Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Behandeln Sie erkannte Ransomware-Warnmeldungen mit NetApp Ransomware Resilience

Beitragende amgrissino netapp-ahibbard
PDFs

Wenn NetApp Ransomware Resilience einen möglichen Angriff erkennt, wird auf dem Dashboard und im Benachrichtigungsbereich eine Warnung angezeigt. Ransomware Resilience erstellt sofort einen Snapshot. Überprüfen Sie das potenzielle Risiko auf der Registerkarte „Ransomware-Resilienz Warnungen“.

Wenn Ransomware Resilience einen möglichen Angriff erkennt, wird in den Benachrichtigungseinstellungen der Konsole eine Benachrichtigung angezeigt und eine E-Mail an die konfigurierte Adresse gesendet. Die E-Mail enthält Informationen zum Schweregrad, zur betroffenen Arbeitslast und einen Link zur Warnung auf der Registerkarte „Ransomware Resilience Warnungen“.

Sie können Fehlalarme ignorieren oder sich für eine sofortige Wiederherstellung Ihrer Daten entscheiden.

Tipp Wenn Sie die Warnung verwerfen, lernt Ransomware Resilience dieses Verhalten, verknüpft es mit normalen Vorgängen und löst keine weitere Warnung aus.

Um mit der Wiederherstellung Ihrer Daten zu beginnen, markieren Sie die Warnung als „bereit zur Wiederherstellung“, damit Ihr Speicheradministrator mit dem Wiederherstellungsprozess beginnen kann.

Jeder Alarm kann mehrere Vorfälle mit unterschiedlichem Umfang und Status umfassen. Überprüfen Sie alle Vorfälle.

Ransomware Resilience liefert sogenannte Beweise über die Ursache der Warnmeldung, beispielsweise die folgenden:

  • Dateierweiterungen wurden erstellt oder geändert

  • Dateierstellung mit einem Vergleich der erkannten und erwarteten Raten

  • Dateilöschung mit einem Vergleich der erkannten und erwarteten Raten

  • Bei hoher Verschlüsselung ohne Änderungen der Dateierweiterung

Eine Warnung wird wie folgt klassifiziert:

  • Potenzieller Angriff: Eine Warnung wird ausgegeben, wenn Autonomous Ransomware Protection eine neue Erweiterung erkennt und das Vorkommen in den letzten 24 Stunden mehr als 20 Mal wiederholt wurde (Standardverhalten).

  • Warnung: Eine Warnung erfolgt aufgrund der folgenden Verhaltensweisen:

    • Die Erkennung einer neuen Erweiterung wurde bisher nicht festgestellt und dasselbe Verhalten wiederholt sich nicht oft genug, um es als Angriff zu deklarieren.

    • Es wird eine hohe Entropie beobachtet.

    • Die Aktivität beim Lesen, Schreiben, Umbenennen oder Löschen von Dateien hat sich im Vergleich zum Normalwert verdoppelt.

Hinweis Bei SAN-Umgebungen basieren Warnungen nur auf hoher Entropie.

Die Beweise basieren auf Informationen von Autonomous Ransomware Protection in ONTAP. Weitere Einzelheiten finden Sie unter "Übersicht über den autonomen Ransomware-Schutz" .

Eine Warnung kann einen der folgenden Status haben:

  • Neu

  • Inaktiv

Ein Alarmvorfall kann einen der folgenden Zustände haben:

  • Neu: Alle Vorfälle werden bei ihrer erstmaligen Erkennung als „neu“ gekennzeichnet.

  • Abgelehnt: Wenn Sie vermuten, dass es sich bei der Aktivität nicht um einen Ransomware-Angriff handelt, können Sie den Status auf „Abgelehnt“ ändern.

    Achtung Nachdem Sie einen Angriff abgewehrt haben, können Sie dies nicht mehr rückgängig machen. Wenn Sie eine Arbeitslast ablehnen, werden alle Snapshot-Kopien, die automatisch als Reaktion auf den potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

  • Abweisen: Der Vorfall wird gerade abgewiesen.

  • Gelöst: Der Vorfall wurde behoben.

  • Automatisch gelöst: Bei Warnungen mit niedriger Priorität wird der Vorfall automatisch gelöst, wenn innerhalb von fünf Tagen keine Maßnahmen ergriffen wurden.

Tipp Wenn Sie auf der Seite „Einstellungen“ ein Sicherheits- und Ereignisverwaltungssystem (SIEM) in Ransomware Resilience konfiguriert haben, sendet Ransomware Resilience Warndetails an Ihr SIEM-System.

Warnungen anzeigen

Sie können über das Ransomware Resilience Dashboard oder über die Registerkarte Warnungen auf Warnungen zugreifen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“, „Ransomware Resilience-Administrator“ oder „Ransomware Resilience-Viewer“. "Erfahren Sie mehr über BlueXP -Zugriffsrollen für alle Dienste" .

