Meldungen
Die Seite „Workload Security Alerts“ zeigt eine Zeitleiste aktueller Angriffe und/oder Warnungen an und ermöglicht Ihnen, Details zu jedem Problem anzuzeigen.
Alarm
In der Alarmliste wird ein Diagramm angezeigt, in dem die Gesamtanzahl der potenziellen Angriffe und/oder Warnungen angezeigt wird, die im ausgewählten Zeitraum angehoben wurden, gefolgt von einer Liste der Angriffe und/oder Warnungen, die in diesem Zeitraum aufgetreten sind. Sie können den Zeitbereich ändern, indem Sie die Schieberegler für Startzeit und Endzeit in der Grafik anpassen.
Für jede Meldung wird Folgendes angezeigt:
Potentielle Angriffe:
-
Der Potential Attack-Typ (z. B. Ransomware oder Sabotage)
-
Datum und Uhrzeit des potenziellen Angriffs wurde entdeckt
-
Der Status der Warnmeldung:
-
Neu: Dies ist der Standard für neue Warnmeldungen.
-
In Bearbeitung: Der Alarm wird von einem Teammitglied oder Mitgliedern untersucht.
-
Behoben: Der Alarm wurde von einem Teammitglied als gelöst markiert.
-
Abgeschieden: Der Alarm wurde als falsch positives oder erwartetes Verhalten abgewiesen.
Ein Administrator kann den Status der Warnmeldung ändern und eine Notiz hinzufügen, um die Untersuchung zu unterstützen.
-
-
Der User, dessen Verhalten die Warnung ausgelöst hat
-
Nachweis des Angriffs (zum Beispiel wurde eine große Anzahl von Dateien verschlüsselt)
-
Die Aktion wurde ausgeführt (zum Beispiel wurde ein Snapshot erstellt)
Warnungen:
-
Das anormale Verhalten, das die Warnung ausgelöst hat
-
Das Datum und die Uhrzeit, zu der das Verhalten erkannt wurde_
-
Der Status der Warnmeldung (Neu, wird ausgeführt usw.)
-
Der User, dessen Verhalten die Warnung ausgelöst hat
-
Eine Beschreibung des Change (z. B. eine abnormale Erhöhung des Dateizugriffs)
-
Die Aktion Ausgeführt
Filteroptionen
Sie können Warnungen nach folgenden Kriterien filtern:
-
Der Status der Warnmeldung
-
Spezifischer Text in der Note
-
Die Art von attacks/Warnings
-
Der_Benutzer_, dessen Aktionen die Warnung/Warnung ausgelöst haben
Die Seite „Warndetails“
Sie können auf der Seite mit den Warnmeldungen auf einen Alarm-Link klicken, um eine Detailseite für die Meldung zu öffnen. Die Alarmdetails können je nach Angriffstyp oder Alarmtyp variieren. Eine Seite mit den Details zum Angriff durch Ransomware kann beispielsweise folgende Informationen enthalten:
Zusammenfassung:
-
Angriffstyp (Ransomware, Sabotage) und Alarm-ID (zugewiesen durch Workload-Sicherheit)
-
Datum und Uhrzeit des Angriffs
-
Es wurde eine Aktion ausgeführt (beispielsweise ein automatischer Snapshot erstellt. Die Zeit des Snapshots wird direkt unter der Zusammenfassung angezeigt)
-
Status (Neu, in Bearbeitung usw.)
Abschnitt „Angriffsergebnisse“:
-
Anzahl der betroffenen Volumes und Dateien
-
Eine begleitende Zusammenfassung der Detektion
-
Ein Diagramm mit Dateiaktivitäten während des Angriffs
Abschnitt „Verwandte Benutzer“:
In diesem Abschnitt werden Details zu dem Benutzer angezeigt, der an dem potenziellen Angriff beteiligt ist, einschließlich einer Grafik der Top-Aktivität für den Benutzer.
Warnmeldeseite (dieses Beispiel zeigt einen potenziellen Ransomware-Angriff):
Detailseite (dieses Beispiel zeigt einen potenziellen Ransomware-Angriff):
Snapshot Aktion durchführen
Workload Security schützt Ihre Daten, indem bei Erkennung schädlicher Aktivitäten automatisch ein Snapshot erstellt wird. So wird sichergestellt, dass Ihre Daten sicher gesichert werden.
