Eine Warnung erfolgt auf der Grundlage der folgenden Verhaltensweisen:

    • Die Erkennung einer neuen Erweiterung wurde zuvor nicht identifiziert und dasselbe Verhalten wiederholt nicht genug Male, um sie als Angriff zu deklarieren.

    • Es wird eine hohe Entropie beobachtet.

    • Die Aktivität beim Lesen, Schreiben, Umbenennen und Löschen von Dateien hat sich im Vergleich zum Normalwert verdoppelt.

Hinweis Bei SAN-Umgebungen basieren Warnungen nur auf hoher Entropie.

Der Nachweis basiert auf Informationen aus dem Autonomen Ransomware-Schutz in ONTAP. Weitere Informationen finden Sie unter "Autonome Ransomware-Schutz – Übersicht".

Eine Meldung kann einen der folgenden Status aufweisen:

  • * Neu*

  • Inaktiv

Ein Alarmvorfall kann einen der folgenden Zustände haben:

  • Neu: Alle Vorfälle werden bei der ersten Identifizierung mit "neu" markiert.

  • Abgewiesen: Wenn Sie vermuten, dass die Aktivität kein Ransomware-Angriff ist, können Sie den Status in "Abgewiesen" ändern.

    Achtung Nachdem du einen Angriff abgetan hast, kannst du ihn nicht mehr zurückändern. Wenn Sie einen Workload entlassen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

  • Entlassung: Der Vorfall ist im Prozess der Entlassung.

  • Gelöst: Der Vorfall wurde behoben.

  • Automatisch gelöst: Bei Warnungen mit niedriger Priorität wird der Vorfall automatisch gelöst, wenn innerhalb von fünf Tagen keine Aktion ausgeführt wurde.

Tipp Wenn Sie auf der Seite „Einstellungen“ ein Sicherheits- und Ereignisverwaltungssystem (SIEM) im BlueXP ransomware protection konfiguriert haben, sendet der Dienst Warndetails an Ihr SIEM-System.

Anzeigen von Meldungen

Sie können über das BlueXP  Ransomware Protection Dashboard oder über die Registerkarte Alerts auf Warnungen zugreifen.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator, Ransomware-Schutzadministrator oder Ransomware-Viewer-Rolle. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte

  1. Sehen Sie sich im BlueXP Dashboard für Ransomware-Schutz den Bereich „Alerts“ an.

  2. Wählen Sie unter einem der Status Alle anzeigen.

  3. Wählen Sie eine Warnung aus, um alle Vorfälle auf jedem Datenträger für jede Warnung zu überprüfen.

  4. Um weitere Warnungen anzuzeigen, wählen Sie in der Brotkrümelnavigation oben links Warnung aus.

  5. Überprüfen Sie die Warnmeldungen auf der Seite Warnungen.

    Warnmeldeseite

  6. Fahren Sie mit einem der folgenden Schritte fort:

Auf eine Warn-E-Mail antworten

Wenn der BlueXP ransomware protection einen potenziellen Angriff erkennt, sendet er eine E-Mail-Benachrichtigung an die abonnierten Benutzer, basierend auf ihren Abonnement-Benachrichtigungseinstellungen. Die E-Mail enthält Informationen zum Alarm, einschließlich des Schweregrads und der betroffenen Ressourcen.

Sie können E-Mail-Benachrichtigungen zu BlueXP ransomware protection Schutzwarnungen erhalten. So bleiben Sie über Warnungen, deren Schweregrad und betroffene Ressourcen informiert.

Tipp Um E-Mail-Benachrichtigungen zu abonnieren, lesen Sie bitte "Einstellungen für E-Mail-Benachrichtigungen festlegen" .

  1. Gehen Sie im BlueXP ransomware protection auf die Seite Einstellungen.

  2. Suchen Sie unter Benachrichtigungen die Einstellungen für E-Mail-Benachrichtigungen.

  3. Geben Sie die E-Mail-Adresse ein, an die Sie Benachrichtigungen erhalten möchten.

  4. Speichern Sie die Änderungen.

Sie erhalten jetzt E-Mail-Benachrichtigungen, wenn neue Warnungen generiert werden.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator, Ransomware-Schutzadministrator oder Ransomware-Viewer-Rolle. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte

  1. Sehen Sie sich die E-Mail an.

  2. Wählen Sie in der E-Mail Warnung anzeigen aus und melden Sie sich beim BlueXP ransomware protection an.

    Die Seite „Meldungen“ wird angezeigt.

  3. Überprüfen Sie für jede Warnung alle Vorfälle auf jedem Datenträger.

