La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Alertes

10/14/2025 Contributeurs

La page Alertes de sécurité de la charge de travail affiche une chronologie des attaques et/ou des avertissements récents et vous permet d'afficher les détails de chaque problème.

Liste des alertes

Alerte

La liste des alertes affiche un graphique indiquant le nombre total d'attaques potentielles et/ou d'avertissements qui ont été émis dans la période sélectionnée, suivi d'une liste des attaques et/ou des avertissements qui se sont produits dans cette période. Vous pouvez modifier la plage horaire en ajustant les curseurs d'heure de début et d'heure de fin dans le graphique.

Les éléments suivants sont affichés pour chaque alerte :

Attaques potentielles :

Le type d'attaque potentielle (par exemple, Ransomware ou Sabotage)
La date et l'heure auxquelles l'attaque potentielle a été détectée
Le Statut de l'alerte :
- Nouveau : il s'agit de la valeur par défaut pour les nouvelles alertes.
- En cours : L'alerte fait l'objet d'une enquête par un ou plusieurs membres de l'équipe.
- Résolu : L'alerte a été marquée comme résolue par un membre de l'équipe.
- Rejeté : l'alerte a été rejetée en tant que faux positif ou comportement attendu.
  
  Un administrateur peut modifier le statut de l’alerte et ajouter une note pour faciliter l’enquête.
L'utilisateur dont le comportement a déclenché l'alerte
Preuve de l'attaque (par exemple, un grand nombre de fichiers ont été chiffrés)
L'action entreprise (par exemple, un instantané a été pris)

Avertissements :

Le Comportement anormal qui a déclenché l'avertissement
La date et l'heure auxquelles le comportement a été détecté
Le Statut de l'alerte (Nouveau, En cours, etc.)
L'utilisateur dont le comportement a déclenché l'alerte
Une description du Changement (par exemple, une augmentation anormale de l'accès aux fichiers)
L'action entreprise

Options de filtrage

Vous pouvez filtrer les alertes selon les critères suivants :

Le Statut de l'alerte
Texte spécifique dans la Note
Le type d'attaques/avertissements
L'utilisateur dont les actions ont déclenché l'alerte/l'avertissement

La page Détails de l'alerte

Vous pouvez cliquer sur un lien d’alerte sur la page de liste des alertes pour ouvrir une page de détails de l’alerte. Les détails de l’alerte peuvent varier en fonction du type d’attaque ou d’alerte. Par exemple, une page de détails d’attaque de ransomware peut afficher les informations suivantes :

Section récapitulative :

Type d'attaque (ransomware, sabotage) et identifiant d'alerte (attribué par Workload Security)
Date et heure de détection de l'attaque
Action entreprise (par exemple, un instantané automatique a été pris). L'heure de l'instantané est indiquée immédiatement sous la section récapitulative))
Statut (Nouveau, En cours, etc.)

Section Résultats d'attaque :

Nombre de volumes et de fichiers affectés
Un résumé d'accompagnement de la détection
Un graphique montrant l'activité du fichier pendant l'attaque

Section Utilisateurs associés :

Cette section affiche des détails sur l'utilisateur impliqué dans l'attaque potentielle, y compris un graphique de l'activité principale de l'utilisateur.

Page d'alertes (cet exemple montre une attaque potentielle de ransomware) : Exemple d'alerte de ransomware

Page de détails (cet exemple montre une attaque potentielle par ransomware) : Exemple de page de détails sur les ransomwares

Prendre un instantané Action

Workload Security protège vos données en prenant automatiquement un instantané lorsqu'une activité malveillante est détectée, garantissant ainsi que vos données sont sauvegardées en toute sécurité.

Vous pouvez définir"politiques de réponse automatisées" qui prennent un instantané lorsqu'une attaque de ransomware ou une autre activité anormale de l'utilisateur est détectée. Vous pouvez également prendre un instantané manuellement à partir de la page d’alerte.

Capture d'écran automatique prise : Écran d'action d'alerte, 1000

Instantané manuel : Écran d'action d'alerte, 1000

Notifications d'alerte

Les notifications par courrier électronique des alertes sont envoyées à une liste de destinataires d'alertes pour chaque action sur l'alerte. Pour configurer les destinataires des alertes, cliquez sur Admin > Notifications et saisissez une adresse e-mail pour chaque destinataire.

Politique de conservation

Les alertes et avertissements sont conservés pendant 13 mois. Les alertes et avertissements datant de plus de 13 mois seront supprimés. Si l’environnement Workload Security est supprimé, toutes les données associées à l’environnement sont également supprimées.

