Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione las alertas de ransomware detectadas con NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDF

Cuando NetApp Ransomware Resilience detecta un posible ataque, muestra una alerta en el Tablero y en el área de Notificaciones. Ransomware Resilience toma una instantánea inmediatamente. Revise el riesgo potencial en la pestaña Alertas de resiliencia ante ransomware.

Si Ransomware Resilience detecta un posible ataque, aparece una notificación en la configuración de notificaciones de la consola y se envía un correo electrónico a la dirección configurada. El correo electrónico incluye información sobre la gravedad, la carga de trabajo afectada y un enlace a la alerta en la pestaña Alertas de resiliencia ante ransomware.

Puede descartar los falsos positivos o decidir recuperar sus datos inmediatamente.

Consejo Si descarta la alerta, Ransomware Resilience aprende este comportamiento, lo asocia con operaciones normales y no vuelve a iniciar una alerta al respecto.

Para comenzar a recuperar sus datos, marque la alerta como lista para recuperación para que su administrador de almacenamiento pueda comenzar el proceso de recuperación.

Cada alerta puede incluir múltiples incidentes en diferentes volúmenes y estados. Revisar todos los incidentes.

Ransomware Resilience proporciona información llamada evidencia sobre lo que causó que se emitiera la alerta, como la siguiente:

  • Se crearon o cambiaron extensiones de archivo

  • Creación de archivos con comparación de tasas detectadas y esperadas

  • Eliminación de archivos con una comparación de las tasas detectadas y esperadas

  • Cuando el cifrado es alto, sin cambios en la extensión del archivo

Una alerta se clasifica como una de las siguientes:

  • Ataque potencial: se produce una alerta cuando Autonomous Ransomware Protection detecta una nueva extensión y la ocurrencia se repite más de 20 veces en las últimas 24 horas (comportamiento predeterminado).

  • Advertencia: Se produce una advertencia basada en los siguientes comportamientos:

    • No se ha identificado antes la detección de una nueva extensión y el mismo comportamiento no se repite suficientes veces como para declararlo como un ataque.

    • Se observa alta entropía.

    • La actividad de lectura, escritura, cambio de nombre o eliminación de archivos se duplicó en comparación con los niveles normales.

Nota Para los entornos SAN, las advertencias solo se basan en alta entropía.

La evidencia se basa en información de Autonomous Ransomware Protection en ONTAP. Para más detalles, consulte "Descripción general de la protección autónoma contra ransomware" .

Una alerta puede tener uno de los siguientes estados:

  • Nuevo

  • Inactivo

Un incidente de alerta puede tener uno de los siguientes estados:

  • Nuevo: Todos los incidentes se marcan como "nuevos" cuando se identifican por primera vez.

  • Descartado: si sospecha que la actividad no es un ataque de ransomware, puede cambiar el estado a "Descartado".

    Precaución Después de descartar un ataque, no podrás volver a cambiarlo. Si descarta una carga de trabajo, todas las copias instantáneas tomadas automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

  • Desestimando: El incidente está en proceso de ser desestimado.

  • Resuelto: El incidente ha sido solucionado.

  • Resuelto automáticamente: para alertas de baja prioridad, el incidente se resuelve automáticamente si no se han tomado medidas al respecto dentro de cinco días.

Consejo Si configuró un sistema de gestión de eventos y seguridad (SIEM) en Ransomware Resilience en la página Configuración, Ransomware Resilience envía detalles de alerta a su sistema SIEM.

Ver alertas

Puede acceder a las alertas desde el Panel de resiliencia ante ransomware o desde la pestaña Alertas.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de la organización, administrador de carpeta o proyecto, administrador de resiliencia ante ransomware o visor de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. En el Panel de resiliencia ante ransomware, revise el panel Alertas.

  2. Seleccione Ver todo en uno de los estados.

  3. Seleccione una alerta para revisar todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, seleccione Alerta en las rutas de navegación de la parte superior izquierda.

  5. Revise las alertas en la página Alertas.

    Página de alertas

  6. Continúe con una de las siguientes opciones:

Responder a un correo electrónico de alerta

Cuando Ransomware Resilience detecta un ataque potencial, envía una notificación por correo electrónico a los usuarios suscritos según sus preferencias de notificación de suscripción. El correo electrónico contiene información sobre la alerta, incluida la gravedad y los recursos afectados.

