Skip to main content
BlueXP ransomware protection
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione las alertas de ransomware detectadas con la protección contra ransomware de BlueXP

Colaboradores amgrissino netapp-ahibbard
PDF

Cuando la protección contra ransomware de BlueXP detecta un posible ataque, muestra una alerta en el Panel de Control y en el área de Notificaciones. El servicio toma una instantánea inmediatamente. Revise el riesgo potencial en la pestaña Alertas de la protección contra ransomware de BlueXP.

Si la BlueXP ransomware protection detecta un posible ataque, se mostrará una notificación en las Notificaciones de BlueXP y se enviará un correo electrónico a la dirección configurada. El correo electrónico incluye información sobre la gravedad, la carga de trabajo afectada y un enlace a la alerta en la pestaña Alertas de la BlueXP ransomware protection .

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato.

Consejo Si descarta la alerta, el servicio aprende este comportamiento, lo asocia con operaciones normales y no vuelve a iniciar una alerta al respecto.

Para comenzar a recuperar los datos, marque la alerta como lista para la recuperación para que el administrador de almacenamiento pueda comenzar el proceso de recuperación.

Cada alerta puede incluir varios incidentes en diferentes volúmenes y estados. Revise todos los incidentes.

El servicio proporciona información llamada Evidence sobre qué causó que se emitiera la alerta, como la siguiente:

  • Las extensiones de archivo se han creado o cambiado

  • Creación de archivos con una comparación de las tasas detectadas frente a las previstas

  • Eliminación de archivos con una comparación de las tasas detectadas frente a las esperadas

  • Cuando el cifrado es alto, sin cambios de extensión de archivo

Una alerta se clasifica como una de las siguientes:

  • Ataque potencial: Una alerta se produce cuando Autonomous Ransomware Protection detecta una nueva extensión y la ocurrencia se repite más de 20 veces en las últimas 24 horas (comportamiento predeterminado).

  • Advertencia: Se produce una advertencia basada en los siguientes comportamientos:

    • La detección de una nueva extensión no se ha identificado antes y el mismo comportamiento no se repite las veces suficientes para declararla como un ataque.

    • Se observa una alta entropía.

    • La actividad de lectura, escritura, cambio de nombre o eliminación de archivos se duplicó en comparación con los niveles normales.

Nota Para entornos SAN, las advertencias solo se basan en alta entropía.

La evidencia se basa en la información de la Protección Autónoma contra el ransomware de ONTAP. Para obtener más información, consulte "Información general sobre la protección de ransomware autónoma".

Una alerta puede tener uno de los siguientes estados:

  • Nuevo

  • Inactivo

Un incidente de alerta puede tener uno de los siguientes estados:

  • Nuevo: Todos los incidentes se marcan como “nuevos” cuando se identifican por primera vez.

  • Descartado: Si sospechas que la actividad no es un ataque de ransomware, puedes cambiar el estado a “Descartado”.

    Precaución Después de que descartes un ataque, no puedes cambiarlo de nuevo. Si descarta una carga de trabajo, todas las copias de snapshots realizadas automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

  • Descartar: El incidente está en proceso de ser despedido.

  • Resuelto: El incidente ha sido solucionado.

  • Resuelto automáticamente: para alertas de baja prioridad, el incidente se resuelve automáticamente si no se han tomado medidas al respecto dentro de cinco días.

Consejo Si configuró un sistema de gestión de eventos y seguridad (SIEM) en la BlueXP ransomware protection en la página Configuración, el servicio envía detalles de alerta a su sistema SIEM.

Ver las alertas

Puedes acceder a las alertas desde el Panel de protección contra ransomware de BlueXP  o desde la pestaña Alertas.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, administrador de protección contra ransomware o rol de visualizador de ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En la consola de protección contra ransomware de BlueXP, revisa el panel Alertas.

  2. Seleccione Ver todo en uno de los estados.

  3. Seleccione una alerta para revisar todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, seleccione Alerta en la ruta de navegación de la parte superior izquierda.

