Reagieren Sie auf einen erkannten Ransomware-Alarm
Wenn der Ransomware-Schutz von BlueXP einen möglichen Angriff erkennt, wird im BlueXP Ransomware Protection Dashboard und in den BlueXP Benachrichtigungen oben rechts eine Warnmeldung angezeigt, die auf einen potenziellen Ransomware-Angriff hinweist. Der Service initiiert zudem unverzüglich die Erstellung einer Snapshot-Kopie. An dieser Stelle sollten Sie sich das potenzielle Risiko im BlueXP Ransomware-Schutz anschauen Alerts Tab.
Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen.
Wenn Sie die Warnmeldung schließen möchten, lernt der Service dieses Verhalten und verknüpft sie mit dem normalen Betrieb und initiiert keine weitere Warnung zu einem solchen Verhalten. |
Um Ihre Daten wiederherzustellen, markieren Sie die Warnmeldung als bereit für die Recovery, damit Ihr Storage-Administrator mit dem Recovery-Prozess beginnen kann.
Jede Warnung kann mehrere Vorfälle auf verschiedenen Volumes mit unterschiedlichen Status haben, achten Sie also darauf, alle Vorfälle zu betrachten.
Der Dienst bietet Informationen, die als Evidence bezeichnet werden, über den Grund, aus dem die Warnung ausgegeben wurde, wie z. B.:
-
Dateierweiterungen wurden erstellt oder geändert
-
Die Dateierstellung ist erfolgt und wird um einen aufgelisteten Prozentsatz erhöht
-
Die Dateilöschung ist aufgetreten und wird um einen aufgelisteten Prozentsatz erhöht
Eine Warnung basiert auf den folgenden Verhaltensarten:
-
Potenzieller Angriff: Ein Alarm tritt auf, wenn Autonomous Ransomware Protection eine neue Erweiterung erkennt und das Auftreten in den letzten 24 Stunden mehr als 20 Mal wiederholt wird (Standardverhalten).
-
Warnung: Eine Warnung erfolgt auf der Grundlage der folgenden Verhaltensweisen:
-
Die Erkennung einer neuen Erweiterung wurde zuvor nicht identifiziert und dasselbe Verhalten wiederholt nicht genug Male, um sie als Angriff zu deklarieren.
-
Es wird eine hohe Entropie beobachtet.
-
Bei Lese-/Schreib-/Umbenennungs-/Löschvorgängen in Dateien wurde eine Aktivität von 100 % über die Baseline hinaus angestiegt.
-
Der Nachweis basiert auf Informationen aus dem Autonomen Ransomware-Schutz in ONTAP. Weitere Informationen finden Sie unter "Autonome Ransomware-Schutz – Übersicht".
Eine Meldung kann einen der folgenden Status aufweisen:
-
* Neu*
-
Inaktiv
Ein Warnungsvorfall wird in einen der folgenden Status kategorisiert:
-
Neu: Alle Vorfälle werden bei der ersten Identifizierung mit "neu" markiert.
-
Abgewiesen: Wenn Sie vermuten, dass die Aktivität kein Ransomware-Angriff ist, können Sie den Status in "Abgewiesen" ändern.
Nachdem du einen Angriff abgetan hast, kannst du ihn nicht mehr zurückändern. Wenn Sie einen Workload verwerfen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht. -
Entlassung: Der Vorfall ist im Prozess der Entlassung.
-
Gelöst: Der Vorfall wurde behoben.
Anzeigen von Meldungen
Sie können über das BlueXP Ransomware Protection Dashboard oder über die Registerkarte Alerts auf Warnungen zugreifen.
-
Sehen Sie sich im BlueXP Dashboard für Ransomware-Schutz den Bereich „Alerts“ an.
-
Wählen Sie unter einem der Status Alle anzeigen.
-
Klicken Sie auf eine Warnmeldung, um alle Vorfälle auf jedem Volume für jede Warnmeldung zu überprüfen.
-
Um weitere Warnmeldungen anzuzeigen, klicken Sie in den Paniermehl oben links auf Alert.