Puede recibir notificaciones por correo electrónico sobre alertas de resiliencia ante ransomware. Esta función le ayuda a mantenerse informado sobre las alertas, su gravedad y los recursos afectados.

Consejo Para suscribirse a las notificaciones por correo electrónico, consulte "Establecer la configuración de notificaciones por correo electrónico" .

  1. En Ransomware Resilience, vaya a la página Configuración.

  2. En Notificaciones, busque la configuración de notificaciones por correo electrónico.

  3. Introduzca la dirección de correo electrónico donde desea recibir alertas.

  4. Guarde sus cambios.

Ahora recibirá notificaciones por correo electrónico cuando se generen nuevas alertas.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de la organización, administrador de carpeta o proyecto, administrador de resiliencia ante ransomware o visor de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso de BlueXP para todos los servicios" .

Pasos

  1. Ver el correo electrónico.

  2. En el correo electrónico, seleccione Ver alerta e inicie sesión en Ransomware Resilience.

    Aparece la página de Alertas.

  3. Revise todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, haga clic en Alerta en las rutas de navegación de la parte superior izquierda.

  5. Continúe con una de las siguientes opciones:

Detectar actividad maliciosa y comportamiento anómalo del usuario

Al mirar la pestaña Alertas, puede identificar si hay actividad maliciosa.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso a la consola para todos los servicios" .

¿Qué detalles aparecen? Los detalles que aparecen dependen de cómo se activó la alerta:

  • Activado por la función de protección autónoma contra ransomware en ONTAP. Esto detecta actividad maliciosa según el comportamiento de los archivos en el volumen.

  • Activado por la seguridad de la carga de trabajo de Data Infrastructure Insights . Esto requiere una licencia para la seguridad de la carga de trabajo de Data Infrastructure Insights y que la habilite en Ransomware Resilience. Esta función detecta un comportamiento anómalo del usuario en sus cargas de trabajo de almacenamiento y le permite bloquear a ese usuario para que no pueda acceder más.

    Para habilitar la seguridad de la carga de trabajo en Ransomware Resilience, vaya a la página Configuración y seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener una descripción general de la seguridad de la carga de trabajo de Data Infrastructure Insights , revise "Acerca de la seguridad de la carga de trabajo" .

Consejo Si no tiene una licencia para la seguridad de la carga de trabajo de infraestructura de datos y no la habilita en Ransomware Resilience, no verá la información de comportamiento anómalo del usuario.

Cuando ocurre una actividad maliciosa, se genera una alerta y se toma una instantánea automatizada.

Ver actividad maliciosa solo desde Autonomous Ransomware Protection

Cuando Autonomous Ransomware Protection activa una alerta en Ransomware Resilience, puedes ver los siguientes detalles:

  • Entropía de los datos entrantes

  • Tasa esperada de creación de nuevos archivos en comparación con la tasa detectada

  • Tasa de eliminación de archivos esperada en comparación con la tasa detectada

  • Tasa de cambio de nombre de archivos esperada en comparación con la tasa detectada

  • Archivos y directorios afectados

Nota Estos detalles son visibles para las cargas de trabajo NAS. Para entornos SAN, solo están disponibles los datos de entropía.
Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página de incidentes de alerta

  4. Seleccione un incidente para revisar los detalles del mismo.

Visualizar el comportamiento anómalo de los usuarios en Data Infrastructure Insights Seguridad de la carga de trabajo

Cuando la seguridad de carga de trabajo de Data Infrastructure Insights activa una alerta en Ransomware Resilience, puede ver al usuario sospechoso, bloquearlo e investigar su actividad directamente en la seguridad de carga de trabajo de Data Infrastructure Insights .

Consejo Estas características se suman a los detalles disponibles únicamente en Autonomous Ransomware Protection.
Antes de empezar

Esta opción requiere una licencia para la seguridad de la carga de trabajo de Data Infrastructure Insights y que la habilite en Ransomware Resilience.

