Skip to main content
BlueXP ransomware protection
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Effectuer un exercice de préparation aux attaques de ransomware dans la protection contre les ransomwares BlueXP

Contributeurs amgrissino netapp-ahibbard
PDF

Exécutez un exercice de préparation aux attaques de rançongiciels en simulant une attaque sur un nouvel échantillon de charge de travail. Analysez l'attaque simulée et récupérez la charge de travail. Utilisez cette fonctionnalité pour tester les notifications d'alerte, la réponse et la récupération. Exécutez l'exercice aussi souvent que nécessaire.

Astuce Vos données de charge de travail réelles ne sont pas affectées.

Vous pouvez exécuter des exercices de préparation sur les charges de travail NFS et CIFS (SMB).

Configurez une exploration de la préparation à une attaque par ransomware

Avant de lancer une simulation, configurez un exercice sur la page Paramètres. Accédez à la page Paramètres depuis l'option Actions du menu supérieur.

Vous devrez saisir un nom d'utilisateur et un mot de passe dans les situations suivantes :

  • Si des modifications du nom d'utilisateur ou du mot de passe ont eu lieu pour la machine virtuelle de stockage précédemment sélectionnée

  • Si vous sélectionnez une autre machine virtuelle de stockage CIFS (SMB)

  • Si vous entrez un nom de charge de travail de test différent

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le menu de protection contre les ransomwares BlueXP, sélectionnez le bouton Exécuter l'exercice de préparation en haut à droite.

    Page du tableau de bord affichant le bouton Exécuter l'exercice de préparation

  2. Dans la carte de vérification de l'état de préparation de la page Paramètres, sélectionnez configurer.

    BlueXP affiche la page Configurer l'exercice de préparation.

    Configurer la page d'exploration de la préparation

  3. Procédez comme suit :

    1. Sélectionnez le connecteur BlueXP  que vous souhaitez utiliser pour l'exercice de préparation.

    2. Sélectionnez un environnement de travail de test.

    3. Sélectionner un SVM de stockage de test.

    4. Si vous avez sélectionné une machine virtuelle de stockage CIFS (SMB), les champs Nom d'utilisateur et Mot de passe s'affichent. Saisissez le nom d'utilisateur et le mot de passe de la machine virtuelle de stockage.

    5. Entrez le nom d'une nouvelle charge de travail test à créer. Ne pas inclure de tirets dans le nom.

  4. Sélectionnez Enregistrer.

Astuce Vous pouvez modifier la configuration de l'exercice de préparation ultérieurement à l'aide de la page Paramètres.

Démarrez une exploration de la préparation

Après avoir configuré l'exercice de préparation, vous pouvez démarrer l'exercice.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Lorsque vous démarrez l'exercice de préparation, la protection contre les ransomware BlueXP  ignore le mode d'apprentissage et démarre l'exercice en mode actif. L'état de détection de la charge de travail est actif.

Astuce Une charge de travail peut avoir un statut de détection de ransomware Mode d'apprentissage lorsqu'une politique de détection est récemment attribuée et que le service analyse les charges de travail.
Étapes

  1. Effectuez l'une des opérations suivantes :

    • Dans le menu de protection contre les ransomwares BlueXP, sélectionnez le bouton Exécuter l'exercice de préparation en haut à droite.

      Page du tableau de bord affichant le bouton Exécuter l'exercice de préparation

    • OU, à partir de la page Paramètres, dans la carte d'exercice de préparation, sélectionnez Démarrer.

  2. Si vous avez déjà configuré la foreuse de préparation, après avoir sélectionné Start, la foreuse de préparation commence.

Remarque Une fois la foreuse commencée, vous ne pouvez pas modifier la configuration de la foreuse de préparation. Vous pouvez le réinitialiser pour redémarrer.

Répondez à une alerte de vérification de la préparation

Testez votre niveau de préparation en répondant à une alerte de vérification de la préparation.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

    BlueXP affiche la page Alertes. Dans la colonne ID d'alerte, vous verrez « Exercice de préparation » à côté de l'ID.

