Skip to main content
BlueXP ransomware protection
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Responder a una alerta de ransomware detectada

Colaboradores
PDF

Si la protección frente al ransomware de BlueXP detecta un posible ataque, aparece una alerta en el panel de protección contra ransomware de BlueXP y en las notificaciones de BlueXP en la parte superior derecha que indican un posible ataque de ransomware. El servicio también inicia inmediatamente la realización de una copia snapshot. En este punto, deberías analizar el riesgo potencial en la pestaña Alertas de protección contra ransomware de BlueXP.

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato.

Consejo Si decide ignorar la alerta, el servicio aprenderá este comportamiento y lo asociará con las operaciones normales y no iniciará una alerta sobre dicho comportamiento de nuevo.

Para comenzar a recuperar los datos, marque la alerta como lista para la recuperación para que el administrador de almacenamiento pueda comenzar el proceso de recuperación.

Cada alerta podría tener varios incidentes en volúmenes diferentes con estados diferentes, así que asegúrese de revisar todos los incidentes.

El servicio proporciona información llamada Evidence sobre qué causó que se emitiera la alerta, como la siguiente:

  • Las extensiones de archivo se han creado o cambiado

  • Se ha producido la creación del archivo y se ha aumentado en un porcentaje mostrado

  • Se ha suprimido el archivo y se ha aumentado en un porcentaje mostrado

Una alerta se basa en los siguientes tipos de comportamiento:

  • Ataque potencial: Una alerta se produce cuando Autonomous Ransomware Protection detecta una nueva extensión y la ocurrencia se repite más de 20 veces en las últimas 24 horas (comportamiento predeterminado).

  • Advertencia: Se produce una advertencia basada en los siguientes comportamientos:

    • La detección de una nueva extensión no se ha identificado antes y el mismo comportamiento no se repite las veces suficientes para declararla como un ataque.

    • Se observa una alta entropía.

    • Las operaciones de lectura/escritura/cambio de nombre/eliminación de archivos han experimentado un aumento del 100% de la actividad más allá de la línea base.

La evidencia se basa en la información de la Protección Autónoma contra el ransomware de ONTAP. Para obtener más información, consulte "Información general sobre la protección de ransomware autónoma".

Una alerta puede tener uno de los siguientes estados:

  • Nuevo

  • Inactivo

Un incidente de alerta se clasifica en uno de los siguientes estados:

  • Nuevo: Todos los incidentes se marcan como “nuevos” cuando se identifican por primera vez.

  • Descartado: Si sospechas que la actividad no es un ataque de ransomware, puedes cambiar el estado a “Descartado”.

    Precaución Después de que descartes un ataque, no puedes cambiarlo de nuevo. Si descarta una carga de trabajo, todas las copias de SnapVault que se hagan automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

  • Descartar: El incidente está en proceso de ser despedido.

  • Resuelto: El incidente ha sido mitigado.

Ver las alertas

Puedes acceder a las alertas desde el Panel de protección contra ransomware de BlueXP  o desde la pestaña Alertas.

Pasos

  1. En la consola de protección contra ransomware de BlueXP, revisa el panel Alertas.

  2. Seleccione Ver todo en uno de los estados.

  3. Haga clic en una alerta para revisar todos los incidentes en cada volumen de cada alerta.

  4. Para revisar alertas adicionales, haga clic en Alert en las rutas de navegación en la parte superior izquierda.

  5. Revise las alertas en la página Alertas.

    Alertas

  6. Continuar:

Detectar actividades maliciosas y comportamientos anómalos de los usuarios

Si mira la pestaña Alertas, puede identificar si hay actividad maliciosa. Los detalles que aparecen dependen de cómo se activó la alerta:

  • Desencadenado por la función autónoma de protección frente a ransomware de ONTAP. De esta forma, se detecta la actividad maliciosa según el comportamiento de los archivos en el volumen.

  • Desencadenado por la seguridad de la carga de trabajo de Data Infrastructure Insights. Esto requiere una licencia para la seguridad de cargas de trabajo de información de la infraestructura de datos y que la habilita en la protección frente al ransomware de BlueXP . Esta función detecta un comportamiento anómalo de los usuarios en tus cargas de trabajo de almacenamiento y te permite bloquear a ese usuario para que no permita continuar accediendo.

    Para habilitar la Seguridad de carga de trabajo en la protección contra ransomware de BlueXP , vaya a la página Configuración y seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener información general sobre la seguridad de la carga de trabajo de la información sobre la infraestructura de datos, revise "Acerca de Workload Security"

Consejo Si no tiene una licencia para Seguridad de carga de trabajo de la infraestructura de datos y no la habilita en la protección contra ransomware de BlueXP , no verá información anómala sobre el comportamiento de los usuarios.

Cuando se produce una actividad maliciosa, se genera una alerta y se realiza una instantánea automatizada.