Para habilitar la seguridad de la carga de trabajo en Ransomware Resilience, haga lo siguiente:

  1. Vaya a la página Configuración.

  2. Seleccione la opción Conexión de seguridad de carga de trabajo.

    Para obtener más información, consulte "Configurar los ajustes de resiliencia frente al ransomware" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Captura de pantalla de la página de Alertas.

  4. Para bloquear a un usuario sospechoso y evitar que acceda más a su entorno monitoreado por la consola, seleccione el enlace Bloquear usuario.

  5. Investigue la alerta o un incidente en la alerta:

    1. Para investigar más a fondo la alerta en Seguridad de carga de trabajo de Data Infrastructure Insights , seleccione el enlace Investigar en Seguridad de carga de trabajo.

    2. Seleccione un incidente para revisar los detalles del mismo.

Seguridad de la carga de trabajo de Data Infrastructure Insights se abre en una nueva pestaña.

+Investigar en seguridad de la carga de trabajo

Marcar los incidentes de ransomware como listos para recuperación (después de que se neutralizan los incidentes)

Después de detener el ataque, notifique a su administrador de almacenamiento que los datos están listos para que puedan comenzar la recuperación.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso a la consola para todos los servicios" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

    Página de alertas

  2. En la página Alertas, seleccione la alerta.

  3. Revise los incidentes en la alerta.

    Página de incidentes de alerta

  4. Si determina que los incidentes están listos para recuperación, seleccione Marcar como necesario para la restauración.

  5. Confirme la acción y seleccione Marcar como necesaria la restauración.

  6. Para iniciar la recuperación de la carga de trabajo, seleccione Recuperar carga de trabajo en el mensaje o seleccione la pestaña Recuperación.

Resultado

Una vez que la alerta se marca para restaurar, se mueve de la pestaña Alertas a la pestaña Recuperación.

Descartar incidentes que no sean ataques potenciales

Después de revisar los incidentes, debe determinar si son ataques potenciales. Si no se cumple la condición anterior podrán ser despedidos.

Puede descartar los falsos positivos o decidir recuperar sus datos inmediatamente. Si descarta la alerta, Ransomware Resilience aprende este comportamiento, lo asocia con operaciones normales y no vuelve a iniciar una alerta sobre dicho comportamiento.

Si descarta una carga de trabajo, todas las copias instantáneas tomadas automáticamente en respuesta a un posible ataque de ransomware se eliminan de forma permanente.

Precaución Si descarta una alerta, no podrá volver a cambiar ese estado a ningún otro y no podrá deshacer este cambio.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso a la consola para todos los servicios" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

    Página de alertas

  2. En la página Alertas, seleccione la alerta.

    Página de incidentes de alerta

  3. Seleccione uno o más incidentes. O bien, seleccione todos los incidentes seleccionando el cuadro ID de incidente en la parte superior izquierda de la tabla.

  4. Si determina que el incidente no es una amenaza, deséchelo como un falso positivo:

    • Seleccione el incidente.

    • Seleccione el botón Editar estado encima de la tabla.

      Página de estado de edición de alertas

  5. Desde el cuadro Editar estado, seleccione el estado “Descartado”.

    Aparece información adicional sobre la carga de trabajo y sobre que se eliminan copias de instantáneas.

  6. Seleccione Guardar.

    El estado del incidente o incidentes cambia a “Descartado”.

Ver una lista de archivos afectados

Antes de restaurar una carga de trabajo de la aplicación a nivel de archivo, puede ver una lista de los archivos afectados. Puede acceder a la página de Alertas para descargar una lista de archivos afectados. Luego utilice la página Recuperación para cargar la lista y elegir qué archivos restaurar.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre los roles de acceso a la consola para todos los servicios" .

Pasos

Utilice la página Alertas para recuperar la lista de archivos afectados.

Consejo Si un volumen tiene varias alertas, es posible que deba descargar la lista CSV de los archivos afectados para cada alerta.

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. En la página Alertas, ordene los resultados por carga de trabajo para mostrar las alertas de la carga de trabajo de la aplicación que desea restaurar.

  3. De la lista de alertas para esa carga de trabajo, seleccione una alerta.

  4. Para esa alerta, seleccione un solo incidente.

    lista de archivos afectados por una alerta específica

  5. Para ese incidente, seleccione el ícono de descarga y descargue la lista de archivos afectados en formato CSV.