Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Warnmeldungen in NetApp Ransomware Resilience verwalten

Beitragende amgrissino netapp-ahibbard
PDFs

Wenn NetApp Ransomware Resilience einen möglichen Angriff erkennt, wird eine Warnung auf dem Dashboard und im Benachrichtigungsbereich angezeigt. Ransomware Resilience erstellt sofort einen Snapshot. Überprüfen Sie das potenzielle Risiko auf der Registerkarte „Ransomware-Resilienz Warnungen“.

Wenn Ransomware Resilience einen möglichen Angriff erkennt, erscheint eine Benachrichtigung in den Console Notification-Einstellungen und eine E-Mail wird an die konfigurierten Adressen gesendet. Die E-Mail enthält Informationen über den Schweregrad, die betroffene Workload und einen Link zur Warnung im Tab Alerts von Ransomware Resilience.

Sie können Fehlalarme ignorieren oder sich für eine sofortige Wiederherstellung Ihrer Daten entscheiden.

Tipp Wenn Sie die Warnung verwerfen, lernt Ransomware Resilience dieses Verhalten, verknüpft es mit normalen Vorgängen und löst keine weitere Warnung aus.

Um mit der Wiederherstellung Ihrer Daten zu beginnen, markieren Sie die Warnung als „bereit zur Wiederherstellung“, damit Ihr Speicheradministrator mit dem Wiederherstellungsprozess beginnen kann.

Jede Warnung kann mehrere Vorfälle mit unterschiedlichem Umfang und Status umfassen. Überprüfen Sie alle Vorfälle.

Ransomware Resilience liefert sogenannte Beweise über die Ursache der Warnmeldung, beispielsweise die folgenden:

  • Dateierweiterungen wurden erstellt oder geändert

  • Dateierstellung mit einem Vergleich der erkannten und erwarteten Raten

  • Dateilöschung mit einem Vergleich der erkannten und erwarteten Raten

  • Bei hoher Verschlüsselung ohne Änderungen der Dateierweiterung

Eine Warnung wird wie folgt klassifiziert:

  • Potenzieller Angriff: Eine Warnung wird ausgegeben, wenn Autonomous Ransomware Protection eine neue Erweiterung erkennt und das Vorkommen in den letzten 24 Stunden mehr als 20 Mal wiederholt wurde (Standardverhalten).

  • Warnung: Eine Warnung erfolgt aufgrund der folgenden Verhaltensweisen:

    • Die Erkennung einer neuen Erweiterung wurde bisher nicht festgestellt und dasselbe Verhalten wiederholt sich nicht oft genug, um es als Angriff zu deklarieren.

    • Es wird eine hohe Entropie beobachtet.

    • Die Aktivität beim Lesen, Schreiben, Umbenennen oder Löschen von Dateien hat sich im Vergleich zum Normalwert verdoppelt.

Hinweis Für SAN-Umgebungen basieren Warnungen ausschließlich auf hoher Entropie.

Die Beweise basieren auf Informationen von Autonomous Ransomware Protection in ONTAP. Weitere Einzelheiten finden Sie unter "Übersicht über den autonomen Ransomware-Schutz" .

Eine Warnung kann einen der folgenden Status haben:

  • Neu

  • Inaktiv

Ein Alarmereignis kann folgende Zustände aufweisen:

  • Neu: Alle Vorfälle werden bei ihrer erstmaligen Erkennung als „neu“ gekennzeichnet.

  • In Bearbeitung: Sie können einen Vorfall als „in Bearbeitung“ markieren, während Sie ihn auswerten.

  • Abgelehnt: Wenn Sie vermuten, dass es sich bei der Aktivität nicht um einen Ransomware-Angriff handelt, können Sie den Status auf „Abgelehnt“ ändern.

    Achtung Sobald Sie einen Angriff abgewiesen haben, können Sie seinen Status nicht mehr rückgängig machen. Wenn Sie eine Arbeitslast abbrechen, werden alle automatisch als Reaktion auf den potenziellen Ransomware-Angriff erstellten Snapshot-Kopien endgültig gelöscht.

  • Abweisen: Der Vorfall wird gerade abgewiesen.

  • Gelöst: Der Vorfall wurde behoben.

  • Automatisch gelöst: Bei Warnungen mit niedriger Priorität wird der Vorfall automatisch gelöst, wenn innerhalb von fünf Tagen keine Maßnahmen ergriffen wurden.

Tipp Wenn Sie auf der Seite „Einstellungen“ ein Sicherheits- und Ereignisverwaltungssystem (SIEM) in Ransomware Resilience konfiguriert haben, sendet Ransomware Resilience Warndetails an Ihr SIEM-System.

Warnungen anzeigen

Sie können über das Ransomware Resilience Dashboard oder über die Registerkarte Warnungen auf Warnungen zugreifen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“, „Ransomware Resilience-Administrator“ oder „Ransomware Resilience-Viewer“. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console" .

Schritte

  1. Überprüfen Sie im Ransomware Resilience Dashboard den Bereich „Warnungen“.