Ver solo actividad maliciosa de Autonomous Ransomware Protection

Cuando la protección autónoma contra ransomware activa una alerta en la protección contra ransomware de BlueXP , puedes ver los siguientes detalles:

  • La entropía de datos entrantes

  • Tasa de creación esperada de nuevos archivos en comparación con la tasa detectada

  • Tasa de eliminación esperada de los archivos en comparación con la velocidad detectada

  • Tasa de cambio de nombre esperada de los archivos en comparación con la velocidad detectada

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alertas

  4. Seleccione un incidente para revisar los detalles del incidente.

    Página de detalles del incidente

Vea el comportamiento anómalo de un usuario en Seguridad de cargas de trabajo de información de la infraestructura de datos

Cuando la seguridad de las cargas de trabajo de información de la infraestructura de datos activa una alerta en la protección contra ransomware de BlueXP , puedes ver el usuario sospechoso, bloquearlo e investigar la actividad del usuario directamente en Seguridad de las cargas de trabajo de información de la infraestructura de datos.

Consejo Estas características son además de los detalles disponibles en Protección autónoma contra ransomware.
Antes de empezar

Esta opción requiere una licencia para la seguridad de cargas de trabajo de información de la infraestructura de datos y que la habilite en la protección contra ransomware de BlueXP .

Para habilitar la seguridad de las cargas de trabajo en la protección contra ransomware de BlueXP , haga lo siguiente:

  1. Vaya a la página Settings.

  2. Seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener más información, consulte "Configura las opciones de protección contra ransomware de BlueXP".

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alerta en la que se muestran los detalles de Seguridad de Carga

  4. Para bloquear a un usuario sospechoso de acceso adicional en su entorno que es monitoreado por BlueXP , seleccione el enlace Bloquear usuario.

  5. Investigue la alerta o un incidente en la alerta:

    1. Para investigar más a fondo la alerta en Data Infrastructure Insights Workload Security, seleccione el enlace Investigar en seguridad de carga de trabajo.

    2. Seleccione un incidente para revisar los detalles del incidente.

      Página de detalles de incidente que muestra los detalles de seguridad de carga de trabajo

      Información sobre la infraestructura de datos Workload Security se abre en una nueva pestaña.

    Investigue en Seguridad de Carga de Trabajo

Marcar los incidentes de ransomware como listos para la recuperación (después de neutralizar los incidentes)

Una vez que haya mitigado el ataque y esté listo para recuperar cargas de trabajo, debe comunicarse con el equipo de administrador de almacenamiento que los datos están listos para la recuperación, de modo que puedan iniciar el proceso de recuperación.

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alertas

  4. Si determina que los incidentes están listos para la recuperación, seleccione Marcar restauración necesaria.

  5. Confirme la acción y seleccione Mark restore needed.

  6. Para iniciar la recuperación de la carga de trabajo, seleccione Recuperar carga de trabajo en el mensaje o seleccione la pestaña Recuperar.

Resultado

Una vez que se marca la alerta para restaurar, la alerta pasa de la pestaña Alertas a la pestaña Recuperación.

Descarte los incidentes que no sean ataques potenciales

Después de revisar los incidentes, debe determinar si los incidentes son posibles ataques. Si no, pueden ser despedidos.

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato. Si decide ignorar la alerta, el servicio aprenderá este comportamiento y lo asociará con las operaciones normales y no iniciará una alerta sobre dicho comportamiento de nuevo.

Si descarta una carga de trabajo, todas las copias de SnapVault que se hagan automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

Precaución Si descarta una alerta, no puede volver a cambiar ese estado a otro estado y no puede deshacer este cambio.
Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

    Página Incidentes de Alertas

  3. Seleccione uno o más incidentes. O bien, seleccione todos los incidentes seleccionando el cuadro ID de incidente en la parte superior izquierda de la tabla.

  4. Si usted determina que el incidente no es una amenaza, descarte como un falso positivo:

    • Seleccione el incidente.

    • Seleccione el botón Editar estado encima de la tabla.

      Editar Estado de Alerta

  5. En el cuadro Editar estado, seleccione el estado “Despedido”.

    Se muestra información adicional sobre la carga de trabajo y qué copias Snapshot se eliminarán.

  6. Seleccione Guardar.

    El estado del incidente o los incidentes cambia a “Despedido”.

Ver una lista de archivos afectados

Antes de restaurar una carga de trabajo de la aplicación en el nivel de archivos, puede ver una lista de archivos afectados. Puede acceder a la página Alertas para descargar una lista de archivos afectados. A continuación, utilice la página Recuperación para cargar la lista y elegir qué archivos restaurar.

Pasos

Utilice la página Alertas para recuperar la lista de archivos afectados.

Consejo Si un volumen tiene varias alertas, es posible que deba descargar la lista CSV de archivos afectados de cada alerta.

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. En la página Alerts, ordene los resultados por carga de trabajo para mostrar las alertas de la carga de trabajo de la aplicación que desea restaurar.

  3. En la lista de alertas para esa carga de trabajo, seleccione una alerta.

  4. Para esa alerta, seleccione un único incidente.

    lista de archivos afectados para una alerta específica

  5. Para ese incidente, seleccione el icono de descarga y descargue la lista de archivos afectados en formato CSV.