Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Alertas

10/14/2025 Colaboradores

PDF

La página Alertas de seguridad de carga de trabajo muestra una línea de tiempo de ataques y/o advertencias recientes y le permite ver detalles de cada problema.

Lista de alertas

Alerta

La lista de alertas muestra un gráfico que muestra el número total de posibles ataques y/o advertencias que se han generado en el rango de tiempo seleccionado, seguido de una lista de los ataques y/o advertencias que ocurrieron en ese rango de tiempo. Puede cambiar el rango de tiempo ajustando los controles deslizantes de hora de inicio y hora de finalización en el gráfico.

Para cada alerta se muestra lo siguiente:

Ataques potenciales:

El tipo de Ataque Potencial (por ejemplo, Ransomware o Sabotaje)
La fecha y hora en que se detectó el posible ataque
El Estado de la alerta:
- Nuevo: Este es el valor predeterminado para las nuevas alertas.
- En progreso: La alerta está siendo investigada por un miembro o miembros del equipo.
- Resuelto: La alerta ha sido marcada como resuelta por un miembro del equipo.
- Descartado: La alerta ha sido descartada por considerarse un falso positivo o un comportamiento esperado.
  
  Un administrador puede cambiar el estado de la alerta y agregar una nota para ayudar con la investigación.
El Usuario cuyo comportamiento activó la alerta
Evidencia del ataque (por ejemplo, se cifró una gran cantidad de archivos)
La Acción realizada (por ejemplo, se tomó una instantánea)

Advertencias:

El Comportamiento anormal que desencadenó la advertencia
La fecha y hora en que se detectó el comportamiento
El Estado de la alerta (Nueva, En progreso, etc.)
El Usuario cuyo comportamiento activó la alerta
Una descripción del Cambio (por ejemplo, un aumento anormal en el acceso a archivos)
La Acción tomada

Opciones de filtro

Puede filtrar las alertas por lo siguiente:

El Estado de la alerta
Texto específico en la Nota
El tipo de Ataques/Advertencias
El Usuario cuyas acciones activaron la alerta/advertencia

La página de detalles de la alerta

Puede hacer clic en un enlace de alerta en la página de lista de alertas para abrir una página de detalles de la alerta. Los detalles de la alerta pueden variar según el tipo de ataque o alerta. Por ejemplo, una página de detalles de un ataque de ransomware puede mostrar la siguiente información:

Sección de resumen:

Tipo de ataque (ransomware, sabotaje) e ID de alerta (asignado por Workload Security)
Fecha y hora en que se detectó el ataque
Acción realizada (por ejemplo, se tomó una instantánea automática). La hora de la instantánea se muestra inmediatamente debajo de la sección de resumen))
Estado (Nuevo, En progreso, etc.)

Sección de resultados del ataque:

Recuento de volúmenes y archivos afectados
Un resumen adjunto de la detección
Un gráfico que muestra la actividad del archivo durante el ataque.

Sección de Usuarios Relacionados:

Esta sección muestra detalles sobre el usuario involucrado en el ataque potencial, incluido un gráfico de la actividad principal del usuario.

Página de alertas (este ejemplo muestra un posible ataque de ransomware): Ejemplo de alerta de ransomware

Página de detalles (este ejemplo muestra un posible ataque de ransomware): Ejemplo de página de detalles de ransomware

Tomar una instantánea Acción

Workload Security protege sus datos tomando automáticamente una instantánea cuando se detecta actividad maliciosa, lo que garantiza que sus datos estén respaldados de forma segura.

Puedes definir"políticas de respuesta automatizada" que toman una instantánea cuando se detecta un ataque de ransomware u otra actividad anormal del usuario. También puede tomar una instantánea manualmente desde la página de alerta.

Instantánea automática tomada: Pantalla de acción de alerta, 1000

Instantánea manual: Pantalla de acción de alerta, 1000

Notificaciones de alerta

Las notificaciones por correo electrónico de alertas se envían a una lista de destinatarios de alertas para cada acción relacionada con la alerta. Para configurar los destinatarios de alertas, haga clic en Admin > Notificaciones e ingrese una dirección de correo electrónico para cada destinatario.

Política de retención

Las alertas y advertencias se conservan durante 13 meses. Las alertas y advertencias que tengan más de 13 meses de antigüedad se eliminarán. Si se elimina el entorno de seguridad de carga de trabajo, también se eliminan todos los datos asociados con el entorno.