Sie können festlegen"Automatisierte Antwortrichtlinien", dass ein Snapshot erstellt wird, wenn ein Ransomware-Angriff oder eine andere ungewöhnliche Benutzeraktivität erkannt wird. Sie können einen Snapshot auch manuell von der Warnungsseite aus erstellen.
Automatischer Snapshot erstellt:
Manueller Schnappschuss:
Warnbenachrichtigungen
Für jede Aktion der Warnmeldung werden E-Mail-Benachrichtigungen an eine Benachrichtigungsliste gesendet. Um Warnungsempfänger zu konfigurieren, klicken Sie auf Admin > Benachrichtigungen und geben Sie für jeden Empfänger eine E-Mail-Adresse ein.
Aufbewahrungsrichtlinie
Warnungen und Warnungen werden 13 Monate lang aufbewahrt. Warnungen und Warnungen, die älter als 13 Monate sind, werden gelöscht. Wenn die Workload-Sicherheitsumgebung gelöscht wird, werden auch alle mit der Umgebung verknüpften Daten gelöscht.
Fehlerbehebung
Problem: | Versuchen Sie Das: |
---|---|
Es besteht die Situation, dass ONTAP stündliche Snapshots pro Tag erstellt. Wirken sich Workload Security (WS)-Snapshots darauf aus? Wird WS-Schnappschuss den stündlichen Schnappschuss-Platz machen? Wird der stündliche StandardSnapshot angehalten? |
Arbeitslastsicherheit Schnappschüsse werden die stündlichen Schnappschüsse nicht beeinflussen. WS-Schnappschüsse nehmen nicht den stündlichen Snapshot-Platz und das sollte so weitergehen wie zuvor. Der standardmäßige stündliche Snapshot wird nicht angehalten. |
Was geschieht, wenn die Maximalanzahl der Snapshots in ONTAP erreicht wird? |
Wenn die maximale Anzahl an Snapshots erreicht wird, schlägt das nachfolgende Erstellen eines Snapshots fehl, und die Workload-Sicherheit weist eine Fehlermeldung auf, dass der Snapshot voll ist. Benutzer müssen Snapshot-Richtlinien definieren, um die ältesten Snapshots zu löschen, sonst werden keine Snapshots erstellt. Ab ONTAP 9.3 und älteren Versionen kann ein Volume bis zu 255 Snapshot Kopien enthalten. Ab ONTAP 9.4 kann ein Volume bis zu 1023 Snapshot Kopien enthalten. Weitere Informationen finden Sie in der ONTAP-Dokumentation zu "Richtlinie zum Löschen von Snapshots wird festgelegt". |
Workload Security kann überhaupt keine Snapshots erstellen. |
Stellen Sie sicher, dass die Rolle, die zum Erstellen von Snapshots verwendet wird, über den Link Eigenrechte zugewiesen verfügt. Stellen Sie sicher, dass csrole mit entsprechenden Zugriffsrechten für die Erstellung von Snapshots erstellt wird: Security Login role create -vserver <vservername> -role csrolle -cmddirname „Volume Snapshot“ -Access all |
Snapshots versagen bei älteren Warnmeldungs-Warnungen auf SVMs, die aus der Workload Security entfernt und anschließend wieder hinzugefügt wurden. Für neue Warnmeldungen, die nach dem erneuten Hinzufügen der SVM auftreten, werden Snapshots erstellt. |
Dies ist ein seltenes Szenario. Falls dies der Fall ist, melden Sie sich bei ONTAP an und erstellen Sie die Snapshots manuell, um die älteren Meldungen zu erhalten. |
Auf der Seite „ Details der Warnmeldung “ wird die Meldung „Letzter Versuch fehlgeschlagen“ unter der Schaltfläche „Take Snapshot“ angezeigt. Wenn Sie den Fehler bewegen, wird „API-Befehl aufrufen hat Timeout für den Datensammler mit id“ angezeigt. |
Dies kann passieren, wenn ein Datensammler zur Workload-Sicherheit über SVM Management IP hinzugefügt wird, wenn sich die LIF der SVM in ONTAP in „dedisabled State“ befindet. Aktivieren Sie die bestimmte LIF in ONTAP und lösen Sie _Snapshot manuell aus der Workload-Sicherheit aus. Die Aktion „Snapshot“ wird dann erfolgreich ausgeführt. |