Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Simula un attacco ransomware conducendo un sondaggio per la preparazione

Collaboratori
PDF

Condurre un'indagine di preparazione al ransomware simulando un attacco ransomware su un carico di lavoro di esempio appena creato. Quindi, esaminare l'attacco simulato e recuperare il carico di lavoro del campione. Questa funzionalità ti aiuta a essere preparato in caso di un attacco ransomware effettivo, testando i processi di notifica, risposta e recovery degli avvisi. Puoi eseguire più volte un'analisi di fattibilità del ransomware.

Suggerimento I dati del carico di lavoro reale non saranno influenzati.

Configurare un'indagine per la preparazione agli attacchi ransomware

Prima di eseguire una simulazione, è necessario configurare un drill utilizzando la pagina Impostazioni. È possibile accedere facilmente alla pagina Impostazioni dall'opzione azioni accanto al menu principale.

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona il menu Vertical (verticale) Azioni verticali…​ opzione in alto a destra.

  2. Dal menu a discesa, selezionare Pronta drill o Impostazioni.

  3. Nella scheda di esercitazione pronta nella pagina Impostazioni, selezionare Configura.

    Viene visualizzata la pagina Configura esercitazione pronta.

    Configurare la pagina di preparazione

  4. Selezionare il connettore BlueXP  che si desidera utilizzare per il drill-down.

  5. Selezionare un ambiente di lavoro di prova.

  6. Immettere il nome di un nuovo carico di lavoro di test da creare.

  7. Selezionare Salva.

Suggerimento È possibile modificare la configurazione della sessione di preparazione in un secondo momento utilizzando la pagina Impostazioni.

Avviare un esercizio di preparazione

Dopo aver configurato il drill-down, è possibile avviare il drill-down.

Quando inizi la sessione di preparazione, la protezione dal ransomware BlueXP  ignora la modalità di apprendimento e avvia il sondaggio in modalità attiva. Lo stato di rilevamento del carico di lavoro è attivo.

Suggerimento Un carico di lavoro può avere uno stato di rilevamento ransomware modalità di apprendimento che indica che è stata recentemente assegnata una policy di rilevamento ransomware al carico di lavoro e che il servizio sta analizzando i workload. Uno stato di rilevamento attivo indica che è stato assegnato un criterio di protezione dal rilevamento ransomware.
Fasi

  1. Effettuare una delle seguenti operazioni:

    • Dal menu Impostazioni protezione ransomware BlueXP , seleziona esercitazione sulla preparazione, quindi nella pagina di esercitazione sulla preparazione, seleziona Avvia.

    • OPPURE, nella scheda preparazione, nella pagina Impostazioni, selezionare Avvia.

  2. Se è già stato configurato il ciclo di preparazione, dopo aver selezionato Avvia, viene avviata la procedura di preparazione.

Nota Una volta avviato il drill-down, non è possibile modificare la configurazione del drill-down pronto. È possibile reimpostarlo per ricominciare.

Rispondere a un avviso di esercitazione sulla disponibilità

Verificare la propria disponibilità rispondendo a un avviso di esercitazione sulla disponibilità.

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    Viene visualizzata la pagina Avvisi. Nella colonna ID avviso, accanto all'ID viene visualizzato "Pronto drill".

    Pagina degli avvisi che mostra l'avviso di preparazione

  2. Selezionare l'avviso con l'indicazione "Pronto". Nella pagina Dettagli avvisi viene visualizzato un elenco di avvisi incidente.

    Pagina dei dettagli degli avvisi che mostra l'avviso di preparazione

  3. Esaminare gli incidenti relativi agli avvisi.

  4. Selezionare un incidente di avviso.

    Pagina incidente che mostra l'avviso di preparazione

Ecco alcune cose da cercare:

  • Osservare il tipo di attacco potenziale.

    Se il tipo indica che un utente è sospetto di attività dannosa, rivedere il nome utente. Per approfondire l'argomento relativo alla sicurezza dei workload di Data Infrastructure Insights, selezionare indagare sulla sicurezza dei workload.

  • Esaminare l'attività del file e i processi sospetti:

    • Controllare i dati rilevati in entrata rispetto ai dati previsti.

    • Osservare la velocità di creazione dei file rilevati rispetto alla velocità prevista.

    • Controllare la velocità di ridenominazione del file rilevata rispetto alla velocità prevista.

    • Controllare la frequenza di eliminazione rispetto alla frequenza prevista.

  • Esaminare l'elenco dei file interessati. Esaminare le estensioni che potrebbero causare l'attacco.

  • Determinare l'impatto e la portata dell'attacco esaminando il numero di file e directory interessati.

Ripristinare il carico di lavoro del test

Dopo aver esaminato l'avviso di preparazione, potrebbe essere necessario ripristinare il carico di lavoro del test.

Fasi

  1. Tornare alla pagina Dettagli avviso.

  2. Se il carico di lavoro del test deve essere ripristinato, procedere come segue:

    • Selezionare Segna ripristino necessario.

    • Controllare la conferma e selezionare Segna ripristino necessario nella casella di conferma.

      • Dal menu di protezione dal ransomware BlueXP, seleziona Recovery.

      • Selezionare il carico di lavoro del test contrassegnato con "esercitazione di preparazione" che si desidera ripristinare.

      • Selezionare Restore (Ripristina).

      • Nella pagina Ripristina, fornire le informazioni per il ripristino:

    • Selezionare la copia istantanea di origine.

    • Selezionare il volume di destinazione.

  3. Nella pagina Ripristina revisione, selezionare Ripristina.

    La pagina Recovery (Ripristino) mostra lo stato del ripristino della preparazione come "in corso".

    Al termine del ripristino, lo stato del carico di lavoro cambia in ripristinato.

  4. Esaminare il carico di lavoro ripristinato.

Suggerimento Per informazioni dettagliate sul processo di ripristino, vedere "Ripristino in seguito a un attacco ransomware (dopo la neutralizzazione degli incidenti)".

Modificare lo stato degli avvisi dopo l'esercitazione di preparazione

Dopo aver esaminato l'avviso di verifica della disponibilità e aver ripristinato il carico di lavoro, potrebbe essere necessario modificare lo stato dell'avviso.

Fasi

  1. Tornare alla pagina Dettagli avviso.

  2. Selezionare nuovamente l'avviso.

  3. Indicare lo stato selezionando Modifica stato e modificare lo stato in uno dei seguenti:

    • Respinto: Se sospetti che l'attività non sia un attacco ransomware, cambia lo stato in respinto.

      Importante Dopo aver licenziato un attacco, non è possibile restituirlo. Se elimini un carico di lavoro, tutte le copie snapshot create automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente. Se si ignora l'avviso, l'esercitazione sulla disponibilità viene considerata completata.

    • Risolto: L'incidente è stato mitigato.