Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar alertas en NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDF

Cuando NetApp Ransomware Resilience detecta un posible ataque, muestra una alerta en el Panel de control y en el área de Notificaciones. Ransomware Resilience toma una instantánea inmediatamente. Revise el riesgo potencial en la pestaña Alertas de resiliencia ante ransomware.

Si Ransomware Resilience detecta un posible ataque, aparece una notificación en la configuración de notificaciones de la consola y se envía un correo electrónico a la dirección configurada. El correo electrónico incluye información sobre la gravedad, la carga de trabajo afectada y un enlace a la alerta en la pestaña Alertas de resiliencia ante ransomware.

Puede descartar los falsos positivos o decidir recuperar sus datos inmediatamente.

Consejo Si descarta la alerta, Ransomware Resilience aprende este comportamiento, lo asocia con operaciones normales y no vuelve a iniciar una alerta al respecto.

Para comenzar a recuperar sus datos, marque la alerta como lista para recuperación para que su administrador de almacenamiento pueda comenzar el proceso de recuperación.

Cada alerta puede incluir múltiples incidentes en diferentes volúmenes y estados. Revisar todos los incidentes.

Ransomware Resilience proporciona información llamada evidencia sobre lo que causó que se emitiera la alerta, como la siguiente:

  • Se crearon o cambiaron extensiones de archivo

  • Creación de archivos con comparación de tasas detectadas y esperadas

  • Eliminación de archivos con una comparación de las tasas detectadas y esperadas

  • Cuando el cifrado es alto, sin cambios en la extensión del archivo

Una alerta se clasifica como una de las siguientes:

  • Ataque potencial: se produce una alerta cuando Autonomous Ransomware Protection detecta una nueva extensión y la ocurrencia se repite más de 20 veces en las últimas 24 horas (comportamiento predeterminado).

  • Advertencia: Se produce una advertencia basada en los siguientes comportamientos:

    • No se ha identificado antes la detección de una nueva extensión y el mismo comportamiento no se repite suficientes veces como para declararlo como un ataque.

    • Se observa alta entropía.

    • La actividad de lectura, escritura, cambio de nombre o eliminación de archivos se duplicó en comparación con los niveles normales.

Nota Para los entornos SAN, las advertencias solo se basan en alta entropía.

La evidencia se basa en información de Autonomous Ransomware Protection en ONTAP. Para más detalles, consulte "Descripción general de la protección autónoma contra ransomware" .

Una alerta puede tener uno de los siguientes estados:

  • Nuevo

  • Inactivo

Un incidente de alerta puede tener los siguientes estados:

  • Nuevo: Todos los incidentes se marcan como "nuevos" cuando se identifican por primera vez.

  • Descartado: si sospecha que la actividad no es un ataque de ransomware, puede cambiar el estado a "Descartado".

    Precaución Después de descartar un ataque, no puedes revertir su estado. Si descarta una carga de trabajo, todas las copias instantáneas tomadas automáticamente en respuesta al posible ataque de ransomware se eliminarán de forma permanente.

  • Desestimando: El incidente está en proceso de ser desestimado.

  • Resuelto: El incidente ha sido solucionado.

  • Resuelto automáticamente: para alertas de baja prioridad, el incidente se resuelve automáticamente si no se han tomado medidas al respecto dentro de cinco días.

Consejo Si configuró un sistema de gestión de eventos y seguridad (SIEM) en Ransomware Resilience en la página Configuración, Ransomware Resilience envía detalles de alerta a su sistema SIEM.

Ver alertas

Puede acceder a las alertas desde el Panel de resiliencia ante ransomware o desde la pestaña Alertas.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de la organización, administrador de carpeta o proyecto, administrador de resiliencia ante ransomware o visor de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Pasos

  1. En el Panel de resiliencia ante ransomware, revise el panel Alertas.

  2. Seleccione Ver todo en uno de los estados.

  3. Seleccione una alerta para revisar todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, seleccione Alerta en las rutas de navegación de la parte superior izquierda.

  5. Revise las alertas en la página Alertas.

    Página de alertas

  6. Continúe con una de las siguientes opciones:

Responder a un correo electrónico de alerta

Cuando Ransomware Resilience detecta un ataque potencial, envía una notificación por correo electrónico a los usuarios suscritos según sus preferencias de notificación de suscripción. El correo electrónico contiene información sobre la alerta, incluida la gravedad y los recursos afectados.

Puede recibir notificaciones por correo electrónico sobre alertas de resiliencia ante ransomware. Esta función le ayuda a mantenerse informado sobre las alertas, su gravedad y los recursos afectados.

Consejo Para suscribirse a las notificaciones por correo electrónico, consulte "Establecer la configuración de notificaciones por correo electrónico" .

  1. En Ransomware Resilience, vaya a la página Configuración.

  2. En Notificaciones, busque la configuración de notificaciones por correo electrónico.

  3. Introduzca la dirección de correo electrónico donde desea recibir alertas.

  4. Guarde sus cambios.

Ahora recibirá notificaciones por correo electrónico cuando se generen nuevas alertas.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de la organización, administrador de carpeta o proyecto, administrador de resiliencia ante ransomware o visor de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Pasos

  1. Ver el correo electrónico.

  2. En el correo electrónico, seleccione Ver alerta e inicie sesión en Ransomware Resilience.

    Aparece la página de Alertas.

  3. Revise todos los incidentes en cada volumen para cada alerta.

  4. Para revisar alertas adicionales, haga clic en Alerta en las rutas de navegación de la parte superior izquierda.

  5. Continúe con una de las siguientes opciones:

Detectar actividad maliciosa y comportamiento anómalo del usuario

Al mirar la pestaña Alertas, puede identificar si hay actividad maliciosa o un comportamiento anómalo del usuario.