Solución de problemas

Problema:	Prueba esto:
Existe una situación en la que ONTAP toma instantáneas cada hora, por día. ¿Las instantáneas de Workload Security (WS) lo afectarán? ¿WS Snapshot ocupará el lugar de la instantánea por hora? ¿Se detendrá la instantánea horaria predeterminada?	Las instantáneas de seguridad de la carga de trabajo no afectarán las instantáneas por hora. Las instantáneas de WS no ocuparán el espacio de instantáneas por hora y eso debería continuar como antes. La instantánea horaria predeterminada no se detendrá.
¿Qué pasará si se alcanza el número máximo de instantáneas en ONTAP?	Si se alcanza el recuento máximo de instantáneas, la toma de instantáneas posteriores fallará y Workload Security mostrará un mensaje de error indicando que la instantánea está llena. El usuario debe definir políticas de instantáneas para eliminar las instantáneas más antiguas; de lo contrario, no se tomarán instantáneas. En ONTAP 9.3 y versiones anteriores, un volumen puede contener hasta 255 copias instantáneas. En ONTAP 9.4 y versiones posteriores, un volumen puede contener hasta 1023 copias instantáneas. Consulte la documentación de ONTAP para obtener información sobre"Configuración de la política de eliminación de instantáneas" .
Workload Security no puede tomar instantáneas en absoluto.	Asegúrese de que el rol que se utiliza para crear instantáneas tenga el vínculo: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [derechos adecuados asignados]. Asegúrese de que csrole se haya creado con los derechos de acceso adecuados para tomar instantáneas: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
Las instantáneas fallan en las alertas más antiguas de las SVM que se eliminaron de Workload Security y luego se volvieron a agregar. Para las nuevas alertas que ocurren después de que se agrega nuevamente SVM, se toman instantáneas.	Este es un escenario raro. En caso de que experimente esto, inicie sesión en ONTAP y tome las instantáneas manualmente para las alertas más antiguas.
En la página Detalles de la alerta, se ve el mensaje de error “Último intento fallido” debajo del botón Tomar instantánea. Al pasar el cursor sobre el error se muestra "El comando Invocar API ha expirado para el recopilador de datos con id".	Esto puede suceder cuando se agrega un recopilador de datos a Workload Security a través de la IP de administración de SVM, si el LIF de SVM está en estado deshabilitado en ONTAP. Habilite el LIF particular en ONTAP y active Tomar instantánea manualmente desde Seguridad de carga de trabajo. Luego la acción Instantánea tendrá éxito.

Problema:

Prueba esto:

Existe una situación en la que ONTAP toma instantáneas cada hora, por día. ¿Las instantáneas de Workload Security (WS) lo afectarán? ¿WS Snapshot ocupará el lugar de la instantánea por hora? ¿Se detendrá la instantánea horaria predeterminada?

Las instantáneas de seguridad de la carga de trabajo no afectarán las instantáneas por hora. Las instantáneas de WS no ocuparán el espacio de instantáneas por hora y eso debería continuar como antes. La instantánea horaria predeterminada no se detendrá.

¿Qué pasará si se alcanza el número máximo de instantáneas en ONTAP?

Si se alcanza el recuento máximo de instantáneas, la toma de instantáneas posteriores fallará y Workload Security mostrará un mensaje de error indicando que la instantánea está llena. El usuario debe definir políticas de instantáneas para eliminar las instantáneas más antiguas; de lo contrario, no se tomarán instantáneas. En ONTAP 9.3 y versiones anteriores, un volumen puede contener hasta 255 copias instantáneas. En ONTAP 9.4 y versiones posteriores, un volumen puede contener hasta 1023 copias instantáneas. Consulte la documentación de ONTAP para obtener información sobre"Configuración de la política de eliminación de instantáneas" .

Workload Security no puede tomar instantáneas en absoluto.

Asegúrese de que el rol que se utiliza para crear instantáneas tenga el vínculo: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [derechos adecuados asignados]. Asegúrese de que csrole se haya creado con los derechos de acceso adecuados para tomar instantáneas: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Las instantáneas fallan en las alertas más antiguas de las SVM que se eliminaron de Workload Security y luego se volvieron a agregar. Para las nuevas alertas que ocurren después de que se agrega nuevamente SVM, se toman instantáneas.

Este es un escenario raro. En caso de que experimente esto, inicie sesión en ONTAP y tome las instantáneas manualmente para las alertas más antiguas.

En la página Detalles de la alerta, se ve el mensaje de error “Último intento fallido” debajo del botón Tomar instantánea. Al pasar el cursor sobre el error se muestra "El comando Invocar API ha expirado para el recopilador de datos con id".

Esto puede suceder cuando se agrega un recopilador de datos a Workload Security a través de la IP de administración de SVM, si el LIF de SVM está en estado deshabilitado en ONTAP. Habilite el LIF particular en ONTAP y active Tomar instantánea manualmente desde Seguridad de carga de trabajo. Luego la acción Instantánea tendrá éxito.