Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Warnungen

10/14/2025 Beitragende

PDFs

Auf der Seite „Workload-Sicherheitswarnungen“ wird eine Zeitleiste der jüngsten Angriffe und/oder Warnungen angezeigt und Sie können Details zu jedem Problem anzeigen.

Liste der Warnungen

Alarm

Die Warnliste zeigt ein Diagramm mit der Gesamtzahl der potenziellen Angriffe und/oder Warnungen an, die im ausgewählten Zeitraum ausgelöst wurden, gefolgt von einer Liste der Angriffe und/oder Warnungen, die in diesem Zeitraum aufgetreten sind. Sie können den Zeitbereich ändern, indem Sie die Schieberegler für Start- und Endzeit im Diagramm anpassen.

Für jeden Alarm wird Folgendes angezeigt:

Potenzielle Angriffe:

Der Potenzielle Angriffstyp (z. B. Ransomware oder Sabotage)
Datum und Uhrzeit der Erkennung des potenziellen Angriffs
Der Status der Warnung:
- Neu: Dies ist die Standardeinstellung für neue Warnungen.
- In Bearbeitung: Die Warnung wird von einem oder mehreren Teammitgliedern untersucht.
- Gelöst: Der Alarm wurde von einem Teammitglied als gelöst markiert.
- Abgelehnt: Die Warnung wurde als falsch positiv oder als erwartetes Verhalten abgewiesen.
  
  Ein Administrator kann den Status der Warnung ändern und eine Notiz hinzufügen, um die Untersuchung zu unterstützen.
Der Benutzer, dessen Verhalten den Alarm ausgelöst hat
Beweise für den Angriff (z. B. wurde eine große Anzahl von Dateien verschlüsselt)
Die durchgeführte Aktion (z. B. wurde ein Schnappschuss gemacht)

Warnungen:

Das Abnormale Verhalten, das die Warnung ausgelöst hat
Datum und Uhrzeit der Erkennung des Verhaltens
Der Status der Warnung (Neu, In Bearbeitung usw.)
Der Benutzer, dessen Verhalten den Alarm ausgelöst hat
Eine Beschreibung der Änderung (z. B. ein ungewöhnlicher Anstieg der Dateizugriffe)
Die durchgeführte Aktion

Filteroptionen

Sie können Warnungen nach Folgendem filtern:

Der Status der Warnung
Spezifischer Text in der Anmerkung
Die Art der Angriffe/Warnungen
Der Benutzer, dessen Aktionen den Alarm/die Warnung ausgelöst haben

Die Seite „Warnungsdetails“

Sie können auf der Seite mit der Warnmeldungsliste auf einen Warnmeldungslink klicken, um eine Detailseite für die Warnmeldung zu öffnen. Die Alarmdetails können je nach Art des Angriffs oder Alarms variieren. Beispielsweise kann eine Detailseite zu einem Ransomware-Angriff die folgenden Informationen anzeigen:

Abschnitt „Zusammenfassung“:

Angriffstyp (Ransomware, Sabotage) und Warnmeldungs-ID (zugewiesen von Workload Security)
Datum und Uhrzeit der Erkennung des Angriffs
Durchgeführte Aktion (z. B. wurde ein automatischer Schnappschuss erstellt). Die Uhrzeit des Schnappschusses wird direkt unter dem Abschnitt „Zusammenfassung“ angezeigt.))
Status (Neu, In Bearbeitung usw.)

Abschnitt „Angriffsergebnisse“:

Anzahl der betroffenen Volumes und Dateien
Eine begleitende Zusammenfassung der Entdeckung
Ein Diagramm, das die Dateiaktivität während des Angriffs zeigt

Abschnitt „Verwandte Benutzer“:

Dieser Abschnitt zeigt Details zum Benutzer, der an dem potenziellen Angriff beteiligt war, einschließlich eines Diagramms der Top-Aktivitäten des Benutzers.