  4. Um weitere Warnmeldungen anzuzeigen, klicken Sie in den Paniermehl oben links auf Alert.

  5. Fahren Sie mit einem der folgenden Schritte fort:

Erkennen von böswilligen Aktivitäten und ungewöhnlichem Benutzerverhalten

Auf der Registerkarte „Meldungen“ können Sie ermitteln, ob eine bösartige Aktivität besteht.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Welche Details werden angezeigt? Die angezeigten Details hängen davon ab, wie die Warnmeldung ausgelöst wurde:

  • Ausgelöst durch die Funktion für den autonomen Ransomware-Schutz in ONTAP. Auf diese Weise werden schädliche Aktivitäten basierend auf dem Verhalten der Dateien im Volume erkannt.

  • Ausgelöst durch Data Infrastructure Insights Workload-Sicherheit. Dazu ist eine Lizenz für Einblicke in die Dateninfrastruktur erforderlich – und dass Sie sie in BlueXP  Ransomware-Schutz aktivieren. Diese Funktion erkennt ungewöhnliches Benutzerverhalten in Ihren Storage-Workloads und ermöglicht es Ihnen, den weiteren Zugriff des Benutzers zu blockieren.

    Um die Workload-Sicherheit in BlueXP  Ransomware-Schutz zu aktivieren, gehen Sie auf die Seite Einstellungen und wählen Sie die Option Workload Security Connection.

    Einen Überblick über die Data Infrastructure Insights Workload-Sicherheit finden Sie unter "Workload-Sicherheit" .

Tipp Wenn Sie keine Lizenz für Data Infrastructure Workload Security besitzen und diese im BlueXP ransomware protection nicht aktivieren, werden Ihnen die Informationen zum anomalen Benutzerverhalten nicht angezeigt.

Wenn schädigene Aktivitäten auftreten, wird eine Warnmeldung generiert und ein automatisierter Snapshot erstellt.

Anzeigen schädlicher Aktivitäten nur über Autonomen Ransomware-Schutz

Wenn der autonome Ransomware-Schutz eine Warnung beim BlueXP  Ransomware-Schutz auslöst, können Sie die folgenden Details anzeigen:

  • Entropie eingehender Daten

  • Erwartete Erstellungsrate neuer Dateien im Vergleich zur erkannten Rate

  • Erwartete Löschrate der Dateien im Vergleich zur erkannten Rate

  • Erwartete Umbenennungsrate von Dateien im Vergleich zur erkannten Rate

  • Betroffene Dateien und Verzeichnisse

Hinweis Diese Details sind für NAS-Workloads sichtbar. Für SAN-Umgebungen sind nur die Entropiedaten verfügbar.
Schritte

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

  2. Wählen Sie eine Warnmeldung aus.

  3. Überprüfen Sie die Vorfälle in der Meldung.

    Seite „Warnungsvorfälle“

  4. Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.

Anzeigen von ungewöhnlichem Benutzerverhalten in Data Infrastructure Insights Workload-Sicherheit

Wenn Data Infrastructure Insights Workload-Sicherheit eine Warnmeldung beim BlueXP  Ransomware-Schutz auslöst, können Sie den verdächtigen Benutzer anzeigen, den Benutzer blockieren und die Benutzeraktivität direkt in Data Infrastructure Insights Workload-Sicherheit untersuchen.

Tipp Diese Funktionen ergänzen die Vorteile von Just Autonomous Ransomware Protection.
Bevor Sie beginnen

Diese Option erfordert eine Lizenz für die Sicherheit von Dateninfrastrukturen Einblicke in Workloads und dass Sie sie in BlueXP  Ransomware-Schutz aktivieren.

Um Workload-Sicherheit beim BlueXP  Ransomware-Schutz zu ermöglichen, gehen Sie wie folgt vor:

  1. Gehen Sie zur Seite Einstellungen.

  2. Wählen Sie die Option Workload Security Connection aus.

    Weitere Informationen finden Sie unter "Konfigurieren Sie BlueXP Ransomware-Schutzeinstellungen".

Schritte

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

  2. Wählen Sie eine Warnmeldung aus.

  3. Überprüfen Sie die Vorfälle in der Meldung.

    Seite mit Warnmeldungen zu Vorfällen, auf der Details zur Workload-Sicherheit angezeigt werden

  4. Um einen vermuteten Benutzer vom weiteren Zugriff in Ihrer Umgebung zu sperren, der von BlueXP  überwacht wird, wählen Sie den Link Benutzer blockieren.

  5. Untersuchen Sie den Alarm oder einen Vorfall in der Warnmeldung:

    1. Um den Alarm in Data Infrastructure Insights Workload Security weiter zu untersuchen, wählen Sie den Link Investigate in Workload Security.