-
Überprüfen Sie die Warnmeldungen auf der Seite Warnungen.
-
Weiter:
Erkennen von böswilligen Aktivitäten und ungewöhnlichem Benutzerverhalten
Auf der Registerkarte „Meldungen“ können Sie ermitteln, ob eine bösartige Aktivität besteht. Die angezeigten Details hängen davon ab, wie die Warnmeldung ausgelöst wurde:
-
Ausgelöst durch die Funktion für den autonomen Ransomware-Schutz in ONTAP. Auf diese Weise werden schädliche Aktivitäten basierend auf dem Verhalten der Dateien im Volume erkannt.
-
Ausgelöst durch Data Infrastructure Insights Workload Security. Dazu ist eine Lizenz für Einblicke in die Dateninfrastruktur – Workload-Sicherheit und den Schutz vor BlueXP -Ransomware erforderlich. Diese Funktion erkennt ungewöhnliches Benutzerverhalten in Ihren Storage-Workloads und ermöglicht es Ihnen, den weiteren Zugriff des Benutzers zu blockieren.
Um die Workload-Sicherheit in BlueXP Ransomware-Schutz zu aktivieren, gehen Sie auf die Seite Einstellungen und wählen Sie die Option Workload Security Connection.
Einen Überblick über Data Infrastructure Insights Workload Security finden Sie in "Allgemeines Zur Workload-Sicherheit"
Wenn Sie keine Lizenz für die Workload-Sicherheit in der Dateninfrastruktur besitzen und sie nicht im BlueXP Ransomware-Schutz aktivieren, werden Sie die anormalen Informationen zum Benutzerverhalten nicht sehen. |
Wenn schädigene Aktivitäten auftreten, wird eine Warnmeldung generiert und ein automatisierter Snapshot erstellt.
Anzeigen schädlicher Aktivitäten nur über Autonomen Ransomware-Schutz
Wenn der autonome Ransomware-Schutz eine Warnung beim BlueXP Ransomware-Schutz auslöst, können Sie die folgenden Details anzeigen:
-
Entropie eingehender Daten
-
Erwartete Erstellungsrate neuer Dateien im Vergleich zur erkannten Rate
-
Erwartete Löschrate der Dateien im Vergleich zur erkannten Rate
-
Erwartete Umbenennungsrate von Dateien im Vergleich zur erkannten Rate
-
Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.
-
Wählen Sie eine Warnmeldung aus.
-
Überprüfen Sie die Vorfälle in der Meldung.
-
Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.
Anzeigen von ungewöhnlichem Benutzerverhalten bei Einblicke in die Dateninfrastruktur zur Workload-Sicherheit
Wenn Data Infrastructure Insights Workload Security eine Warnmeldung beim BlueXP Ransomware-Schutz auslöst, können Sie den verdächtigen Benutzer anzeigen, den Benutzer blockieren und die Benutzeraktivität direkt in Data Infrastructure Insights Workload Security untersuchen.
Diese Funktionen ergänzen die Vorteile von Just Autonomous Ransomware Protection. |
Diese Option erfordert eine Lizenz für Einblicke in die Dateninfrastruktur – Workload-Sicherheit und dass Sie sie in BlueXP – Ransomware-Schutz aktivieren.
So aktivieren Sie Workload-Sicherheit beim Ransomware-Schutz von BlueXP :
-
Gehen Sie zur Seite Einstellungen.
-
Wählen Sie die Option Workload Security Connection aus.
Weitere Informationen finden Sie unter "Konfigurieren Sie BlueXP Ransomware-Schutzeinstellungen".
-
Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.
-
Wählen Sie eine Warnmeldung aus.
-
Überprüfen Sie die Vorfälle in der Meldung.
-
Um einen vermuteten Benutzer vom weiteren Zugriff in Ihrer Umgebung zu sperren, der von BlueXP überwacht wird, wählen Sie den Link Benutzer blockieren.
-
Untersuchen Sie den Alarm oder einen Vorfall in der Warnmeldung:
-
Um den Alarm in Data Infrastructure Insights Workload Security weiter zu untersuchen, wählen Sie den Link Investigate in Workload Security.
