Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Esegui un'esercitazione di preparazione agli attacchi ransomware nella protezione ransomware BlueXP

Collaboratori amgrissino netapp-ahibbard
PDF

Esegui un'esercitazione di preparazione ad un attacco ransomware simulando un attacco su un nuovo carico di lavoro di esempio. Esamina l'attacco simulato e ripristina il carico di lavoro. Utilizza questa funzionalità per testare le notifiche di avviso, la risposta e il ripristino. Esegui l'esercitazione tutte le volte che è necessario.

Suggerimento I dati del tuo carico di lavoro reale non subiscono alcun impatto.

È possibile eseguire esercitazioni di preparazione sui carichi di lavoro NFS e CIFS (SMB).

Configurare un'indagine per la preparazione agli attacchi ransomware

Prima di eseguire una simulazione, imposta un'esercitazione nella pagina Impostazioni. Accedi alla pagina Impostazioni dall'opzione Azioni nel menu in alto.

Sarà necessario immettere un nome utente e una password nelle seguenti situazioni:

  • Se si sono verificate modifiche al nome utente o alla password per la VM di archiviazione selezionata in precedenza

  • Se selezioni una VM di archiviazione CIFS (SMB) diversa

  • Se si immette un nome di carico di lavoro di prova diverso

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Dal menu di protezione ransomware BlueXP, seleziona il pulsante Esegui esercitazione di preparazione in alto a destra.

    Pagina della dashboard che mostra il pulsante di esercitazione sulla preparazione all'esecuzione

  2. Nella scheda di esercitazione pronta nella pagina Impostazioni, selezionare Configura.

    BlueXP visualizza la pagina di esercitazione sulla configurazione della prontezza.

    Configurare la pagina di preparazione

  3. Effettuare le seguenti operazioni:

    1. Selezionare il connettore BlueXP  che si desidera utilizzare per il drill-down.

    2. Selezionare un ambiente di lavoro di prova.

    3. Seleziona una SVM per il test dello storage.

    4. Se hai selezionato una VM di archiviazione CIFS (SMB), verranno visualizzati i campi Nome utente e Password. Inserisci il nome utente e la password per la VM di archiviazione.

    5. Immettere il nome di un nuovo carico di lavoro di test da creare. Non includere trattini nel nome.

  4. Selezionare Salva.

Suggerimento È possibile modificare la configurazione della sessione di preparazione in un secondo momento utilizzando la pagina Impostazioni.

Avviare un esercizio di preparazione

Dopo aver configurato il drill-down, è possibile avviare il drill-down.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Quando inizi la sessione di preparazione, la protezione dal ransomware BlueXP  ignora la modalità di apprendimento e avvia il sondaggio in modalità attiva. Lo stato di rilevamento del carico di lavoro è attivo.

Suggerimento Un carico di lavoro può avere uno stato di Modalità di apprendimento di rilevamento ransomware quando di recente è stato assegnato un criterio di rilevamento e il servizio esegue la scansione dei carichi di lavoro.
Fasi

  1. Effettuare una delle seguenti operazioni:

    • Dal menu di protezione ransomware BlueXP, seleziona il pulsante Esegui esercitazione di preparazione in alto a destra.

      Pagina della dashboard che mostra il pulsante di esercitazione sulla preparazione all'esecuzione

    • OPPURE, nella scheda preparazione, nella pagina Impostazioni, selezionare Avvia.

  2. Se è già stato configurato il ciclo di preparazione, dopo aver selezionato Avvia, viene avviata la procedura di preparazione.

Nota Una volta avviato il drill-down, non è possibile modificare la configurazione del drill-down pronto. È possibile reimpostarlo per ricominciare.

Rispondere a un avviso di esercitazione sulla disponibilità

Verificare la propria disponibilità rispondendo a un avviso di esercitazione sulla disponibilità.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    BlueXP visualizza la pagina Avvisi. Nella colonna ID avviso, accanto all'ID è visibile la dicitura "Esercitazione di preparazione".

