Skip to main content
BlueXP ransomware protection
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Simule un ataque de ransomware simulando el estado de preparación

Colaboradores
PDF

Lleve a cabo un simulacro de ataque de ransomware en una carga de trabajo de muestra recién creada. A continuación, investigue el ataque simulado y recupere la carga de trabajo de muestra. Esta función te ayuda a saber que estás preparado en caso de un ataque real de ransomware mediante la prueba de los procesos de notificación de alertas, respuesta y recuperación. Puede realizar un simulacro de preparación contra el ransomware en varias ocasiones.

Consejo No se verá afectada su información de carga de trabajo real.

Configurar un simulacro de preparación para el ataque de ransomware

Antes de realizar una simulación, debe configurar un cambio de nivel mediante la página Configuración. Puede acceder fácilmente a la página Configuración desde la opción Acciones cerca del menú superior.

Pasos

  1. En el menú de protección contra ransomware de BlueXP, seleccione la opción vertical Acciones verticales…​ opción en la parte superior derecha.

  2. En el menú desplegable, selecciona Ajustes.

  3. En la tarjeta de perforación de preparación de la página Configuración, seleccione Configurar.

    Aparecerá la página Configurar detalle de preparación.

    Configurar página de detalle de preparación

  4. Seleccione el conector BlueXP  que desea utilizar para el detalle de preparación.

  5. Seleccione un entorno de trabajo de prueba.

  6. Introduzca el nombre de una nueva carga de trabajo de prueba que se creará.

  7. Seleccione Guardar.

Consejo Puede editar la configuración de cambio de nivel de preparación más tarde mediante la página Configuración.

Iniciar un ejercicio de preparación

Después de configurar el cambio de nivel de disponibilidad, puede iniciar el cambio de nivel.

Pasos

  1. Debe realizar una de las siguientes acciones:

    • En el menú Configuración de protección contra ransomware de BlueXP , selecciona Perforación de preparación y, a continuación, en la página de perforación de preparación, selecciona Inicio.

    • O bien, en la página Configuración, en la tarjeta de perforación de preparación, seleccione Inicio.

  2. Si ya ha configurado el taladro de preparación, después de seleccionar Start, comienza el taladro de preparación.

Nota Una vez iniciado el cambio de nivel, no puede editar la configuración de cambio de nivel de disponibilidad. Puede restablecerla para que comience de nuevo.

Responder a una alerta de detalle de disponibilidad

Pruebe su preparación respondiendo a una alerta de disponibilidad detallada.

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Aparece la página Alertas. En la columna ID de alerta, aparece el indicador de disponibilidad junto al ID.

  2. Seleccione la alerta con la indicación de detalle de preparación. Aparece una lista de alertas de incidentes.

    Página Alertas que muestra la alerta de detalle de disponibilidad

  3. Revise los incidentes de alerta.

  4. Seleccione un incidente de alerta.

    Página Incidente en la que se muestra la alerta de detalle de disponibilidad

    Aquí hay algunas cosas a buscar:

    • Mira el tipo de ataque potencial. Si el Tipo indica que se sospecha que un usuario tiene actividad maliciosa, revise el nombre de usuario.

      • También es posible que desee investigar más al usuario en Data Infrastructure Insights Workload Security seleccionando Investigar en Workload Security.

    • Observe la actividad de los archivos y los posibles procesos:

      • Observe los datos entrantes detectados en comparación con los datos esperados.

      • Observe la tasa de creación de los archivos que se detectan en comparación con la tasa esperada.

      • Observe la tasa de cambio de nombre de archivo que se detecta en comparación con la tasa esperada.

      • Observe la tasa de eliminación en comparación con la tasa esperada.

    • Consulte la lista de archivos afectados. Mira las extensiones que podrían estar causando el ataque.

    • Determine el impacto y la amplitud del ataque revisando el número de archivos y directorios afectados.

Restaure la carga de trabajo de prueba

Después de revisar la alerta de detalle de disponibilidad, es posible que desee restaurar la carga de trabajo de prueba.

Pasos

  1. Vuelva a la página Detalles de Alerta.

  2. Si se debe restaurar la carga de trabajo de prueba, haga lo siguiente:

    • Seleccione Mark restore needed.

    • Revise la confirmación y seleccione Mark restore needed en el cuadro de confirmación.

      • En el menú de protección contra ransomware de BlueXP, selecciona Recuperación.

      • Seleccione la carga de trabajo de prueba marcada con el detalle de preparación que desea restaurar.

      • Seleccione Restaurar.

      • En la página Restore, proporcione información para el restauración:

    • Seleccione la copia Snapshot de origen.

    • Seleccione el volumen de destino.

  3. En la página Restaurar revisión, seleccione Restaurar.

    La página Recuperación muestra el estado de la restauración de detalles de preparación como en curso.

    Una vez completada la restauración, el estado de la carga de trabajo cambia a restored.

  4. Revise la carga de trabajo restaurada.

Consejo Para obtener detalles sobre el proceso de restauración, consulte "Recuperarse de un ataque de ransomware (después de neutralizar los incidentes)".

Cambie el estado de las alertas después del cambio de nivel de disponibilidad

Después de revisar la alerta de detalle de disponibilidad y restaurar la carga de trabajo, es posible que desee cambiar el estado de la alerta.

Pasos

  1. Vuelva a la página Detalles de Alerta.

  2. Seleccione de nuevo la alerta.

  3. Indique el estado seleccionando Editar y cambie el estado a uno de los siguientes:

    • Descartado: Si sospecha que la actividad no es un ataque de ransomware, cambie el estado a Descartado.

      Importante Después de que descartes un ataque, no puedes cambiarlo de nuevo. Si descarta una carga de trabajo, todas las copias de snapshots realizadas automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente. Si descarta la alerta, se considera finalizado el detalle de disponibilidad.

    • En curso

    • Resuelto: El incidente ha sido mitigado.