Skip to main content
BlueXP ransomware protection
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Responder a una alerta de ransomware detectada

Colaboradores
PDF

Si la protección frente al ransomware de BlueXP detecta un posible ataque, aparece una alerta en el panel de protección contra ransomware de BlueXP y en las notificaciones de BlueXP en la parte superior derecha que indican un posible ataque de ransomware. El servicio también inicia inmediatamente la creación de una copia snapshot. En este punto, deberías analizar el riesgo potencial en la pestaña Alertas de protección contra ransomware de BlueXP.

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato.

Consejo Si decide ignorar la alerta, el servicio aprenderá este comportamiento y lo asociará con las operaciones normales y no iniciará una alerta sobre dicho comportamiento de nuevo.

Para comenzar a recuperar los datos, marque la alerta como lista para la recuperación para que el administrador de almacenamiento pueda comenzar el proceso de recuperación.

Cada alerta podría tener varios incidentes en volúmenes diferentes con estados diferentes, así que asegúrese de revisar todos los incidentes.

El servicio proporciona información llamada Evidence sobre qué causó que se emitiera la alerta, como la siguiente:

  • Las extensiones de archivo se han creado o cambiado

  • Se ha producido la creación del archivo y se ha aumentado en un porcentaje mostrado

  • Se ha suprimido el archivo y se ha aumentado en un porcentaje mostrado

Una alerta se basa en los siguientes tipos de comportamiento:

  • Ataque potencial: Una alerta se produce cuando Autonomous Ransomware Protection detecta una nueva extensión y la ocurrencia se repite más de 20 veces en las últimas 24 horas (comportamiento predeterminado).

  • Advertencia: Se produce una advertencia basada en los siguientes comportamientos:

    • La detección de una nueva extensión no se ha identificado antes y el mismo comportamiento no se repite las veces suficientes para declararla como un ataque.

    • Se observa una alta entropía.

    • Las operaciones de lectura/escritura/cambio de nombre/eliminación de archivos han experimentado un aumento del 100% de la actividad más allá de la línea base.

La evidencia se basa en la información de la Protección Autónoma contra el ransomware de ONTAP. Para obtener más información, consulte "Información general sobre la protección de ransomware autónoma".

Una alerta puede tener uno de los siguientes estados:

  • Nuevo

  • Inactivo

Un incidente de alerta se clasifica en uno de los siguientes estados:

  • Nuevo: Todos los incidentes se marcan como “nuevos” cuando se identifican por primera vez.

  • Descartado: Si sospechas que la actividad no es un ataque de ransomware, puedes cambiar el estado a “Descartado”.

    Precaución Después de que descartes un ataque, no puedes cambiarlo de nuevo. Si descarta una carga de trabajo, todas las copias de SnapVault que se hagan automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

  • Descartar: El incidente está en proceso de ser despedido.

  • Resuelto: El incidente ha sido mitigado.

Ver las alertas

Puedes acceder a alertas desde el Panel de protección contra ransomware de BlueXP o desde la pestaña * Alertas *.

Pasos

  1. En la consola de protección contra ransomware de BlueXP, revisa el panel Alertas.

  2. Selecciona Ver todo debajo de una de las estatuas.

  3. Haga clic en una alerta para revisar todos los incidentes en cada volumen de cada alerta.

  4. Para revisar alertas adicionales, haga clic en Alert en las rutas de navegación en la parte superior izquierda.

  5. Revise las alertas en la página Alertas.

    Alertas

  6. Continuar:

Marcar los incidentes de ransomware como listos para la recuperación (después de neutralizar los incidentes)

Una vez que haya mitigado el ataque y esté listo para recuperar cargas de trabajo, debe comunicarse con el equipo de administrador de almacenamiento que los datos están listos para la recuperación, de modo que puedan iniciar el proceso de recuperación.

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alertas

  4. Si determina que los incidentes están listos para la recuperación, seleccione Marcar restauración necesaria.

  5. Confirme la acción y seleccione Mark restore needed.

  6. Para iniciar la recuperación de la carga de trabajo, seleccione Recuperar carga de trabajo en el mensaje o seleccione la pestaña Recuperar.

Resultado

Una vez que se marca la alerta para restaurar, la alerta pasa de la pestaña Alertas a la pestaña Recuperación.

Descarte los incidentes que no sean ataques potenciales

Después de revisar los incidentes, debe determinar si los incidentes son posibles ataques. Si no, pueden ser despedidos.

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato. Si decide ignorar la alerta, el servicio aprenderá este comportamiento y lo asociará con las operaciones normales y no iniciará una alerta sobre dicho comportamiento de nuevo.

Si descarta una carga de trabajo, todas las copias de SnapVault que se hagan automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

Precaución Si descarta una alerta, no puede volver a cambiar ese estado a otro estado y no puede deshacer este cambio.
Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

    Página Incidentes de Alertas

  3. Seleccione uno o más incidentes. O bien, seleccione todos los incidentes seleccionando el cuadro ID de incidente en la parte superior izquierda de la tabla.

  4. Si usted determina que el incidente no es una amenaza, descarte como un falso positivo:

    • Si seleccionaste un incidente, selecciona la opción Acciones … Icono a la derecha, selecciona Editar estado.

    • Si seleccionó varios incidentes, seleccione el botón Editar estado encima de la tabla.

      Editar Estado de Alerta

  5. En el cuadro Editar estado, seleccione el estado “Despedido”.

    Se muestra información adicional sobre la carga de trabajo y qué copias Snapshot se eliminarán.

  6. Seleccione Guardar.

    El estado del incidente o los incidentes cambia a “Despedido”.

Ver una lista de archivos afectados

Antes de restaurar una carga de trabajo de la aplicación en el nivel de archivos, puede ver una lista de archivos afectados. Puede acceder a la página Alertas para descargar una lista de archivos afectados. A continuación, utilice la página Recuperación para cargar la lista y elegir qué archivos restaurar.

Pasos

Utilice la página Alertas para recuperar la lista de archivos afectados.

Consejo Si un volumen tiene varias alertas, es posible que deba descargar la lista CSV de archivos afectados de cada alerta.

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. En la página Alerts, ordene los resultados por carga de trabajo para mostrar las alertas de la carga de trabajo de la aplicación que desea restaurar.

  3. En la lista de alertas para esa carga de trabajo, seleccione una alerta.

  4. Para esa alerta, seleccione un único incidente.

    lista de archivos afectados para una alerta específica

  5. Para ese incidente, seleccione el icono de descarga y descargue la lista de archivos afectados en formato CSV.