    Pagina degli avvisi che mostra l'avviso di preparazione

  2. Selezionare l'avviso con l'indicazione "Pronto". Nella pagina Dettagli avvisi viene visualizzato un elenco di avvisi incidente.

    Pagina dei dettagli degli avvisi che mostra l'avviso di preparazione

  3. Esaminare gli incidenti relativi agli avvisi.

  4. Selezionare un incidente di avviso.

    Pagina incidente che mostra l'avviso di preparazione

Ecco alcune cose da cercare:

  • Osservare il tipo di attacco potenziale.

    Se il tipo indica che un utente è sospetto di attività dannosa, rivedere il nome utente. Per approfondire l'argomento relativo alla sicurezza dei workload di Data Infrastructure Insights, selezionare indagare sulla sicurezza dei workload.

  • Esaminare l'attività del file e i processi sospetti:

    • Controllare i dati rilevati in entrata rispetto ai dati previsti.

    • Osservare la velocità di creazione dei file rilevati rispetto alla velocità prevista.

    • Controllare la velocità di ridenominazione del file rilevata rispetto alla velocità prevista.

    • Controllare la frequenza di eliminazione rispetto alla frequenza prevista.

  • Esaminare l'elenco dei file interessati. Esaminare le estensioni che potrebbero causare l'attacco.

  • Determinare l'impatto e la portata dell'attacco esaminando il numero di file e directory interessati.

Ripristinare il carico di lavoro del test

Dopo aver esaminato l'avviso di esercitazione di preparazione, ripristinare il carico di lavoro del test, se necessario.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Tornare alla pagina Dettagli avviso.

  2. Se il carico di lavoro del test deve essere ripristinato, procedere come segue:

    • Selezionare Segna ripristino necessario.

    • Controllare la conferma e selezionare Segna ripristino necessario nella casella di conferma.

      • Dal menu di protezione dal ransomware BlueXP, seleziona Recovery.

      • Selezionare il carico di lavoro del test contrassegnato con "esercitazione di preparazione" che si desidera ripristinare.

      • Selezionare Restore (Ripristina).

      • Nella pagina Ripristina, fornire le informazioni per il ripristino:

    • Selezionare la copia istantanea di origine.

    • Selezionare il volume di destinazione.

  3. Nella pagina Ripristina revisione, selezionare Ripristina.

    BlueXP visualizza lo stato del ripristino del drill di prontezza come "In corso" nella pagina Ripristino.

    Una volta completato il ripristino, BlueXP modifica lo stato del carico di lavoro in Ripristinato.

  4. Esaminare il carico di lavoro ripristinato.

Suggerimento Per informazioni dettagliate sul processo di ripristino, vedere "Ripristino in seguito a un attacco ransomware (dopo la neutralizzazione degli incidenti)".

Modificare lo stato degli avvisi dopo l'esercitazione di preparazione

Dopo aver esaminato l'avviso di esercitazione di prontezza e aver ripristinato il carico di lavoro, modificare lo stato dell'avviso, se necessario.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Tornare alla pagina Dettagli avviso.

  2. Selezionare nuovamente l'avviso.

  3. Indicare lo stato selezionando Modifica stato e modificare lo stato in uno dei seguenti:

    • Respinto: Se sospetti che l'attività non sia un attacco ransomware, cambia lo stato in respinto.

      Importante Dopo aver licenziato un attacco, non è possibile restituirlo. Se elimini un carico di lavoro, tutte le copie snapshot create automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente. Se si ignora l'avviso, l'esercitazione sulla disponibilità viene considerata completata.

    • Risolto: L'incidente è stato mitigato.

Esaminare i rapporti sulla esercitazione sulla disponibilità

Al termine dell'esercitazione di preparazione, è possibile rivedere e salvare un rapporto sull'esercitazione.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti, amministratore della protezione da ransomware o ruolo di visualizzatore di ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Dal menu di protezione dal ransomware di BlueXP, seleziona Report.

    Pagina dei rapporti che mostra il rapporto di preparazione

  2. Selezionare esercitazioni per la preparazione e Download per scaricare il report di esercitazione per la preparazione.