Dépannage

Problème:	Essayez ceci:
Il existe une situation dans laquelle ONTAP prend des instantanés toutes les heures par jour. Les snapshots de Workload Security (WS) l'affecteront-ils ? Le snapshot WS prendra-t-il la place du snapshot horaire ? L'instantané horaire par défaut sera-t-il arrêté ?	Les instantanés de sécurité de la charge de travail n'affecteront pas les instantanés horaires. Les instantanés WS n'occuperont pas l'espace d'instantané horaire et cela devrait continuer comme avant. L'instantané horaire par défaut ne sera pas arrêté.
Que se passera-t-il si le nombre maximal de snapshots est atteint dans ONTAP?	Si le nombre maximal de snapshots est atteint, la prise de snapshots suivante échouera et Workload Security affichera un message d'erreur indiquant que le snapshot est plein. L'utilisateur doit définir des politiques d'instantanés pour supprimer les instantanés les plus anciens, sinon les instantanés ne seront pas pris. Dans ONTAP 9.3 et les versions antérieures, un volume peut contenir jusqu'à 255 copies Snapshot. Dans ONTAP 9.4 et versions ultérieures, un volume peut contenir jusqu'à 1 023 copies Snapshot. Consultez la documentation ONTAP pour plus d'informations sur"définition de la politique de suppression des instantanés" .
Workload Security n'est pas en mesure de prendre des instantanés.	Assurez-vous que le rôle utilisé pour créer des instantanés dispose du lien : https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [droits appropriés attribués]. Assurez-vous que csrole est créé avec les droits d'accès appropriés pour prendre des instantanés : security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
Les instantanés échouent pour les alertes plus anciennes sur les SVM qui ont été supprimées de Workload Security, puis rajoutées. Pour les nouvelles alertes qui se produisent après le nouvel ajout de SVM, des instantanés sont pris.	C'est un scénario rare. Si vous rencontrez ce problème, connectez-vous à ONTAP et prenez manuellement les instantanés des alertes les plus anciennes.
Dans la page Détails de l'alerte, le message d'erreur « La dernière tentative a échoué » s'affiche sous le bouton Prendre un instantané. Le survol de l'erreur affiche « La commande d'appel de l'API a expiré pour le collecteur de données avec l'ID ».	Cela peut se produire lorsqu'un collecteur de données est ajouté à Workload Security via SVM Management IP, si le LIF du SVM est à l'état désactivé dans ONTAP. Activez le LIF particulier dans ONTAP et déclenchez Prendre un instantané manuellement à partir de Workload Security. L'action Snapshot réussira alors.

Problème:

Essayez ceci:

Il existe une situation dans laquelle ONTAP prend des instantanés toutes les heures par jour. Les snapshots de Workload Security (WS) l'affecteront-ils ? Le snapshot WS prendra-t-il la place du snapshot horaire ? L'instantané horaire par défaut sera-t-il arrêté ?

Les instantanés de sécurité de la charge de travail n'affecteront pas les instantanés horaires. Les instantanés WS n'occuperont pas l'espace d'instantané horaire et cela devrait continuer comme avant. L'instantané horaire par défaut ne sera pas arrêté.

Que se passera-t-il si le nombre maximal de snapshots est atteint dans ONTAP?

Si le nombre maximal de snapshots est atteint, la prise de snapshots suivante échouera et Workload Security affichera un message d'erreur indiquant que le snapshot est plein. L'utilisateur doit définir des politiques d'instantanés pour supprimer les instantanés les plus anciens, sinon les instantanés ne seront pas pris. Dans ONTAP 9.3 et les versions antérieures, un volume peut contenir jusqu'à 255 copies Snapshot. Dans ONTAP 9.4 et versions ultérieures, un volume peut contenir jusqu'à 1 023 copies Snapshot. Consultez la documentation ONTAP pour plus d'informations sur"définition de la politique de suppression des instantanés" .

Workload Security n'est pas en mesure de prendre des instantanés.

Assurez-vous que le rôle utilisé pour créer des instantanés dispose du lien : https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [droits appropriés attribués]. Assurez-vous que csrole est créé avec les droits d'accès appropriés pour prendre des instantanés : security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Les instantanés échouent pour les alertes plus anciennes sur les SVM qui ont été supprimées de Workload Security, puis rajoutées. Pour les nouvelles alertes qui se produisent après le nouvel ajout de SVM, des instantanés sont pris.

C'est un scénario rare. Si vous rencontrez ce problème, connectez-vous à ONTAP et prenez manuellement les instantanés des alertes les plus anciennes.

Dans la page Détails de l'alerte, le message d'erreur « La dernière tentative a échoué » s'affiche sous le bouton Prendre un instantané. Le survol de l'erreur affiche « La commande d'appel de l'API a expiré pour le collecteur de données avec l'ID ».

Cela peut se produire lorsqu'un collecteur de données est ajouté à Workload Security via SVM Management IP, si le LIF du SVM est à l'état désactivé dans ONTAP. Activez le LIF particulier dans ONTAP et déclenchez Prendre un instantané manuellement à partir de Workload Security. L'action Snapshot réussira alors.