Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Reagieren Sie auf einen erkannten Ransomware-Alarm

Beitragende

Wenn der Ransomware-Schutz von BlueXP einen möglichen Angriff erkennt, wird im BlueXP Ransomware Protection Dashboard und in den BlueXP Benachrichtigungen oben rechts eine Warnmeldung angezeigt, die auf einen potenziellen Ransomware-Angriff hinweist. Der Service initiiert zudem unverzüglich die Erstellung einer Snapshot-Kopie. An dieser Stelle sollten Sie sich das potenzielle Risiko im BlueXP Ransomware-Schutz anschauen Alerts Tab.

Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen.

Tipp Wenn Sie die Warnmeldung schließen möchten, lernt der Service dieses Verhalten und verknüpft sie mit dem normalen Betrieb und initiiert keine weitere Warnung zu einem solchen Verhalten.

Um Ihre Daten wiederherzustellen, markieren Sie die Warnmeldung als bereit für die Recovery, damit Ihr Storage-Administrator mit dem Recovery-Prozess beginnen kann.

Jede Warnung kann mehrere Vorfälle auf verschiedenen Volumes mit unterschiedlichen Status haben, achten Sie also darauf, alle Vorfälle zu betrachten.

Der Dienst bietet Informationen, die als Evidence bezeichnet werden, über den Grund, aus dem die Warnung ausgegeben wurde, wie z. B.:

  • Dateierweiterungen wurden erstellt oder geändert

  • Die Dateierstellung ist erfolgt und wird um einen aufgelisteten Prozentsatz erhöht

  • Die Dateilöschung ist aufgetreten und wird um einen aufgelisteten Prozentsatz erhöht

Eine Warnung basiert auf den folgenden Verhaltensarten:

  • Potenzieller Angriff: Ein Alarm tritt auf, wenn Autonomous Ransomware Protection eine neue Erweiterung erkennt und das Auftreten in den letzten 24 Stunden mehr als 20 Mal wiederholt wird (Standardverhalten).

  • Warnung: Eine Warnung erfolgt auf der Grundlage der folgenden Verhaltensweisen:

    • Die Erkennung einer neuen Erweiterung wurde zuvor nicht identifiziert und dasselbe Verhalten wiederholt nicht genug Male, um sie als Angriff zu deklarieren.

    • Es wird eine hohe Entropie beobachtet.

    • Bei Lese-/Schreib-/Umbenennungs-/Löschvorgängen in Dateien wurde eine Aktivität von 100 % über die Baseline hinaus angestiegt.

Der Nachweis basiert auf Informationen aus dem Autonomen Ransomware-Schutz in ONTAP. Weitere Informationen finden Sie unter "Autonome Ransomware-Schutz – Übersicht".

Eine Meldung kann einen der folgenden Status aufweisen:

  • * Neu*

  • Inaktiv

Ein Warnungsvorfall wird in einen der folgenden Status kategorisiert:

  • Neu: Alle Vorfälle werden bei der ersten Identifizierung mit "neu" markiert.

  • Abgewiesen: Wenn Sie vermuten, dass die Aktivität kein Ransomware-Angriff ist, können Sie den Status in "Abgewiesen" ändern.

    Achtung Nachdem du einen Angriff abgetan hast, kannst du ihn nicht mehr zurückändern. Wenn Sie einen Workload verwerfen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.
  • Entlassung: Der Vorfall ist im Prozess der Entlassung.

  • Gelöst: Der Vorfall wurde behoben.

Anzeigen von Meldungen

Sie können über das BlueXP Ransomware Protection Dashboard oder über die Registerkarte Alerts auf Benachrichtigungen zugreifen.

Schritte
  1. Sehen Sie sich im BlueXP Dashboard für Ransomware-Schutz den Bereich „Alerts“ an.

  2. Wählen Sie unter einer der Statuen Alle anzeigen.

  3. Klicken Sie auf eine Warnmeldung, um alle Vorfälle auf jedem Volume für jede Warnmeldung zu überprüfen.

  4. Um weitere Warnmeldungen anzuzeigen, klicken Sie in den Paniermehl oben links auf Alert.

  5. Überprüfen Sie die Warnmeldungen auf der Seite Warnungen.

