Skip to main content
BlueXP ransomware protection
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les alertes de ransomware détectées avec la protection contre les ransomwares BlueXP

Contributeurs amgrissino netapp-ahibbard
PDF

Lorsque la protection BlueXP contre les ransomwares détecte une attaque potentielle, une alerte s'affiche sur le tableau de bord et dans la zone Notifications. Le service prend immédiatement un instantané. Consultez l'onglet Alertes de la protection BlueXP contre les ransomwares pour évaluer le risque potentiel.

Si la BlueXP ransomware protection détecte une attaque potentielle, une notification apparaît dans les notifications BlueXP et un e-mail est envoyé à l'adresse configurée. Cet e-mail contient des informations sur la gravité de l'attaque, la charge de travail impactée et un lien vers l'alerte dans l'onglet Alertes de la BlueXP ransomware protection .

Vous pouvez ignorer les faux positifs ou décider de restaurer vos données immédiatement.

Astuce Si vous ignorez l'alerte, le service apprend ce comportement, l'associe aux opérations normales et ne déclenche plus d'alerte.

Pour commencer à restaurer vos données, cochez l'alerte comme étant prête pour la restauration afin que votre administrateur de stockage puisse commencer le processus de restauration.

Chaque alerte peut inclure plusieurs incidents sur des volumes et des statuts différents. Examinez tous les incidents.

Le service fournit des informations appelées Evidence sur ce qui a provoqué l'émission de l'alerte, telles que :

  • Les extensions de fichier ont été créées ou modifiées

  • Création de fichier avec une comparaison des taux détectés et attendus

  • Suppression de fichier avec une comparaison des taux détectés par rapport aux taux attendus

  • Lorsque le chiffrement est élevé, sans modification de l'extension de fichier

Une alerte est classée comme suit :

  • Attaque potentielle : une alerte se produit lorsque la protection anti-ransomware autonome détecte une nouvelle extension et que l'occurrence est répétée plus de 20 fois au cours des 24 dernières heures (comportement par défaut).

  • Avertissement : un avertissement se produit en fonction des comportements suivants :

    • La détection d'une nouvelle extension n'a pas été identifiée auparavant et le même comportement ne se répète pas suffisamment de fois pour la déclarer comme une attaque.

    • Une entropie élevée est observée.

    • L'activité de lecture, d'écriture, de renommage ou de suppression de fichiers a doublé par rapport aux niveaux normaux.

Remarque Pour les environnements SAN, les avertissements sont uniquement basés sur une entropie élevée.

La preuve est basée sur des informations issues de la protection anti-ransomware autonome en ONTAP. Pour plus de détails, reportez-vous à "Présentation de la protection autonome contre les ransomwares".

Une alerte peut avoir l'un des États suivants :

  • Nouveau

  • Inactif

Un incident d’alerte peut avoir l’un des états suivants :

  • Nouveau: Tous les incidents sont marqués "nouveau" lorsqu'ils sont identifiés pour la première fois.

  • Rejeté : si vous soupçonnez que l'activité n'est pas une attaque par ransomware, vous pouvez changer le statut en « rejeté ».

    Avertissement Une fois que vous avez rejeté une attaque, vous ne pouvez plus la modifier. Si vous rejetez un workload, toutes les copies Snapshot effectuées automatiquement en réponse à une attaque potentielle par ransomware seront définitivement supprimées.

  • Rejet: L'incident est en train d'être rejeté.

  • Résolu : L'incident a été résolu.

  • Résolution automatique : pour les alertes de faible priorité, l'incident est automatiquement résolu si aucune mesure n'a été prise dans les cinq jours.

Astuce Si vous avez configuré un système de gestion de la sécurité et des événements (SIEM) dans la BlueXP ransomware protection dans la page Paramètres, le service envoie les détails de l'alerte à votre système SIEM.

Afficher les alertes

Vous pouvez accéder aux alertes depuis le tableau de bord de protection contre les ransomwares de BlueXP  ou depuis l'onglet alertes.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet, administrateur de protection contre les ransomwares ou rôle de visualiseur de ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le tableau de bord de protection contre les ransomwares BlueXP, consultez le volet alertes.

  2. Sélectionnez Afficher tout sous l'un des États.

  3. Sélectionnez une alerte pour examiner tous les incidents sur chaque volume pour chaque alerte.

  4. Pour consulter des alertes supplémentaires, sélectionnez Alerte dans le fil d'Ariane en haut à gauche.

  5. Consultez les alertes sur la page alertes.

    Page alertes

  6. Continuez avec l’une des options suivantes :

Répondre à un e-mail d'alerte

Lorsque la BlueXP ransomware protection détecte une attaque potentielle, elle envoie une notification par e-mail aux utilisateurs abonnés, en fonction de leurs préférences d'abonnement. L'e-mail contient des informations sur l'alerte, notamment sa gravité et les ressources affectées.