  5. Revise las alertas en la página Alertas.

    Alertas

  6. Continúe con una de las siguientes opciones:

Responder a un correo electrónico de alerta

Cuando la BlueXP ransomware protection detecta un posible ataque, envía una notificación por correo electrónico a los usuarios suscritos según sus preferencias de notificación. El correo electrónico contiene información sobre la alerta, incluyendo la gravedad y los recursos afectados.

Puede recibir notificaciones por correo electrónico sobre las alertas de BlueXP ransomware protection . Esta función le ayuda a mantenerse informado sobre las alertas, su gravedad y los recursos afectados.

Consejo Para suscribirse a las notificaciones por correo electrónico, consulte "Establecer los ajustes de notificación por correo electrónico" .

  1. En la BlueXP ransomware protection, vaya a la página Configuración.

  2. En Notificaciones, busque la configuración de notificaciones por correo electrónico.

  3. Introduzca la dirección de correo electrónico donde desea recibir alertas.

  4. Guarde los cambios.

Ahora recibirá notificaciones por correo electrónico cuando se generen nuevas alertas.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, administrador de protección contra ransomware o rol de visualizador de ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. Ver el correo electrónico.

  2. En el correo electrónico, seleccione Ver alerta e inicie sesión en la BlueXP ransomware protection.

    Aparece la página Alertas.

  3. Revise todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, haga clic en Alert en las rutas de navegación en la parte superior izquierda.

  5. Continúe con una de las siguientes opciones:

Detectar actividades maliciosas y comportamientos anómalos de los usuarios

Si mira la pestaña Alertas, puede identificar si hay actividad maliciosa.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

¿Qué detalles aparecen? Los detalles que aparecen dependen de cómo se activó la alerta:

  • Desencadenado por la función autónoma de protección frente a ransomware de ONTAP. De esta forma, se detecta la actividad maliciosa según el comportamiento de los archivos en el volumen.

  • Desencadenado por la seguridad de las cargas de trabajo de Data Infrastructure Insights. Esto requiere una licencia para la seguridad de cargas de trabajo de información de la infraestructura de datos y que la habilites en la protección frente al ransomware de BlueXP . Esta función detecta un comportamiento anómalo de los usuarios en tus cargas de trabajo de almacenamiento y te permite bloquear a ese usuario para que no permita continuar accediendo.

    Para habilitar la seguridad de la carga de trabajo en la protección contra ransomware de BlueXP , vaya a la página Configuración y seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener una descripción general de la seguridad de la carga de trabajo de Data Infrastructure Insights , revise "Acerca de la seguridad de la carga de trabajo" .

Consejo Si no tiene una licencia para la seguridad de la carga de trabajo de infraestructura de datos y no la habilita en la BlueXP ransomware protection, no verá la información de comportamiento anómalo del usuario.

Cuando se produce una actividad maliciosa, se genera una alerta y se realiza una instantánea automatizada.

Ver solo actividad maliciosa de Autonomous Ransomware Protection

Cuando la protección autónoma contra ransomware activa una alerta en la protección contra ransomware de BlueXP , puedes ver los siguientes detalles:

  • La entropía de datos entrantes

  • Tasa de creación esperada de nuevos archivos en comparación con la tasa detectada

  • Tasa de eliminación esperada de los archivos en comparación con la velocidad detectada

  • Tasa de cambio de nombre esperada de los archivos en comparación con la velocidad detectada

  • Archivos y directorios afectados

Nota Estos detalles son visibles para cargas de trabajo NAS. Para entornos SAN, solo están disponibles los datos de entropía.
Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alertas

  4. Seleccione un incidente para revisar los detalles del incidente.

Vea el comportamiento anómalo de un usuario en la seguridad de las cargas de trabajo de información de la infraestructura de datos

Cuando la seguridad de la carga de trabajo de información de la infraestructura de datos activa una alerta en la protección contra ransomware de BlueXP , puedes ver al usuario sospechoso, bloquearlo e investigar la actividad del usuario directamente en la seguridad de la carga de trabajo de información de la infraestructura de datos.

Consejo Estas características son además de los detalles disponibles en Protección autónoma contra ransomware.
Antes de empezar

Esta opción requiere una licencia para la seguridad de cargas de trabajo de información de Infraestructura de datos y que la habilite en la protección frente al ransomware de BlueXP .