  2. Wählen Sie unter einem der Status Alle anzeigen aus.

  3. Wählen Sie eine Warnung aus, um alle Vorfälle auf jedem Datenträger für jede Warnung zu überprüfen.

  4. Um weitere Warnungen anzuzeigen, wählen Sie in der Brotkrümelnavigation oben links Warnung aus.

  5. Überprüfen Sie die Warnungen auf der Seite „Warnungen“.

    Seite „Warnungen“

  6. Fahren Sie mit einem der folgenden Schritte fort:

Auf eine Warn-E-Mail antworten

Wenn Ransomware Resilience einen potenziellen Angriff erkennt, sendet es eine E-Mail-Benachrichtigung an die abonnierten Benutzer basierend auf deren Benachrichtigungseinstellungen, die in den NetApp Console-Einstellungen konfiguriert sind. Die E-Mail enthält Informationen zur Warnung, einschließlich des Schweregrads und der betroffenen Ressourcen.

Tipp Informationen zum Einrichten von E-Mail-Benachrichtigungen in der NetApp Console finden Sie unter "E-Mail-Benachrichtigungseinstellungen festlegen".

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“, „Ransomware Resilience-Administrator“ oder „Ransomware Resilience-Viewer“. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console" .

Schritte

  1. Sehen Sie sich die E-Mail an.

  2. Wählen Sie in der E-Mail Warnung anzeigen aus und melden Sie sich bei Ransomware Resilience an.

    Die Seite „Warnungen“ wird angezeigt.

  3. Überprüfen Sie für jede Warnung alle Vorfälle auf jedem Datenträger.

  4. Um weitere Warnungen anzuzeigen, klicken Sie in der Brotkrümelnavigation oben links auf Warnung.

  5. Fahren Sie mit einem der folgenden Schritte fort:

Erkennen Sie böswillige Aktivitäten und anomales Benutzerverhalten

Auf der Registerkarte „Warnungen“ können Sie erkennen, ob böswillige Aktivitäten oder anomales Benutzerverhalten vorliegen.

Sie müssen einen Benutzeraktivitätsagenten konfiguriert und eine Datensicherungsstrategie mit Benutzerverhaltenserkennung aktiviert haben, um Warnungen auf Benutzerebene anzuzeigen. Die Spalte Verdächtiger Benutzer wird im Warnungs-Dashboard nur angezeigt, wenn die Benutzerverhaltenserkennung aktiviert ist. Um die Erkennung verdächtiger Benutzer zu aktivieren, siehe "Verdächtige Benutzeraktivität".

Hinweis Wenn Sie NetApp Data Infrastructure Insights (DII) Workload Security verwenden, wird empfohlen, dieselben Workload Security-Agenten auch für Ransomware Resilience zu verwenden. Sie müssen keine separaten Workload Security-Agenten für Ransomware Resilience bereitstellen, jedoch erfordert die Verwendung derselben Workload Security-Agenten eine Verknüpfung zwischen der Ransomware Resilience Console-Organisation und dem DII Storage Workload Security-Mandanten. Wenden Sie sich an Ihren Kundenbetreuer, um diese Verknüpfung zu aktivieren. + Um die Erkennung verdächtiger Benutzer ohne DII zu nutzen, stellen Sie sicher, dass Sie "aktivierte Erkennung verdächtiger Benutzeraktivitäten" und die entsprechenden Agenten konfiguriert haben.

Anzeigen böswilliger Aktivitäten

Wenn Autonomous Ransomware Protection eine Warnung in Ransomware Resilience auslöst, können Sie die folgenden Details anzeigen:

  • Entropie eingehender Daten

  • Erwartete Erstellungsrate neuer Dateien im Vergleich zur erkannten Rate

  • Erwartete Löschrate von Dateien im Vergleich zur erkannten Rate

  • Erwartete Umbenennungsrate von Dateien im Vergleich zur erkannten Rate

  • Betroffene Dateien und Verzeichnisse

Hinweis Diese Details sind für NAS-Workloads sichtbar. Für SAN-Umgebungen sind nur die Entropiedaten verfügbar.
Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Wählen Sie eine Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

    Seite „Warnvorfälle“

  4. Wählen Sie einen Vorfall aus, um die Details des Vorfalls zu überprüfen.

Anzeigen von anomalem Benutzerverhalten

Wenn Sie die Erkennung verdächtiger Benutzer zum Anzeigen anomalen Benutzerverhaltens konfiguriert haben, können Sie Daten auf Benutzerebene anzeigen und bestimmte Benutzer blockieren. Informationen zum Aktivieren der Einstellungen für verdächtige Benutzer finden Sie unter"Konfigurieren der Ransomware-Resilienzeinstellungen" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Wählen Sie eine Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

  4. Um einen verdächtigen Benutzer in Ihrer Umgebung zu blockieren, wählen Sie unter dem Namen des Benutzers Blockieren aus.

Markieren Sie Ransomware-Vorfälle als bereit zur Wiederherstellung (nachdem die Vorfälle neutralisiert wurden).