Warnseite (dieses Beispiel zeigt einen potenziellen Ransomware-Angriff): Beispiel für eine Ransomware-Warnung

Detailseite (dieses Beispiel zeigt einen potenziellen Ransomware-Angriff): Beispiel einer Ransomware-Detailseite

Aktion „Schnappschuss machen“

Workload Security schützt Ihre Daten, indem es automatisch einen Snapshot erstellt, wenn böswillige Aktivitäten erkannt werden, und so gewährleistet, dass Ihre Daten sicher gesichert werden.

Sie können definieren"Richtlinien für automatisierte Antworten" die einen Schnappschuss erstellen, wenn ein Ransomware-Angriff oder andere ungewöhnliche Benutzeraktivitäten erkannt werden. Sie können auch manuell einen Schnappschuss von der Warnseite aus erstellen.

Automatischer Schnappschuss erstellt: Alarmaktionsbildschirm, 1000

Manueller Schnappschuss: Alarmaktionsbildschirm, 1000

Warnmeldungen

Für jede Aktion im Zusammenhang mit der Warnung werden E-Mail-Benachrichtigungen zu Warnungen an eine Warnungsempfängerliste gesendet. Um die Empfänger der Benachrichtigungen zu konfigurieren, klicken Sie auf Admin > Benachrichtigungen und geben Sie für jeden Empfänger eine E-Mail-Adresse ein.

Aufbewahrungsrichtlinie

Alarme und Warnungen werden 13 Monate lang gespeichert. Alarme und Warnungen, die älter als 13 Monate sind, werden gelöscht. Wenn die Workload Security-Umgebung gelöscht wird, werden auch alle mit der Umgebung verknüpften Daten gelöscht.

Fehlerbehebung

Problem:	Versuchen Sie Folgendes:
Es gibt eine Situation, in der ONTAP stündlich Snapshots pro Tag erstellt. Werden Workload Security (WS)-Snapshots dies beeinflussen? Wird der WS-Snapshot den Platz des stündlichen Snapshots einnehmen? Wird der standardmäßige stündliche Snapshot gestoppt?	Snapshots der Workload-Sicherheit haben keinen Einfluss auf die stündlichen Snapshots. WS-Snapshots belegen nicht den stündlichen Snapshot-Speicherplatz und das sollte auch so bleiben wie bisher. Der standardmäßige stündliche Snapshot wird nicht gestoppt.
Was passiert, wenn die maximale Snapshot-Anzahl in ONTAP erreicht wird?	Wenn die maximale Snapshot-Anzahl erreicht ist, schlägt die nachfolgende Snapshot-Erstellung fehl und Workload Security zeigt eine Fehlermeldung mit dem Hinweis an, dass der Snapshot voll ist. Der Benutzer muss Snapshot-Richtlinien definieren, um die ältesten Snapshots zu löschen, andernfalls werden keine Snapshots erstellt. In ONTAP 9.3 und früheren Versionen kann ein Volume bis zu 255 Snapshot-Kopien enthalten. In ONTAP 9.4 und höher kann ein Volume bis zu 1023 Snapshot-Kopien enthalten. Informationen zu"Festlegen der Richtlinie zum Löschen von Snapshots" .
Workload Security kann überhaupt keine Snapshots erstellen.	Stellen Sie sicher, dass die zum Erstellen von Snapshots verwendete Rolle über den Link: korrekte Rechte zugewiesen verfügt. Stellen Sie sicher, dass csrole mit den richtigen Zugriffsrechten zum Erstellen von Snapshots erstellt wird: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
Snapshots schlagen für ältere Warnungen auf SVMs fehl, die aus Workload Security entfernt und anschließend wieder hinzugefügt wurden. Für neue Warnungen, die nach dem erneuten Hinzufügen von SVM auftreten, werden Snapshots erstellt.	Dies ist ein seltenes Szenario. Falls dies bei Ihnen der Fall ist, melden Sie sich bei ONTAP an und erstellen Sie die Snapshots für die älteren Warnungen manuell.
Auf der Seite „Alarmdetails“ wird unter der Schaltfläche „Snapshot erstellen“ die Fehlermeldung „Letzter Versuch fehlgeschlagen“ angezeigt. Wenn Sie mit der Maus über den Fehler fahren, wird „Zeitüberschreitung beim Aufrufen des API-Befehls für den Datensammler mit der ID“ angezeigt.	Dies kann passieren, wenn ein Datensammler über die SVM-Verwaltungs-IP zur Workload-Sicherheit hinzugefügt wird, wenn sich das LIF der SVM in ONTAP im Status deaktiviert befindet. Aktivieren Sie das jeweilige LIF in ONTAP und lösen Sie „Manuell Snapshot erstellen“ von Workload Security aus. Die Snapshot-Aktion wird dann erfolgreich sein.

