Effectuez un exercice de préparation aux attaques de ransomware dans NetApp Ransomware Resilience
Effectuez un exercice de préparation à une attaque par ransomware dans NetApp Ransomware Resilience pour tester votre préparation à une véritable attaque par ransomware. Avec l’exercice de préparation, Ransomware Resilience simule une attaque sur un nouvel échantillon de charge de travail, vous permettant d’analyser l’attaque simulée et d’effectuer une restauration sans impacter vos véritables données de production. L’exercice de préparation vous aide à vous familiariser avec les notifications d’alerte et à vous préparer à la réponse et à la restauration. Vous pouvez exécuter l’exercice aussi souvent que nécessaire.
Vous pouvez exécuter des exercices de préparation sur les charges de travail NFS et CIFS (SMB).
Comment fonctionnent les exercices de préparation
La solution Ransomware Resilience propose trois types d’exercices : "restauration propre", "récupération personnalisée" et "récupération après une fuite de données". Les exercices de restauration propre et de récupération personnalisée simulent des attaques basées sur le chiffrement (entropie) et diffèrent par la méthode de récupération qu’ils proposent. Les exercices de récupération après fuite de données simulent une exfiltration avec des schémas de lecture inhabituels sur vos données.
Lorsque vous configurez un exercice de préparation, Ransomware Resilience crée un volume de test, applique une protection contre les ransomwares avec une stratégie de snapshot au volume, valide la connectivité, monte le volume, copie les données de référence, démonte le volume et crée un snapshot de référence.
Lorsque vous lancez l'exercice, Ransomware Resilience monte le volume puis simule une attaque de ransomware. Si l'exercice de préparation concerne une récupération personnalisée ou une restauration complète, les données de base du volume de test sont remplacées par des extensions de fichiers connues pour être associées aux ransomwares, ainsi que par des fichiers chiffrés ou modifiés par entropie. Lors d'un exercice de récupération suite à une fuite de données, les fichiers ne sont pas remplacés ; Ransomware Resilience simule plutôt un attaquant lisant et exfiltrant systématiquement les données. Quel que soit le type d'exercice, Ransomware Resilience déclenche ensuite une alerte et vérifie que l'alerte a bien été générée.
Lorsque vous exécutez l'exercice, vous pouvez tester votre réaction aux alertes et, si vous le souhaitez, parcourir le processus de récupération sans impacter les données réelles.
Configurer un exercice de préparation aux attaques de ransomware
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du "Super administrateur" ou du rôle d'administrateur Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".
-
Dans Ransomware Resilience, sélectionnez Paramètres.
-
Dans la tuile Readiness drill, sélectionnez Configure.
-
Choisissez le type d'exercice de préparation.
-
Récupération personnalisée : Répondez à une attaque de chiffrement (entropie) avec un "restauration personnalisée" où vous configurez le point de récupération.
-
Restauration propre : Répondez à une attaque de chiffrement (entropie) par un "restauration propre" processus de récupération qui vous guide vers des points de récupération optimisés.
-
Reprise après une violation de données : Vous devez avoir configuré "un agent d'activité utilisateur" avant de pouvoir activer ce type d’exercice.
-
-
Choisissez l'environnement dans lequel le test de préparation sera créé.
-
Choisissez l'agent de console et le système.
-
Après avoir choisi le Système, choisissez la VM de stockage dans la liste préremplie.
-
Fournissez un nom pour la nouvelle charge de travail de test. La charge de travail de test sera précédée de « rps_test_ ».
-
Si l'exercice de préparation concerne la récupération après une violation de données, sélectionnez l'agent d'activité utilisateur pour l'environnement d'exercice.

-
-
Sélectionnez Enregistrer.
|
|
Vous pouvez modifier la configuration de l'exercice de préparation ultérieurement à l'aide de la page Paramètres. |
Démarrer un exercice de préparation
Après avoir configuré l’exercice de préparation, vous pouvez démarrer l’exercice.
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du "Super administrateur" ou du rôle d'administrateur Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".
-
Pour lancer l'exercice :
-
Depuis le tableau de bord NetApp Ransomware Resilience, sélectionnez le bouton Exécuter l'exercice de préparation en haut à droite.