    Warnmeldeseite

  6. Weiter:

Markieren Sie Ransomware-Vorfälle als bereit für die Wiederherstellung (nach der Neutralisierung von Vorfällen).

Nachdem der Angriff gemildert und Workloads wiederhergestellt werden können, sollten Sie mit dem Storage-Admin-Team kommunizieren, dass die Daten bereit sind für die Recovery, damit der Recovery-Prozess gestartet werden kann.

Schritte
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

    Warnmeldeseite

  2. Wählen Sie auf der Seite Warnungen die Warnmeldung aus.

  3. Überprüfen Sie die Vorfälle in der Meldung.

    Seite „Warnungsvorfälle“

  4. Wenn Sie feststellen, dass die Vorfälle für die Wiederherstellung bereit sind, wählen Sie Wiederherstellung erforderlich markieren.

  5. Bestätigen Sie die Aktion und wählen Sie Wiederherstellung erforderlich markieren.

  6. Um die Workload-Wiederherstellung zu starten, wählen Sie * Recover * Workload in der Meldung aus oder wählen Sie die Registerkarte * Recovery* aus.

Ergebnis

Nachdem die Warnmeldung für die Wiederherstellung markiert wurde, wechselt die Warnmeldung von der Registerkarte Warnungen zur Registerkarte Wiederherstellung.

Schließen Sie Vorfälle ab, die keine potenziellen Angriffe sind

Nachdem Sie Vorfälle überprüft haben, müssen Sie feststellen, ob es sich bei den Vorfällen um potenzielle Angriffe handelt. Wenn nicht, können sie entlassen werden.

Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen. Wenn Sie die Warnmeldung schließen möchten, lernt der Service dieses Verhalten und verknüpft sie mit dem normalen Betrieb und initiiert keine weitere Warnung zu einem solchen Verhalten.

Wenn Sie einen Workload verwerfen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

Achtung Wenn Sie eine Warnmeldung schließen, können Sie diesen Status nicht wieder in einen anderen Status ändern, und Sie können diese Änderung nicht rückgängig machen.
Schritte
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

    Warnmeldeseite

  2. Wählen Sie auf der Seite Warnungen die Warnmeldung aus.

    Seite „Warnungsvorfälle“

  3. Wählen Sie einen oder mehrere Vorfälle aus. Oder wählen Sie alle Vorfälle aus, indem Sie das Feld Incident ID oben links in der Tabelle auswählen.

  4. Wenn Sie feststellen, dass es sich bei dem Vorfall nicht um eine Bedrohung handelt, weisen Sie ihn als falsch positiv zu:

    • Wenn Sie einen Vorfall ausgewählt haben, wählen Sie die Option actions … Auf der rechten Seite wählen Sie Status bearbeiten.

    • Wenn Sie mehrere Vorfälle ausgewählt haben, wählen Sie die Schaltfläche Status bearbeiten über der Tabelle aus.

      Warnungsbearbeitung Statusseite

  5. Wählen Sie im Feld Status bearbeiten den Status * „Abgewiesen“* aus.

    Weitere Informationen zum Workload und die zu löschenden Snapshot Kopien werden angezeigt.

  6. Wählen Sie Speichern.

    Der Status des Vorfalls oder der Vorfälle ändert sich in „Abgewiesen“.

Zeigen Sie eine Liste der betroffenen Dateien an

Bevor Sie einen Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite Warnungen zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.

Schritte

Auf der Seite Warnungen können Sie die Liste der betroffenen Dateien abrufen.

Tipp Wenn ein Volume mehrere Warnmeldungen enthält, müssen Sie möglicherweise die CSV-Liste der betroffenen Dateien für jede Warnmeldung herunterladen.
  1. Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.

  2. Sortieren Sie auf der Seite Warnungen die Ergebnisse nach Workload, um die Warnungen für den Anwendungs-Workload anzuzeigen, den Sie wiederherstellen möchten.

  3. Wählen Sie aus der Liste der Warnmeldungen für diesen Workload eine Warnmeldung aus.

  4. Wählen Sie für diese Warnung einen einzelnen Vorfall aus.

    Liste der betroffenen Dateien für eine bestimmte Warnung

  5. Wählen Sie für diesen Vorfall das Download-Symbol aus, und laden Sie die Liste der betroffenen Dateien im CSV-Format herunter.