    2. Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.

      Data Infrastructure Insights Workload Security wird auf einer neuen Registerkarte geöffnet.

    Untersuchung im Bereich Workload-Sicherheit

Markieren Sie Ransomware-Vorfälle als bereit für die Wiederherstellung (nach der Neutralisierung von Vorfällen).

Benachrichtigen Sie nach dem Stoppen des Angriffs Ihren Speicheradministrator, dass die Daten bereit sind, damit er mit der Wiederherstellung beginnen kann.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

    Warnmeldeseite

  2. Wählen Sie auf der Seite Warnungen die Warnmeldung aus.

  3. Überprüfen Sie die Vorfälle in der Meldung.

    Seite „Warnungsvorfälle“

  4. Wenn Sie feststellen, dass die Vorfälle für die Wiederherstellung bereit sind, wählen Sie Wiederherstellung erforderlich markieren.

  5. Bestätigen Sie die Aktion und wählen Sie Wiederherstellung erforderlich markieren.

  6. Um die Workload-Wiederherstellung zu starten, wählen Sie * Recover * Workload in der Meldung aus oder wählen Sie die Registerkarte * Recovery* aus.

Ergebnis

Nachdem die Warnmeldung für die Wiederherstellung markiert wurde, wechselt die Warnmeldung von der Registerkarte Warnungen zur Registerkarte Wiederherstellung.

Schließen Sie Vorfälle ab, die keine potenziellen Angriffe sind

Nachdem Sie Vorfälle überprüft haben, müssen Sie feststellen, ob es sich bei den Vorfällen um potenzielle Angriffe handelt. Ist die vorgenannte Voraussetzung nicht erfüllt, kann eine Kündigung erfolgen.

Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen. Wenn Sie die Warnung verwerfen, lernt der Dienst dieses Verhalten, verknüpft es mit normalen Vorgängen und löst bei einem solchen Verhalten keine weitere Warnung aus.

Wenn Sie eine Arbeitslast verwerfen, werden alle Snapshot-Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

Achtung Wenn Sie eine Warnmeldung schließen, können Sie diesen Status nicht wieder in einen anderen Status ändern, und Sie können diese Änderung nicht rückgängig machen.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

    Warnmeldeseite

  2. Wählen Sie auf der Seite Warnungen die Warnmeldung aus.

    Seite „Warnungsvorfälle“

  3. Wählen Sie einen oder mehrere Vorfälle aus. Oder wählen Sie alle Vorfälle aus, indem Sie das Feld Incident ID oben links in der Tabelle auswählen.

  4. Wenn Sie feststellen, dass es sich bei dem Vorfall nicht um eine Bedrohung handelt, weisen Sie ihn als falsch positiv zu:

    • Wählen Sie den Vorfall aus.

    • Wählen Sie über der Tabelle die Schaltfläche Status bearbeiten.

      Warnungsbearbeitung Statusseite

  5. Wählen Sie im Feld Status bearbeiten den Status * „Abgewiesen“* aus.

    Es werden zusätzliche Informationen zur Arbeitslast und zum Löschen von Snapshot-Kopien angezeigt.

  6. Wählen Sie Speichern.

    Der Status des Vorfalls oder der Vorfälle ändert sich in „Abgewiesen“.

Zeigen Sie eine Liste der betroffenen Dateien an

Bevor Sie einen Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite Warnungen zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.

Erforderliche BlueXP-Rolle Organisationsadministrator, Ordner- oder Projektadministrator oder Ransomware-Schutzadministrator. "Erfahren Sie mehr über BlueXP-Zugriffsrollen für alle Dienste" .

Schritte

Auf der Seite Warnungen können Sie die Liste der betroffenen Dateien abrufen.

Tipp Wenn ein Volume mehrere Warnmeldungen enthält, müssen Sie möglicherweise die CSV-Liste der betroffenen Dateien für jede Warnmeldung herunterladen.

  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

  2. Sortieren Sie auf der Seite Warnungen die Ergebnisse nach Workload, um die Warnungen für den Anwendungs-Workload anzuzeigen, den Sie wiederherstellen möchten.

  3. Wählen Sie aus der Liste der Warnmeldungen für diesen Workload eine Warnmeldung aus.

  4. Wählen Sie für diese Warnung einen einzelnen Vorfall aus.

    Liste der betroffenen Dateien für eine bestimmte Warnung

  5. Wählen Sie für diesen Vorfall das Download-Symbol aus, und laden Sie die Liste der betroffenen Dateien im CSV-Format herunter.