Vous pouvez recevoir des notifications par e-mail pour les alertes de BlueXP ransomware protection . Cette fonctionnalité vous permet de rester informé des alertes, de leur gravité et des ressources affectées.

Astuce Pour vous abonner aux notifications par e-mail, reportez-vous à "Définir les paramètres de notification par e-mail" .

  1. Dans la BlueXP ransomware protection, accédez à la page Paramètres.

  2. Sous Notifications, recherchez les paramètres de notification par e-mail.

  3. Saisissez l'adresse e-mail à laquelle vous souhaitez recevoir des alertes.

  4. Enregistrez les modifications.

Vous recevrez désormais des notifications par e-mail lorsque de nouvelles alertes seront générées.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet, administrateur de protection contre les ransomwares ou rôle de visualiseur de ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Voir l'e-mail.

  2. Dans l'e-mail, sélectionnez Afficher l'alerte et connectez-vous à la BlueXP ransomware protection.

    La page alertes s'affiche.

  3. Passez en revue tous les incidents sur chaque volume pour chaque alerte.

  4. Pour consulter d'autres alertes, cliquez sur Alert dans le fil d'Ariane en haut à gauche.

  5. Continuez avec l’une des options suivantes :

Détectez les activités malveillantes et les comportements anormaux des utilisateurs

L'onglet alertes vous permet d'identifier les activités malveillantes.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Quels détails apparaissent ? Les détails qui s'affichent dépendent de la manière dont l'alerte a été déclenchée :

  • Déclenché par la fonctionnalité de protection anti-ransomware autonome de ONTAP. Cette action détecte les activités malveillantes en fonction du comportement des fichiers présents dans le volume.

  • Déclenché par la sécurité des workloads Data Infrastructure Insights. Cette opération nécessite une licence pour la sécurité des workloads Data Infrastructure Insights et que vous l'activez dans la protection BlueXP  contre les ransomware. Cette fonctionnalité détecte les comportements anormaux des utilisateurs dans vos workloads de stockage et vous permet de bloquer cet utilisateur pour qu'il n'y ait plus d'accès.

    Pour activer la sécurité de la charge de travail dans la protection contre les ransomware BlueXP , rendez-vous sur la page Paramètres et sélectionnez l'option connexion de sécurité de la charge de travail.

    Pour un aperçu de la sécurité des charges de travail de Data Infrastructure Insights , consultez "À propos de la sécurité des workloads" .

Astuce Si vous ne disposez pas d'une licence pour la sécurité de la charge de travail de l'infrastructure de données et que vous ne l'activez pas dans la BlueXP ransomware protection, vous ne verrez pas les informations sur le comportement anormal des utilisateurs.

En cas d'activité malveillante, une alerte est générée et une copie Snapshot automatique est effectuée.

Affichez les activités malveillantes de la protection anti-ransomware autonome uniquement

Lorsque la protection anti-ransomware autonome déclenche une alerte dans la protection contre les ransomware BlueXP , vous pouvez afficher les informations suivantes :

  • Entropie des données entrantes

  • Taux de création prévu de nouveaux fichiers par rapport au taux détecté

  • Taux de suppression attendu des fichiers par rapport au taux détecté

  • Taux de renommage prévu des fichiers par rapport au taux détecté

  • Fichiers et répertoires concernés

Remarque Ces détails sont visibles pour les charges de travail NAS. Pour les environnements SAN, seules les données d'entropie sont disponibles.
Étapes

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

  2. Sélectionnez une alerte.

  3. Passez en revue les incidents dans l'alerte.

    Page incidents d'alerte

  4. Sélectionnez un incident pour consulter les détails de l'incident.

Consultez les comportements anormaux des utilisateurs dans la sécurité des workloads Data Infrastructure Insights

Lorsque la sécurité des workloads Data Infrastructure Insights déclenche une alerte dans la protection contre les ransomwares BlueXP , vous pouvez afficher l'utilisateur suspect, bloquer l'utilisateur et étudier l'activité des utilisateurs directement dans la sécurité des workloads avec Data Infrastructure Insights.

Astuce Ces fonctionnalités viennent compléter les détails disponibles avec la simple protection anti-ransomware autonome.
Avant de commencer

Cette option requiert une licence pour la sécurité de Data Infrastructure Insights Workload et vous l'activez dans la protection BlueXP  contre les ransomware.

Pour activer la sécurité des workloads dans la protection contre les ransomware BlueXP , procédez comme suit :

  1. Accédez à la page Paramètres.

  2. Sélectionnez l'option Workload Security connection.

    Pour plus de détails, voir "Configurez les paramètres de protection contre les ransomwares BlueXP".

