Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Automatisierte Reaktionen auf Benutzeraktivitätswarnungen in NetApp Ransomware Resilience

Beitragende netapp-ahibbard
Änderungen vorschlagen

NetApp Ransomware Resilience unterstützt die Erstellung automatisierter Reaktionen auf "Benutzeraktivitätsereignisse". Mit automatisierten Reaktionen kann Ransomware Resilience einen Snapshot erstellen oder einen Benutzer sperren, wenn ein Angriff oder eine Warnung erkannt wird, was eine schnellere Reaktion auf Ransomware-Ereignisse ermöglicht.

Automatisierte Antworten werden für Verschlüsselung (Benutzerverhalten), Datenschutzverletzungen und Datenzerstörungsereignisse unterstützt. Sie müssen "einen Benutzeraktivitätsagenten konfiguriert, eine Richtlinie mit Benutzeraktivitätserkennung aktiviert und einen Benutzerverzeichnis-Connector erstellt" haben, bevor eine automatisierte Antwort erstellt werden kann.

Eine automatisierte Antwort erstellen

Es kann nur eine Storage-VM mit mindestens einer Arbeitslast geschützt werden, die durch eine Richtlinie zur Erkennung verdächtigen Benutzerverhaltens geschützt ist.

Schritte
  1. Unter Ransomware Resilience wählen Sie Einstellungen.

  2. Im Feld „Benutzeraktivitätsüberwachung“ Verwalten auswählen.

  3. Die Registerkarte Automatisierte Antworten auswählen.

  4. Hinzufügen auswählen, um das Verhalten zu erstellen.

  5. Einen Namen für die automatisierte Antwort eingeben.

  6. Wählen Sie den Ereignistyp, der die Reaktion auslöst: Angriff oder Warnung. Weitere Informationen zu den verschiedenen "Arten von Warnungen".

  7. Wählen Sie die Antwort aus:

    • Benutzerzugriff sperren: Der Benutzer wird von allen durch NetApp Ransomware Resilience geschützten Storage-VMs gesperrt, wenn die Warnung ausgelöst wird.

      Wenn Sie diese Option wählen, müssen Sie auch die Dauer der Sperre festlegen. Diese kann zwischen 1 und 24 Stunden oder dauerhaft sein.

    • Snapshots erstellen: Ein Snapshot der betroffenen Workloads wird zur möglichen Wiederherstellung erstellt. Die Snapshots werden sieben Tage lang aufbewahrt.

  8. Wählen Sie die Alarmtypen aus, die die automatisierte Reaktion auslösen:

    Alarmtyp

    Beschreibung

    Verschlüsselung (Benutzerverhalten)

    Ransomware Resilience erkennt anomale Lese-, Schreib- und Umbenennungsaktivitäten von Dateien, die von einem bestimmten Benutzer durchgeführt werden.

    Datenpanne

    Ransomware Resilience erkennt anomale Dateilesemuster, die von einem bestimmten Benutzer durchgeführt werden.

    Datenvernichtung

    Ransomware Resilience erkennt die massenhafte Löschung von Dateien durch einen bestimmten Benutzer.

  9. Wählen Sie die Storage-VMs aus, auf die die automatisierte Antwort angewendet werden soll.

  10. Hinzufügen auswählen, um die automatische Antwort zu erstellen.

Eine automatisierte Antwort ändern

Nachdem eine automatische Antwort erstellt wurde, besteht die Möglichkeit, die Antwort zu pausieren, neu zu starten oder zu ändern. Der Name der Antwort, die Alarmtypen, die die Antwort auslösen, die Storage-VMs und die durchgeführte Aktion können geändert werden.

Schritte
  1. Unter Ransomware Resilience wählen Sie Einstellungen.

  2. Im Feld „Benutzeraktivitätsüberwachung“ Verwalten auswählen.

  3. Die Registerkarte Automatisierte Antworten auswählen.

  4. Wählen Sie die automatisierte Antwort aus, die Sie ändern möchten.

  5. Um die Antwort anzuhalten oder zu löschen, im Aktionsmenü Pause (oder Start) oder Löschen auswählen.

    Um die Antwort zu ändern, Bearbeiten auswählen.

  6. Sie können alle Einstellungen ändern, außer dem Schweregrad des Alarms.

  7. Speichern auswählen, um die Änderungen zu übernehmen.