Para habilitar la seguridad de las cargas de trabajo en la protección contra ransomware de BlueXP , haga lo siguiente:

  1. Vaya a la página Settings.

  2. Seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener más información, consulte "Configura las opciones de protección contra ransomware de BlueXP".

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alerta en la que se muestran los detalles de Seguridad de Carga

  4. Para bloquear a un usuario sospechoso de acceso adicional en su entorno que es monitoreado por BlueXP , seleccione el enlace Bloquear usuario.

  5. Investigue la alerta o un incidente en la alerta:

    1. Para investigar más a fondo la alerta en Seguridad de carga de trabajo de Data Infrastructure Insights, seleccione el enlace Investigar en seguridad de carga de trabajo.

    2. Seleccione un incidente para revisar los detalles del incidente.

      Información sobre la infraestructura de datos Workload Security se abre en una nueva pestaña.

    Investigue en Seguridad de Carga de Trabajo

Marcar los incidentes de ransomware como listos para la recuperación (después de neutralizar los incidentes)

Después de detener el ataque, notifique a su administrador de almacenamiento que los datos están listos para que puedan comenzar la recuperación.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

  3. Revise los incidentes en la alerta.

    Página Incidentes de Alertas

  4. Si determina que los incidentes están listos para la recuperación, seleccione Marcar restauración necesaria.

  5. Confirme la acción y seleccione Mark restore needed.

  6. Para iniciar la recuperación de la carga de trabajo, seleccione Recuperar carga de trabajo en el mensaje o seleccione la pestaña Recuperar.

Resultado

Una vez que se marca la alerta para restaurar, la alerta pasa de la pestaña Alertas a la pestaña Recuperación.

Descarte los incidentes que no sean ataques potenciales

Después de revisar los incidentes, debe determinar si los incidentes son posibles ataques. Si no se cumple la condición anterior podrán ser despedidos.

Puede descartar falsos positivos o decidir recuperar sus datos de inmediato. Si descarta la alerta, el servicio aprende este comportamiento, lo asocia con operaciones normales y no vuelve a iniciar una alerta sobre dicho comportamiento.

Si descarta una carga de trabajo, todas las copias instantáneas tomadas automáticamente en respuesta a un posible ataque de ransomware se eliminan de forma permanente.

Precaución Si descarta una alerta, no puede volver a cambiar ese estado a otro estado y no puede deshacer este cambio.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

    Alertas

  2. En la página Alerts, seleccione la alerta.

    Página Incidentes de Alertas

  3. Seleccione uno o más incidentes. O bien, seleccione todos los incidentes seleccionando el cuadro ID de incidente en la parte superior izquierda de la tabla.

  4. Si usted determina que el incidente no es una amenaza, descarte como un falso positivo:

    • Seleccione el incidente.

    • Seleccione el botón Editar estado encima de la tabla.

      Editar Estado de Alerta

  5. En el cuadro Editar estado, seleccione el estado “Despedido”.

    Aparece información adicional sobre la carga de trabajo y que se eliminan copias de instantáneas.

  6. Seleccione Guardar.

    El estado del incidente o los incidentes cambia a “Despedido”.

Ver una lista de archivos afectados

Antes de restaurar una carga de trabajo de la aplicación en el nivel de archivos, puede ver una lista de archivos afectados. Puede acceder a la página Alertas para descargar una lista de archivos afectados. A continuación, utilice la página Recuperación para cargar la lista y elegir qué archivos restaurar.

Rol de BlueXP requerido Administrador de organización, administrador de carpeta o proyecto, o administrador de protección contra ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

Utilice la página Alertas para recuperar la lista de archivos afectados.

Consejo Si un volumen tiene varias alertas, es posible que deba descargar la lista CSV de archivos afectados de cada alerta.

  1. En el menú de protección contra ransomware de BlueXP, selecciona Alertas.

  2. En la página Alerts, ordene los resultados por carga de trabajo para mostrar las alertas de la carga de trabajo de la aplicación que desea restaurar.

  3. En la lista de alertas para esa carga de trabajo, seleccione una alerta.

  4. Para esa alerta, seleccione un único incidente.

    lista de archivos afectados para una alerta específica

  5. Para ese incidente, seleccione el icono de descarga y descargue la lista de archivos afectados en formato CSV.