Alertes
La page alertes de sécurité de la charge de travail affiche un calendrier des attaques et/ou avertissements récents et vous permet d'afficher les détails de chaque problème.
Alerte
La liste alerte affiche un graphique indiquant le nombre total d'attaques potentielles et/ou d'avertissements qui ont été soulevés dans la plage horaire sélectionnée, suivi d'une liste des attaques et/ou avertissements survenus dans cette plage de temps. Vous pouvez modifier la plage horaire en ajustant les curseurs heure de début et heure de fin dans le graphique.
Pour chaque alerte, les éléments suivants s'affichent :
Attaques potentielles:
-
Le type attaque potentielle (par exemple, ransomware ou sabotage)
-
Date et heure de l'attaque potentielle Detected
-
Le Status de l'alerte :
-
Nouveau : il s'agit de la valeur par défaut pour les nouvelles alertes.
-
En cours : l'alerte est en cours d'enquête par un ou plusieurs membres de l'équipe.
-
Résolu : l'alerte a été marquée comme résolue par un membre de l'équipe.
-
Rejeté: L'alerte a été rejetée comme un comportement faux positif ou attendu.
Un administrateur peut modifier l'état de l'alerte et ajouter une note pour faciliter l'enquête.
-
-
Le User dont le comportement a déclenché l'alerte
-
Evidence de l'attaque (par exemple, un grand nombre de fichiers ont été cryptés)
-
La action entreprise (par exemple, un instantané a été créé)
Avertissements:
-
Le comportement anormal qui a déclenché l'avertissement
-
La date et l'heure auxquelles le comportement a été détecté
-
Le Status de l'alerte (Nouveau, en cours, etc.)
-
Le User dont le comportement a déclenché l'alerte
-
Une description de change (par exemple, une augmentation anormale de l'accès aux fichiers)
-
La action entreprise
Options de filtre
Vous pouvez filtrer les alertes en procédant comme suit :
-
Le Status de l'alerte
-
Texte spécifique dans la Note
-
Type de attaques/Avertissements
-
Le User dont les actions ont déclenché l'alerte/l'avertissement
La page Détails de l'alerte
Vous pouvez cliquer sur un lien d'alerte sur la page de la liste des alertes pour ouvrir une page de détails pour l'alerte. Les détails de l'alerte peuvent varier en fonction du type d'attaque ou d'alerte. Par exemple, une page de détails sur les attaques par ransomware peut afficher les informations suivantes :
Section Récapitulatif :
-
Type d'attaque (ransomware, sabotage) et ID d'alerte (attribué par la sécurité de la charge de travail)
-
Date et heure de détection de l'attaque
-
Action entreprise (par exemple, un instantané automatique a été effectué. L'heure de l'instantané s'affiche immédiatement sous la section récapitulative)
-
État (Nouveau, en cours, etc.)
Section des résultats d'attaque :
-
Nombre de volumes et de fichiers affectés
-
Un résumé de la détection
-
Graphique montrant l'activité du fichier pendant l'attaque
Section utilisateurs associés :
Cette section présente des détails sur l'utilisateur impliqué dans l'attaque potentielle, y compris un graphique de l'activité supérieure pour l'utilisateur.
Page alertes (cet exemple montre une attaque potentielle par ransomware) :
Page de détails (cet exemple montre une attaque potentielle par ransomware) :
Prendre une action instantané
La sécurité des charges de travail protège vos données en prenant automatiquement un instantané en cas de détection d'une activité malveillante, ce qui garantit la sauvegarde sécurisée de vos données.
Vous pouvez définir "stratégies de réponse automatisées" qu'il faut une copie Snapshot lors de la détection d'une attaque par ransomware ou d'une autre activité anormale des utilisateurs. Vous pouvez également prendre un instantané manuellement à partir de la page d'alerte.
Instantané automatique pris :
Instantané manuel :
Notifications d'alerte
Les notifications par e-mail d'alertes sont envoyées à une liste de destinataires d'alertes pour chaque action de l'alerte. Pour configurer les destinataires d'alertes, cliquez sur Admin > Notifications et entrez une adresse e-mail pour chaque destinataire.
Stratégie de conservation
Les alertes et avertissements sont conservés pendant 13 mois. Les alertes et avertissements de plus de 13 mois seront supprimés. Si l'environnement de sécurité de la charge de travail est supprimé, toutes les données associées à l'environnement sont également supprimées.
Dépannage
Problème : | Essayer : |
---|---|
Dans certains cas, ONTAP effectue des copies Snapshot par jour toutes les heures. Les snapshots de sécurité des workloads (WS) l'affecteront-ils ? Le snapshot de la station de travail prend-il la place du snapshot horaire ? Le snapshot horaire par défaut sera-t-il arrêté ? |
Les snapshots de sécurité de la charge de travail n'affectent pas les snapshots horaires. Les instantanés WS ne prennent pas l'espace horaire de snapshot et doivent continuer comme précédemment. Le snapshot horaire par défaut n'est pas arrêté. |
Que se passera-t-il si le nombre maximal de snapshots est atteint dans ONTAP ? |
Si le nombre maximal de snapshots est atteint, la prise de snapshots suivante échoue et la sécurité de la charge de travail affiche un message d'erreur signalant que le snapshot est plein. L'utilisateur doit définir des règles de snapshot pour supprimer les snapshots les plus anciens, sinon les snapshots ne seront pas effectués. Dans ONTAP 9.3 et versions antérieures, un volume peut contenir jusqu'à 255 copies Snapshot. Dans ONTAP 9.4 et versions ultérieures, un volume peut contenir jusqu'à 1023 copies Snapshot. Voir la documentation ONTAP pour plus d'informations sur "Définition de la règle de suppression Snapshot". |
La sécurité de la charge de travail ne peut pas prendre de snapshots du tout. |
Assurez-vous que le rôle utilisé pour créer des snapshots a le lien suivant : droits appropriés attribués. Assurez-vous que csrole est créé avec les droits d'accès appropriés pour la prise de snapshots : Security login role create -vserver <vservername> -role csrole -cmddirname « volume snapshot » -Access All |
Les snapshots échouent pour les alertes plus anciennes sur les SVM qui ont été supprimées de la sécurité des charges de travail, puis rajoutées à nouveau. Pour les nouvelles alertes qui se produisent après l'ajout d'un SVM, des snapshots sont réalisés. |
Ce scénario est rare. Si vous rencontrez ce problème, connectez-vous à ONTAP et prenez manuellement les snapshots pour les anciennes alertes. |
Dans la page Alert Details, le message "Last tentative failed" (dernière tentative échouée) s'affiche sous le bouton prendre snapshot. Lorsque vous passez la souris sur l'erreur, "la commande Invoke API a expiré pour le collecteur de données avec ID" s'affiche. |
Cela peut se produire lorsqu'un collecteur de données est ajouté à la sécurité de la charge de travail via SVM Management IP, si le LIF du SVM est dans Disabled state dans ONTAP. Activez la LIF particulière dans ONTAP et déclenchez Take snapshot manuellement à partir de la sécurité des charges de travail. L'action Snapshot va alors réussir. |