-
Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.
Data Infrastructure Insights Workload Security wird auf einer neuen Registerkarte geöffnet.
-
Markieren Sie Ransomware-Vorfälle als bereit für die Wiederherstellung (nach der Neutralisierung von Vorfällen).
Nachdem der Angriff gemildert und Workloads wiederhergestellt werden können, sollten Sie mit dem Storage-Admin-Team kommunizieren, dass die Daten bereit sind für die Recovery, damit der Recovery-Prozess gestartet werden kann.
-
Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.
-
Wählen Sie auf der Seite Warnungen die Warnmeldung aus.
-
Überprüfen Sie die Vorfälle in der Meldung.
-
Wenn Sie feststellen, dass die Vorfälle für die Wiederherstellung bereit sind, wählen Sie Wiederherstellung erforderlich markieren.
-
Bestätigen Sie die Aktion und wählen Sie Wiederherstellung erforderlich markieren.
-
Um die Workload-Wiederherstellung zu starten, wählen Sie * Recover * Workload in der Meldung aus oder wählen Sie die Registerkarte * Recovery* aus.
Nachdem die Warnmeldung für die Wiederherstellung markiert wurde, wechselt die Warnmeldung von der Registerkarte Warnungen zur Registerkarte Wiederherstellung.
Schließen Sie Vorfälle ab, die keine potenziellen Angriffe sind
Nachdem Sie Vorfälle überprüft haben, müssen Sie feststellen, ob es sich bei den Vorfällen um potenzielle Angriffe handelt. Wenn nicht, können sie entlassen werden.
Sie können false-positive Ergebnisse verwerfen oder beschließen, Ihre Daten sofort wiederherzustellen. Wenn Sie die Warnmeldung schließen möchten, lernt der Service dieses Verhalten und verknüpft sie mit dem normalen Betrieb und initiiert keine weitere Warnung zu einem solchen Verhalten.
Wenn Sie einen Workload verwerfen, werden alle Snapshot Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.
Wenn Sie eine Warnmeldung schließen, können Sie diesen Status nicht wieder in einen anderen Status ändern, und Sie können diese Änderung nicht rückgängig machen. |
-
Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.
-
Wählen Sie auf der Seite Warnungen die Warnmeldung aus.
-
Wählen Sie einen oder mehrere Vorfälle aus. Oder wählen Sie alle Vorfälle aus, indem Sie das Feld Incident ID oben links in der Tabelle auswählen.
-
Wenn Sie feststellen, dass es sich bei dem Vorfall nicht um eine Bedrohung handelt, weisen Sie ihn als falsch positiv zu:
-
Wählen Sie den Vorfall aus.
-
Wählen Sie über der Tabelle die Schaltfläche Status bearbeiten.
-
-
Wählen Sie im Feld Status bearbeiten den Status * „Abgewiesen“* aus.
Weitere Informationen zum Workload und die zu löschenden Snapshot Kopien werden angezeigt.
-
Wählen Sie Speichern.
Der Status des Vorfalls oder der Vorfälle ändert sich in „Abgewiesen“.
Zeigen Sie eine Liste der betroffenen Dateien an
Bevor Sie einen Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite Warnungen zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.
Auf der Seite Warnungen können Sie die Liste der betroffenen Dateien abrufen.
Wenn ein Volume mehrere Warnmeldungen enthält, müssen Sie möglicherweise die CSV-Liste der betroffenen Dateien für jede Warnmeldung herunterladen. |
-
Wählen Sie im Menü BlueXP Ransomware Protection die Option Alerts aus.
-
Sortieren Sie auf der Seite Warnungen die Ergebnisse nach Workload, um die Warnungen für den Anwendungs-Workload anzuzeigen, den Sie wiederherstellen möchten.
-
Wählen Sie aus der Liste der Warnmeldungen für diesen Workload eine Warnmeldung aus.
-
Wählen Sie für diese Warnung einen einzelnen Vorfall aus.
-
Wählen Sie für diesen Vorfall das Download-Symbol aus, und laden Sie die Liste der betroffenen Dateien im CSV-Format herunter.