Skip to main content
BlueXP ransomware protection
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Realice un simulacro de preparación para ataques de ransomware en la protección contra ransomware de BlueXP

Colaboradores amgrissino netapp-ahibbard
PDF

Realice un simulacro de preparación ante un ataque de ransomware simulando un ataque en una nueva carga de trabajo de muestra. Investigue el ataque simulado y recupere la carga de trabajo. Utilice esta función para probar las notificaciones de alerta, la respuesta y la recuperación. Realice el simulacro con la frecuencia necesaria.

Consejo Sus datos de carga de trabajo reales no se verán afectados.

Puede ejecutar simulacros de preparación en cargas de trabajo NFS y CIFS (SMB).

Configurar un simulacro de preparación para el ataque de ransomware

Antes de ejecutar una simulación, configure un ejercicio en la página Configuración. Acceda a ella desde la opción "Acciones" del menú superior.

Necesitará ingresar un nombre de usuario y contraseña para las siguientes situaciones:

  • Si se produjeron cambios de nombre de usuario o contraseña para la máquina virtual de almacenamiento seleccionada anteriormente

  • Si selecciona una máquina virtual de almacenamiento CIFS (SMB) diferente

  • Si ingresa un nombre de carga de trabajo de prueba diferente

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. Desde el menú de protección contra ransomware BlueXP, seleccione el botón Ejecutar simulacro de preparación en la parte superior derecha.

    Página del panel que muestra el botón de simulacro de preparación para la ejecución

  2. En la tarjeta de perforación de preparación de la página Configuración, seleccione Configurar.

    BlueXP muestra la página Configurar simulacro de preparación.

    Configurar página de detalle de preparación

  3. Haga lo siguiente:

    1. Seleccione el conector BlueXP  que desea utilizar para el detalle de preparación.

    2. Seleccione un entorno de trabajo de prueba.

    3. Seleccione una SVM de almacenamiento de prueba.

    4. Si seleccionó una máquina virtual de almacenamiento CIFS (SMB), aparecerán los campos "Nombre de usuario" y "Contraseña". Ingrese el nombre de usuario y la contraseña de la máquina virtual de almacenamiento.

    5. Introduzca el nombre de una nueva carga de trabajo de prueba que se creará. No incluya guiones en el nombre.

  4. Seleccione Guardar.

Consejo Puede editar la configuración de cambio de nivel de preparación más tarde mediante la página Configuración.

Iniciar un ejercicio de preparación

Después de configurar el cambio de nivel de disponibilidad, puede iniciar el cambio de nivel.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Cuando inicias el simulacro de preparación, la protección contra ransomware de BlueXP  omite el modo de aprendizaje y inicia la simulacro en el modo activo. El estado de detección de la carga de trabajo es Activo.

Consejo Una carga de trabajo puede tener un estado de Modo de aprendizaje de detección de ransomware cuando se asigna recientemente una política de detección y el servicio escanea las cargas de trabajo.
Pasos

  1. Debe realizar una de las siguientes acciones:

    • Desde el menú de protección contra ransomware BlueXP, seleccione el botón Ejecutar simulacro de preparación en la parte superior derecha.

      Página del panel que muestra el botón de simulacro de preparación para la ejecución

    • O bien, en la página Configuración, en la tarjeta de perforación de preparación, seleccione Inicio.

  2. Si ya ha configurado el taladro de preparación, después de seleccionar Start, comienza el taladro de preparación.

Nota Una vez iniciado el cambio de nivel, no puede editar la configuración de cambio de nivel de disponibilidad. Puede restablecerla para que comience de nuevo.

Responder a una alerta de detalle de disponibilidad

Pruebe su preparación respondiendo a una alerta de disponibilidad detallada.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    BlueXP muestra la página de Alertas. En la columna ID de alerta, verá "Simulacro de preparación" junto al ID.

    Página Alertas que muestra la alerta de detalle de disponibilidad

  2. Seleccione la alerta con la indicación de detalle de preparación. Aparece una lista de alertas de incidentes en la página de detalles Alertas.

    Página de detalles de alertas que muestra la alerta de detalle de disponibilidad

  3. Revise los incidentes de alerta.

  4. Seleccione un incidente de alerta.

    Página Incidente en la que se muestra la alerta de detalle de disponibilidad

Aquí hay algunas cosas a buscar:

  • Mira el tipo de ataque potencial.

    Si el Tipo indica que se sospecha que un usuario tiene actividad maliciosa, revise el nombre de usuario. Es posible que desee investigar más al usuario en Data Infrastructure Insights Workload Security seleccionando Investigar en Workload Security.

  • Observe la actividad de los archivos y los posibles procesos:

    • Observe los datos entrantes detectados en comparación con los datos esperados.

    • Observe la tasa de creación de los archivos que se detectan en comparación con la tasa esperada.

    • Observe la tasa de cambio de nombre de archivo que se detecta en comparación con la tasa esperada.

    • Observe la tasa de eliminación en comparación con la tasa esperada.

  • Consulte la lista de archivos afectados. Mira las extensiones que podrían estar causando el ataque.

  • Determine el impacto y la amplitud del ataque revisando el número de archivos y directorios afectados.

Restaure la carga de trabajo de prueba

Después de revisar la alerta del simulacro de preparación, restaure la carga de trabajo de prueba si es necesario.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. Vuelva a la página Detalles de Alerta.

  2. Si se debe restaurar la carga de trabajo de prueba, haga lo siguiente:

    • Seleccione Mark restore needed.

    • Revise la confirmación y seleccione Mark restore needed en el cuadro de confirmación.

      • En el menú de protección contra ransomware de BlueXP, selecciona Recuperación.

      • Seleccione la carga de trabajo de prueba marcada con el detalle de preparación que desea restaurar.

      • Seleccione Restaurar.

      • En la página Restore, proporcione información para el restauración:

    • Seleccione la copia Snapshot de origen.

    • Seleccione el volumen de destino.

  3. En la página Restaurar revisión, seleccione Restaurar.

    BlueXP muestra el estado de la restauración del simulacro de preparación como "En progreso" en la página Recuperación.

    Una vez completada la restauración, BlueXP cambia el estado de la carga de trabajo a Restaurado.

  4. Revise la carga de trabajo restaurada.

Consejo Para obtener detalles sobre el proceso de restauración, consulte "Recuperarse de un ataque de ransomware (después de neutralizar los incidentes)".

Cambie el estado de las alertas después del cambio de nivel de disponibilidad

Después de revisar la alerta del simulacro de preparación y restaurar la carga de trabajo, cambie el estado de la alerta si es necesario.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. Vuelva a la página Detalles de Alerta.

  2. Seleccione de nuevo la alerta.

  3. Indique el estado seleccionando Editar estado y cambie el estado a uno de los siguientes:

    • Descartado: Si sospecha que la actividad no es un ataque de ransomware, cambie el estado a Descartado.

      Importante Después de que descartes un ataque, no puedes cambiarlo de nuevo. Si descarta una carga de trabajo, todas las copias de snapshots realizadas automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente. Si descarta la alerta, se considera finalizado el detalle de disponibilidad.

    • Resuelto: El incidente ha sido mitigado.

Permite revisar informes sobre el detalle de disponibilidad

Una vez finalizada la profundización de preparación, es posible que desee revisar y guardar un informe en la profundización.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, administrador de protección contra ransomware o rol de visualizador de ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Informes.

    Página Informes en la que se muestra el informe de detalles de preparación

  2. Seleccione Taladros de preparación y Descargar para descargar el informe de ejercicios de preparación.