Debe haber configurado un agente de actividad del usuario y habilitado una política de protección con detección de comportamiento del usuario para ver alertas a nivel de usuario. Cuando la detección del comportamiento del usuario está habilitada, la columna Usuario sospechoso aparece en el panel de Alertas; no se muestra cuando la detección del comportamiento del usuario no está habilitada. Para habilitar la detección de usuarios sospechosos, consulte"Actividad sospechosa del usuario" .

Nota Si utiliza NetApp Data Infrastructure Insights (DII) Workload Security, se recomienda que utilice los mismos agentes de Workload Security para la resiliencia frente al ransomware. No es necesario implementar agentes de seguridad de carga de trabajo separados para Ransomware Resilience; sin embargo, usar los mismos agentes de seguridad de carga de trabajo requiere una relación de emparejamiento entre la organización de la consola de Ransomware Resilience y el inquilino de seguridad de carga de trabajo de almacenamiento DII. Comuníquese con su representante de cuenta para habilitar este emparejamiento.

Ver actividad maliciosa

Cuando Autonomous Ransomware Protection activa una alerta en Ransomware Resilience, puedes ver los siguientes detalles:

  • Entropía de los datos entrantes

  • Tasa esperada de creación de nuevos archivos en comparación con la tasa detectada

  • Tasa de eliminación de archivos esperada en comparación con la tasa detectada

  • Tasa de cambio de nombre de archivos esperada en comparación con la tasa detectada

  • Archivos y directorios afectados

Nota Estos detalles son visibles para las cargas de trabajo NAS. Para entornos SAN, solo están disponibles los datos de entropía.
Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

    Página de incidentes de alerta

  4. Seleccione un incidente para revisar los detalles del mismo.

Ver comportamiento anómalo del usuario

Si ha configurado la detección de usuarios sospechosos para ver el comportamiento anómalo de los usuarios, puede ver datos a nivel de usuario y bloquear usuarios específicos. Para habilitar la configuración de usuarios sospechosos, consulte"Configurar los ajustes de resiliencia frente al ransomware" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. Seleccione una alerta.

  3. Revise los incidentes en la alerta.

  4. Para bloquear a un usuario sospechoso en su entorno, seleccione Bloquear debajo del nombre del usuario.

Marcar los incidentes de ransomware como listos para recuperación (después de que se neutralizan los incidentes)

Después de detener el ataque, notifique a su administrador de almacenamiento que los datos están listos para que puedan comenzar la recuperación.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

    Página de alertas

  2. En la página Alertas, seleccione la alerta.

  3. Revise los incidentes en la alerta.

    Página de incidentes de alerta

  4. Si determina que los incidentes están listos para recuperación, seleccione Marcar como necesario para la restauración.

  5. Confirme la acción y seleccione Marcar como necesaria la restauración.

  6. Para iniciar la recuperación de la carga de trabajo, seleccione Recuperar carga de trabajo en el mensaje o seleccione la pestaña Recuperación.

Resultado

Una vez que la alerta se marca para restaurar, se mueve de la pestaña Alertas a la pestaña Recuperación.

Descartar incidentes que no sean ataques potenciales

Después de revisar los incidentes, debe determinar si son ataques potenciales. Si no son amenazas reales, pueden descartarse.

Puede descartar los falsos positivos o decidir recuperar sus datos inmediatamente. Si descarta la alerta, Ransomware Resilience aprende este comportamiento y lo asocia con operaciones normales y no vuelve a iniciar una alerta sobre dicho comportamiento.

Si descarta una carga de trabajo, todas las copias instantáneas tomadas automáticamente en respuesta a un posible ataque de ransomware se eliminan de forma permanente.

Precaución Si descarta una alerta, no podrá cambiar su estado ni deshacer este cambio.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Pasos

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

    Página de alertas

  2. En la página Alertas, seleccione la alerta.

    Página de incidentes de alerta

  3. Seleccione uno o más incidentes. Alternativamente, seleccione todos los incidentes seleccionando el cuadro ID de incidente en la parte superior izquierda de la tabla.

  4. Si determina que el incidente no es una amenaza, deséchelo como un falso positivo:

    • Seleccione el incidente.

    • Seleccione el botón Editar estado encima de la tabla.

      Página de estado de edición de alertas

  5. Desde el cuadro Editar estado, elija el estado Descartado.

    Aparece información adicional sobre la carga de trabajo y las copias de instantáneas eliminadas.

  6. Seleccione Guardar.

    El estado del incidente o incidentes cambia a "Descartado".

Ver una lista de archivos afectados

Antes de restaurar una carga de trabajo de la aplicación a nivel de archivo, puede ver una lista de los archivos afectados. Puede acceder a la página de Alertas para descargar una lista de archivos afectados. Luego utilice la página Recuperación para cargar la lista y elegir qué archivos restaurar.

Rol de consola requerido Para realizar esta tarea, necesita el rol de administrador de organización, administrador de carpeta o proyecto, o administrador de resiliencia ante ransomware. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console" .

Pasos

Utilice la página Alertas para recuperar la lista de archivos afectados.

Consejo Si un volumen tiene varias alertas, es posible que deba descargar la lista CSV de los archivos afectados para cada alerta.

  1. En el menú Resiliencia ante ransomware, seleccione Alertas.

  2. En la página Alertas, ordene los resultados por carga de trabajo para mostrar las alertas de la carga de trabajo de la aplicación que desea restaurar.

  3. De la lista de alertas para esa carga de trabajo, seleccione una alerta.

  4. Para esa alerta, seleccione un solo incidente.

    lista de archivos afectados por una alerta específica

  5. Para ese incidente, seleccione el ícono de descarga para descargar la lista de archivos afectados en formato CSV.