-
Ou accédez à Paramètres. Dans la vignette Exercice de préparation, sélectionnez Démarrer.
-
|
|
Vous ne pouvez pas modifier la configuration de l'exercice de préparation pendant son exécution. Pour modifier l'exercice de préparation, sélectionnez Reset, puis modifiez l'exercice. |
Répondre à une alerte d'exercice de préparation
Testez votre état de préparation en répondant à une alerte d’exercice de préparation.
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du "Super administrateur" ou du rôle d'administrateur Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".
-
Dans le menu Résilience aux ransomwares, sélectionnez Alertes.
La console affiche la page Alertes. Dans la colonne ID d'alerte, vous voyez « Exercice de préparation » à côté de l'ID.

-
Sélectionnez l'alerte portant la mention « Readiness drill ».

-
Passez en revue les incidents d’alerte.
-
Sélectionnez un incident d’alerte.

Lors de l'examen de l'incident, tenez compte des éléments suivants :
-
La gravité potentielle de l'attaque.
Si la gravité indique qu’un utilisateur est suspecté d’activité malveillante, vérifiez le nom d’utilisateur. Vous pouvez également"bloquer l'utilisateur."
-
Activité des fichiers par rapport aux taux attendus. Cela inclut le taux de lecture/écriture, la création de fichiers, le renommage de fichiers et la suppression.
-
La liste des fichiers concernés. Examinez les extensions susceptibles d'être à l'origine de l'attaque.
-
Déterminez l’impact et l’ampleur de l’attaque en examinant le nombre de fichiers et de répertoires impactés.
Restaurer la charge de travail du test
Après avoir examiné l’alerte d’exercice de préparation, restaurez la charge de travail de test si nécessaire.
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du "Super administrateur" ou du rôle d'administrateur Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".
-
Retourner à la page des détails de l’alerte.
-
Si la charge de travail de test doit être restaurée, sélectionnez Marquer la restauration comme nécessaire puis sélectionnez à nouveau ce bouton dans la boîte de dialogue de confirmation.
-
Dans le menu Résilience aux ransomwares, sélectionnez Récupération.
-
Sélectionnez la charge de travail de test marquée de l'étiquette « Exercice de préparation » que vous souhaitez restaurer.
-
Sélectionnez Restaurer.
-
Suivez les instructions correspondant au mode de récupération que vous avez configuré :
Modifier le statut de l'alerte après l'exercice de préparation
Après avoir examiné l’alerte d’exercice de préparation et restauré la charge de travail, modifiez le statut de l’alerte si nécessaire.
Rôle requis dans la console Administrateur d'organisation, administrateur de dossier ou de projet, ou administrateur NetApp Ransomware Resilience. "En savoir plus sur les rôles d'accès à la console pour tous les services".
-
Retourner à la page des détails de l’alerte.
-
Sélectionnez à nouveau l’alerte.
-
Indiquez le statut en sélectionnant Modifier à côté du statut. Changez le statut pour l'une des options suivantes :
-
Rejeté : si vous pensez que l’activité n’est pas une attaque de ransomware, modifiez le statut sur Rejeté.
Une fois l'attaque ignorée, il est impossible de revenir en arrière. Si vous ignorez une charge de travail, toutes les copies instantanées prises automatiquement en réponse à une potentielle attaque de ransomware seront définitivement supprimées. Si vous ignorez l'alerte, l'exercice de préparation est considéré comme terminé. -
Résolu : L’incident a été atténué.
-
Rapports d'examen sur l'exercice de préparation
Une fois l'exercice de préparation terminé, vous pouvez générer et enregistrer un rapport sur l'exercice. Le rapport d'exercice est un fichier JSON contenant des informations telles que la politique de détection, le type et l'horodatage de l'alerte, les détails de l'attaque et l'état de la récupération.
Rôle de console requis Pour effectuer cette tâche, vous devez disposer du "Super administrateur", du rôle d'administrateur Ransomware Resilience ou du rôle de lecteur Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".
-
Dans le menu Résilience aux ransomwares, sélectionnez Rapports.

-
Sélectionnez Exercices de préparation et Télécharger pour télécharger le rapport d’exercice de préparation.