Problem:

Versuchen Sie Folgendes:

Es gibt eine Situation, in der ONTAP stündlich Snapshots pro Tag erstellt. Werden Workload Security (WS)-Snapshots dies beeinflussen? Wird der WS-Snapshot den Platz des stündlichen Snapshots einnehmen? Wird der standardmäßige stündliche Snapshot gestoppt?

Snapshots der Workload-Sicherheit haben keinen Einfluss auf die stündlichen Snapshots. WS-Snapshots belegen nicht den stündlichen Snapshot-Speicherplatz und das sollte auch so bleiben wie bisher. Der standardmäßige stündliche Snapshot wird nicht gestoppt.

Was passiert, wenn die maximale Snapshot-Anzahl in ONTAP erreicht wird?

Wenn die maximale Snapshot-Anzahl erreicht ist, schlägt die nachfolgende Snapshot-Erstellung fehl und Workload Security zeigt eine Fehlermeldung mit dem Hinweis an, dass der Snapshot voll ist. Der Benutzer muss Snapshot-Richtlinien definieren, um die ältesten Snapshots zu löschen, andernfalls werden keine Snapshots erstellt. In ONTAP 9.3 und früheren Versionen kann ein Volume bis zu 255 Snapshot-Kopien enthalten. In ONTAP 9.4 und höher kann ein Volume bis zu 1023 Snapshot-Kopien enthalten. Informationen zu"Festlegen der Richtlinie zum Löschen von Snapshots" .

Workload Security kann überhaupt keine Snapshots erstellen.

Stellen Sie sicher, dass die zum Erstellen von Snapshots verwendete Rolle über den Link: korrekte Rechte zugewiesen verfügt. Stellen Sie sicher, dass csrole mit den richtigen Zugriffsrechten zum Erstellen von Snapshots erstellt wird: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Snapshots schlagen für ältere Warnungen auf SVMs fehl, die aus Workload Security entfernt und anschließend wieder hinzugefügt wurden. Für neue Warnungen, die nach dem erneuten Hinzufügen von SVM auftreten, werden Snapshots erstellt.

Dies ist ein seltenes Szenario. Falls dies bei Ihnen der Fall ist, melden Sie sich bei ONTAP an und erstellen Sie die Snapshots für die älteren Warnungen manuell.

Auf der Seite „Alarmdetails“ wird unter der Schaltfläche „Snapshot erstellen“ die Fehlermeldung „Letzter Versuch fehlgeschlagen“ angezeigt. Wenn Sie mit der Maus über den Fehler fahren, wird „Zeitüberschreitung beim Aufrufen des API-Befehls für den Datensammler mit der ID“ angezeigt.

Dies kann passieren, wenn ein Datensammler über die SVM-Verwaltungs-IP zur Workload-Sicherheit hinzugefügt wird, wenn sich das LIF der SVM in ONTAP im Status deaktiviert befindet. Aktivieren Sie das jeweilige LIF in ONTAP und lösen Sie „Manuell Snapshot erstellen“ von Workload Security aus. Die Snapshot-Aktion wird dann erfolgreich sein.