    Page d'alertes affichant l'alerte d'exploration de l'état de préparation

  2. Sélectionnez l'alerte avec l'indication « exercice de préparation ». La liste des alertes d'incident s'affiche sur la page Détails des alertes.

    Page de détails des alertes affichant l'alerte d'exploration de l'état de préparation

  3. Passez en revue les incidents d'alerte.

  4. Sélectionnez un incident d'alerte.

    Page d'incident affichant l'alerte de vérification de l'état de préparation

Voici quelques points à prendre en compte :

  • Examinez le type d'attaque potentielle.

    Si le Type indique qu'un utilisateur est soupçonné d'une activité malveillante, vérifiez le nom d'utilisateur. Vous pouvez examiner l'utilisateur plus en détail dans Data Infrastructure Insights Workload Security en sélectionnant enquêter sur la sécurité des charges de travail.

  • Examinez l'activité des fichiers et les processus suspects :

    • Examinez les données détectées entrantes par rapport aux données attendues.

    • Examinez le taux de création des fichiers détectés par rapport au taux prévu.

    • Examinez le taux de renommage du fichier détecté par rapport au taux attendu.

    • Examinez le taux de suppression par rapport au taux prévu.

  • Consultez la liste des fichiers affectés. Regardez les extensions qui pourraient être à l'origine de l'attaque.

  • Déterminez l'impact et l'ampleur de l'attaque en examinant le nombre de fichiers et de répertoires affectés.

Restaurer la charge de travail test

Après avoir examiné l’alerte d’exercice de préparation, restaurez la charge de travail de test si nécessaire.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Retournez à la page Détails de l'alerte.

  2. Si la charge de travail de test doit être restaurée, procédez comme suit :

    • Sélectionnez Marquer la restauration nécessaire.

    • Vérifiez la confirmation et sélectionnez Marquer la restauration nécessaire dans la boîte de confirmation.

      • Dans le menu BlueXP ransomware protection, sélectionnez Recovery.

      • Sélectionnez la charge de travail de test marquée « exercice de préparation » que vous souhaitez restaurer.

      • Sélectionnez Restaurer.

      • Dans la page Restaurer, fournissez des informations sur la restauration :

    • Sélectionnez la copie snapshot source.

    • Sélectionnez le volume de destination.

  3. Dans la page Restaurer révision, sélectionnez Restaurer.

    BlueXP affiche l'état de la restauration de l'exercice de préparation comme « En cours » sur la page de récupération.

    Une fois la restauration terminée, BlueXP modifie le statut de la charge de travail sur Restauré.

  4. Vérifiez le workload restauré.

Astuce Pour plus de détails sur le processus de restauration, reportez-vous à "Récupération après une attaque par ransomware (après neutralisation des incidents)"la section .

Modifiez l'état des alertes après l'exercice de préparation

Après avoir examiné l’alerte d’exercice de préparation et restauré la charge de travail, modifiez l’état de l’alerte si nécessaire.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Retournez à la page Détails de l'alerte.

  2. Sélectionnez à nouveau l'alerte.

  3. Indiquez l'état en sélectionnant Modifier l'état et changez l'état à l'un des suivants :

    • Rejeté : si vous soupçonnez que l'activité ne constitue pas une attaque par ransomware, remplacez le statut par rejeté.

      Important Après avoir rejeté une attaque, vous ne pouvez plus la rechanter. Si vous rejetez un workload, toutes les copies Snapshot effectuées automatiquement en réponse à une attaque potentielle par ransomware seront définitivement supprimées. Si vous rejetez l'alerte, l'exercice de préparation est considéré comme terminé.

    • Résolu : l'incident a été atténué.

Passez en revue les rapports sur l'exercice de préparation

Une fois l'exercice de préparation terminé, vous pouvez consulter et enregistrer un rapport sur l'exercice.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet, administrateur de protection contre les ransomwares ou rôle de visualiseur de ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le menu protection contre les ransomwares BlueXP, sélectionnez Rapports.

    Page Rapports affichant le rapport de la foreuse de préparation

  2. Sélectionnez exercices d'état de préparation et Télécharger pour télécharger le rapport d'exercice d'état de préparation.