Nachdem der Angriff gestoppt wurde, benachrichtigen Sie Ihren Storage-Administrator, dass die Daten bereit sind, damit dieser den Wiederherstellungsprozess einleiten kann.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

    Seite „Warnungen“

  2. Wählen Sie auf der Seite „Warnungen“ die Warnung aus.

  3. Überprüfen Sie die Vorfälle in der Warnung.

    Seite „Warnvorfälle“

  4. Wenn Sie feststellen, dass die Vorfälle zur Wiederherstellung bereit sind, wählen Sie Als Wiederherstellung erforderlich markieren.

  5. Bestätigen Sie die Aktion und wählen Sie Als Wiederherstellung erforderlich markieren.

  6. Um die Workload-Wiederherstellung zu starten, wählen Sie in der Nachricht „Workload wiederherstellen“ oder wählen Sie die Registerkarte „Wiederherstellung“ aus.

Ergebnis

Nachdem die Warnung zur Wiederherstellung markiert wurde, wird sie von der Registerkarte „Warnungen“ zur Registerkarte „Wiederherstellung“ verschoben.

Vorfälle abweisen, bei denen es sich nicht um potenzielle Angriffe handelt

Nachdem Sie die Vorfälle überprüft haben, müssen Sie feststellen, ob es sich bei den Vorfällen um potenzielle Angriffe handelt. Wenn es sich nicht um tatsächliche Bedrohungen handelt, können sie als unbegründet abgetan werden.

Sie können Fehlalarme ignorieren oder sich für eine sofortige Wiederherstellung Ihrer Daten entscheiden. Wenn Sie die Warnung ignorieren, lernt Ransomware Resilience dieses Verhalten und ordnet es dem normalen Betrieb zu, sodass bei einem solchen Verhalten keine Warnung mehr ausgelöst wird.

Wenn Sie eine Arbeitslast verwerfen, werden alle Snapshot-Kopien, die automatisch als Reaktion auf einen potenziellen Ransomware-Angriff erstellt wurden, dauerhaft gelöscht.

Achtung Wenn Sie eine Warnung verwerfen, können Sie ihren Status nicht ändern oder diese Änderung rückgängig machen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console" .

Schritte

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

    Seite „Warnungen“

  2. Wählen Sie auf der Seite „Warnungen“ die Warnung aus.

    Seite „Warnvorfälle“

  3. Wählen Sie einen oder mehrere Vorfälle aus. Alternativ können Sie alle Vorfälle auswählen, indem Sie das Feld „Vorfalls-ID“ oben links in der Tabelle anklicken.

  4. Wenn Sie feststellen, dass der Vorfall keine Bedrohung darstellt, verwerfen Sie ihn als falsch-positives Ergebnis:

    • Wählen Sie den Vorfall aus.

    • Wählen Sie die Schaltfläche Status bearbeiten über der Tabelle.

      Seite „Alarmstatus bearbeiten“

  5. Wählen Sie im Dialogfeld „Status bearbeiten“ den Status Abgelehnt aus.

    Es werden zusätzliche Informationen über die Arbeitslast und das Löschen der Snapshot-Kopien angezeigt.

  6. Wählen Sie Speichern.

    Der Status des Vorfalls bzw. der Vorfälle ändert sich zu „Abgewiesen“.

Liste der betroffenen Dateien anzeigen

Bevor Sie eine Anwendungs-Workload auf Dateiebene wiederherstellen, können Sie eine Liste der betroffenen Dateien anzeigen. Sie können auf die Seite „Warnungen“ zugreifen, um eine Liste der betroffenen Dateien herunterzuladen. Verwenden Sie dann die Wiederherstellungsseite, um die Liste hochzuladen und auszuwählen, welche Dateien wiederhergestellt werden sollen.

Erforderliche Konsolenrolle Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Organisationsadministrator“, „Ordner- oder Projektadministrator“ oder „Ransomware Resilience-Administrator“. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console" .

Schritte

Verwenden Sie die Seite „Warnungen“, um die Liste der betroffenen Dateien abzurufen.

Tipp Wenn ein Volume mehrere Warnungen aufweist, müssen Sie möglicherweise für jede Warnung die CSV-Liste der betroffenen Dateien herunterladen.

  1. Wählen Sie im Menü „Ransomware Resilience“ die Option „Warnungen“ aus.

  2. Sortieren Sie auf der Seite „Warnungen“ die Ergebnisse nach Arbeitslast, um die Warnungen für die Anwendungsarbeitslast anzuzeigen, die Sie wiederherstellen möchten.

  3. Wählen Sie aus der Liste der Warnungen für diese Arbeitslast eine Warnung aus.

  4. Wählen Sie für diese Warnung einen einzelnen Vorfall aus.

    Liste der betroffenen Dateien für eine bestimmte Warnung

  5. Wählen Sie für diesen Vorfall das Download-Symbol aus, um die Liste der betroffenen Dateien im CSV-Format herunterzuladen.