Étapes

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

  2. Sélectionnez une alerte.

  3. Passez en revue les incidents dans l'alerte.

    Page des incidents d'alerte affichant les détails de Workload Security

  4. Pour empêcher un utilisateur suspecté d'accéder davantage à votre environnement surveillé par BlueXP , sélectionnez le lien bloquer l'utilisateur.

  5. Recherchez l'alerte ou un incident dans l'alerte :

    1. Pour approfondir la recherche dans Data Infrastructure Insights Workload Security, cliquez sur le lien Investiguer dans Workload Security.

    2. Sélectionnez un incident pour consulter les détails de l'incident.

      Informations sur l'infrastructure de données Workload Security s'ouvre dans un nouvel onglet.

    Analysez la sécurité des workloads

Marquer les incidents de ransomware comme prêts pour la restauration (après neutralisation des incidents)

Après avoir arrêté l’attaque, informez votre administrateur de stockage que les données sont prêtes afin qu’il puisse commencer la récupération.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

    Page alertes

  2. Dans la page alertes, sélectionnez l'alerte.

  3. Passez en revue les incidents dans l'alerte.

    Page incidents d'alerte

  4. Si vous déterminez que les incidents sont prêts à être restaurés, sélectionnez Marquer la restauration nécessaire.

  5. Confirmez l'action et sélectionnez Marquer la restauration nécessaire.

  6. Pour lancer la récupération de la charge de travail, sélectionnez recover charge de travail dans le message ou sélectionnez l'onglet Recovery.

Résultat

Une fois l'alerte marquée pour la restauration, elle passe de l'onglet alertes à l'onglet récupération.

Rejeter les incidents qui ne sont pas des attaques potentielles

Après avoir examiné les incidents, vous devez déterminer si ces incidents sont des attaques potentielles. Si la condition précédente n’est pas remplie, ils peuvent être licenciés.

Vous pouvez ignorer les faux positifs ou décider de restaurer vos données immédiatement. Si vous ignorez l'alerte, le service apprend ce comportement, l'associe aux opérations normales et ne déclenche plus d'alerte sur un tel comportement.

Si vous supprimez une charge de travail, toutes les copies instantanées prises automatiquement en réponse à une attaque potentielle de ransomware sont définitivement supprimées.

Avertissement Si vous rejetez une alerte, vous ne pouvez pas rétablir cet état à un autre et vous ne pouvez pas annuler cette modification.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

    Page alertes

  2. Dans la page alertes, sélectionnez l'alerte.

    Page incidents d'alerte

  3. Sélectionnez un ou plusieurs incidents. Vous pouvez également sélectionner tous les incidents en sélectionnant la zone ID incident dans le coin supérieur gauche du tableau.

  4. Si vous déterminez que l'incident n'est pas une menace, rejetez-le comme un faux positif :

    • Sélectionnez l'incident.

    • Sélectionnez le bouton Modifier état au-dessus du tableau.

      Page État de modification des alertes

  5. Dans la zone Modifier l'état, sélectionnez l'état “rejeté”.

    Des informations supplémentaires sur la charge de travail et sur la suppression des copies instantanées s'affichent.

  6. Sélectionnez Enregistrer.

    Le statut de l'incident ou des incidents passe à « rejeté ».

Afficher la liste des fichiers affectés

Avant de restaurer une charge applicative au niveau fichier, vous pouvez afficher la liste des fichiers affectés. Vous pouvez accéder à la page alertes pour télécharger la liste des fichiers affectés. Utilisez ensuite la page récupération pour télécharger la liste et choisir les fichiers à restaurer.

Rôle BlueXP requis Administrateur d'organisation, administrateur de dossier ou de projet ou administrateur de protection contre les ransomwares. "En savoir plus sur les rôles d'accès BlueXP pour tous les services" .

Étapes

Utilisez la page alertes pour récupérer la liste des fichiers affectés.

Astuce Si un volume comporte plusieurs alertes, vous devrez peut-être télécharger la liste CSV des fichiers affectés pour chaque alerte.

  1. Dans le menu BlueXP ransomware protection, sélectionnez Alerts.

  2. Sur la page alertes, triez les résultats par charge de travail pour afficher les alertes de la charge de travail d'application que vous souhaitez restaurer.

  3. Dans la liste des alertes pour cette charge de travail, sélectionnez une alerte.

  4. Pour cette alerte, sélectionnez un seul incident.

    liste des fichiers affectés pour une alerte spécifique

  5. Pour cet incident, sélectionnez l'icône de téléchargement et téléchargez la liste des fichiers affectés au format CSV.