Schritte

  1. Überprüfen Sie im Ransomware Resilience Dashboard den Bereich „Warnungen“.

  2. Wählen Sie unter einem der Status Alle anzeigen aus.

  3. Wählen Sie eine Warnung aus, um alle Vorfälle auf jedem Datenträger für jede Warnung zu überprüfen.

  4. Um weitere Warnungen anzuzeigen, wählen Sie in der Brotkrümelnavigation oben links Warnung aus.

  5. Überprüfen Sie die Warnungen auf der Seite „Warnungen“.

    Seite „Warnungen“

  6. Fahren Sie mit einem der folgenden Schritte fort:

Auf eine Warn-E-Mail antworten

Wenn Ransomware Resilience einen potenziellen Angriff erkennt, sendet es den angemeldeten Benutzern eine E-Mail-Benachrichtigung basierend auf ihren Abonnement-Benachrichtigungseinstellungen. Die E-Mail enthält Informationen zur Warnung, einschließlich des Schweregrads und der betroffenen Ressourcen.

Sie können E-Mail-Benachrichtigungen zu Ransomware-Resilience-Warnmeldungen erhalten. Mithilfe dieser Funktion bleiben Sie über Warnungen, deren Schweregrad und betroffene Ressourcen auf dem Laufenden.

Tipp Um E-Mail-Benachrichtigungen zu abonnieren, lesen Sie bitte "E-Mail-Benachrichtigungseinstellungen festlegen" .

  1. Gehen Sie in Ransomware Resilience zur Seite Einstellungen.

  2. Suchen Sie unter Benachrichtigungen die Einstellungen für E-Mail-Benachrichtigungen.

  3. Geben Sie die E-Mail-Adresse ein, an die Sie Benachrichtigungen erhalten möchten.

  4. Speichern Sie Ihre Änderungen.

Sie erhalten jetzt E-Mail-Benachrichtigungen, wenn neue Warnungen generiert werden.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“, „Ransomware Resilience-Administrator“ oder „Ransomware Resilience-Viewer“. "Erfahren Sie mehr über BlueXP -Zugriffsrollen für alle Dienste" .

Schritte

  1. Sehen Sie sich die E-Mail an.

  2. Wählen Sie in der E-Mail Warnung anzeigen aus und melden Sie sich bei Ransomware Resilience an.

    Die Seite „Warnungen“ wird angezeigt.

  3. Überprüfen Sie für jede Warnung alle Vorfälle auf jedem Datenträger.

  4. Um weitere Warnungen anzuzeigen, klicken Sie in der Brotkrümelnavigation oben links auf Warnung.

  5. Fahren Sie mit einem der folgenden Schritte fort:

Erkennen Sie böswillige Aktivitäten und anomales Benutzerverhalten

Auf der Registerkarte „Warnungen“ können Sie erkennen, ob böswillige Aktivitäten oder anomales Benutzerverhalten vorliegen.

Sie müssen einen Benutzeraktivitätsagenten konfiguriert und eine Schutzrichtlinie mit Benutzerverhaltenserkennung aktiviert haben, um die Erkennung auf Benutzerebene anzuzeigen. Wenn die Erkennung des Benutzerverhaltens aktiviert ist, wird die Spalte Verdächtiger Benutzer im Dashboard „Warnungen“ angezeigt. Sie wird nicht angezeigt, wenn die Erkennung des Benutzerverhaltens nicht aktiviert ist. Informationen zum Aktivieren der Erkennung verdächtiger Benutzer finden Sie unter"Verdächtige Benutzeraktivität" .

Hinweis Wenn Sie NetApp Data Infrastructure Insights (DII) Workload Security verwenden, wird empfohlen, dieselben Workload Security-Agenten für Ransomware Resilience zu verwenden. Sie müssen keine separaten Workload Security-Agenten für Ransomware Resilience bereitstellen. Die Verwendung derselben Workload Security-Agenten erfordert jedoch eine Paarungsbeziehung zwischen der Ransomware Resilience Console-Organisation und dem DII Storage Workload Security-Mandanten. Wenden Sie sich an Ihren Kundenbetreuer, um diese Kopplung zu aktivieren.

Anzeigen böswilliger Aktivitäten

Wenn Autonomous Ransomware Protection eine Warnung in Ransomware Resilience auslöst, können Sie die folgenden Details anzeigen:

  • Entropie eingehender Daten

  • Erwartete Erstellungsrate neuer Dateien im Vergleich zur erkannten Rate

  • Erwartete Löschrate von Dateien im Vergleich zur erkannten Rate

  • Erwartete Umbenennungsrate von Dateien im Vergleich zur erkannten Rate

  • Betroffene Dateien und Verzeichnisse

Hinweis Diese Details sind für NAS-Workloads sichtbar. Für SAN-Umgebungen sind nur die Entropiedaten verfügbar.
Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Wählen Sie eine Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

    Seite „Warnvorfälle“

  4. Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.

Anzeigen von anomalem Benutzerverhalten

Wenn Sie die Erkennung verdächtiger Benutzer zum Anzeigen anomalen Benutzerverhaltens konfiguriert haben, können Sie Daten auf Benutzerebene anzeigen und bestimmte Benutzer blockieren. Informationen zum Aktivieren der Einstellungen für verdächtige Benutzer finden Sie unter"Konfigurieren der Ransomware-Resilienzeinstellungen" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Wählen Sie eine Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

  4. Um einem verdächtigen Benutzer den weiteren Zugriff auf Ihre von der Konsole überwachte Umgebung zu verweigern, wählen Sie unter dem Namen des Benutzers Blockieren aus.

Markieren Sie Ransomware-Vorfälle als bereit zur Wiederherstellung (nachdem die Vorfälle neutralisiert wurden).

Benachrichtigen Sie nach dem Stoppen des Angriffs Ihren Speicheradministrator, dass die Daten bereit sind, damit er mit der Wiederherstellung beginnen kann.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über die Konsolenzugriffsrollen für alle Dienste" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

    Seite „Warnungen“

  2. Wählen Sie auf der Seite „Warnungen“ die Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

    Seite „Warnvorfälle“

  4. Wenn Sie feststellen, dass die Vorfälle zur Wiederherstellung bereit sind, wählen Sie Als Wiederherstellung erforderlich markieren.

  5. Bestätigen Sie die Aktion und wählen Sie Als Wiederherstellung erforderlich markieren.

  6. Um die Workload-Wiederherstellung zu starten, wählen Sie in der Nachricht „Workload wiederherstellen“ oder wählen Sie die Registerkarte „Wiederherstellung“ aus.

Ergebnis

Nachdem die Warnung zur Wiederherstellung markiert wurde, wird sie von der Registerkarte „Warnungen“ zur Registerkarte „Wiederherstellung“ verschoben.

Vorfälle abweisen, bei denen es sich nicht um potenzielle Angriffe handelt

Nachdem Sie die Vorfälle überprüft haben, müssen Sie feststellen, ob es sich bei den Vorfällen um potenzielle Angriffe handelt. Handelt es sich nicht um tatsächliche Drohungen, können sie abgewiesen werden.

Sie können Fehlalarme ignorieren oder sich für eine sofortige Wiederherstellung Ihrer Daten entscheiden. Wenn Sie die Warnung verwerfen, lernt Ransomware Resilience dieses Verhalten, verknüpft es mit normalen Vorgängen und löst bei einem solchen Verhalten keine weitere Warnung aus.

Wenn Sie eine Arbeitslast verwerfen, werden alle Snapshot-Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

Achtung Wenn Sie eine Warnung verwerfen, können Sie diesen Status nicht wieder in einen anderen Status ändern und diese Änderung auch nicht rückgängig machen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über die Konsolenzugriffsrollen für alle Dienste" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

    Seite „Warnungen“

  2. Wählen Sie auf der Seite „Warnungen“ die Warnung aus.

    Seite „Warnvorfälle“

  3. Wählen Sie einen oder mehrere Vorfälle aus. Oder wählen Sie alle Vorfälle aus, indem Sie das Feld „Vorfall-ID“ oben links in der Tabelle auswählen.

  4. Wenn Sie feststellen, dass der Vorfall keine Bedrohung darstellt, verwerfen Sie ihn als falsch-positives Ergebnis:

    • Wählen Sie den Vorfall aus.

    • Wählen Sie die Schaltfläche Status bearbeiten über der Tabelle.

      Seite „Alarmstatus bearbeiten“

  5. Wählen Sie im Feld „Status bearbeiten“ den Status „Abgelehnt“ aus.

    Es werden zusätzliche Informationen zur Arbeitslast und zum Löschen von Snapshot-Kopien angezeigt.

  6. Wählen Sie Speichern.

    Der Status des Vorfalls bzw. der Vorfälle ändert sich in „Abgelehnt“.

Liste der betroffenen Dateien anzeigen

Bevor Sie eine Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite „Warnungen“ zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über die Konsolenzugriffsrollen für alle Dienste" .

Schritte

Verwenden Sie die Seite „Warnungen“, um die Liste der betroffenen Dateien abzurufen.

Tipp Wenn ein Volume mehrere Warnungen aufweist, müssen Sie möglicherweise für jede Warnung die CSV-Liste der betroffenen Dateien herunterladen.

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Sortieren Sie auf der Seite „Warnungen“ die Ergebnisse nach Arbeitslast, um die Warnungen für die Anwendungsarbeitslast anzuzeigen, die Sie wiederherstellen möchten.

  3. Wählen Sie aus der Liste der Warnungen für diese Arbeitslast eine Warnung aus.

  4. Wählen Sie für diese Warnung einen einzelnen Vorfall aus.

    Liste der betroffenen Dateien für eine bestimmte Warnung

  5. Wählen Sie für diesen Vorfall das Download-Symbol aus und laden Sie die Liste der betroffenen Dateien im CSV-Format herunter.