Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Rispondi a un avviso ransomware rilevato

Collaboratori
PDF

Se la protezione ransomware di BlueXP rileva un possibile attacco, viene visualizzato un avviso nella dashboard di protezione dal ransomware di BlueXP e nelle notifiche di BlueXP, in alto a destra, che indica un potenziale attacco ransomware. Inoltre, il servizio avvia immediatamente l'acquisizione di una copia Snapshot. A questo punto, dovresti valutare il rischio potenziale nella scheda Avvisi della protezione dal ransomware di BlueXP.

Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati.

Suggerimento Se si decide di ignorare l'avviso, il servizio apprenderà questo comportamento e lo assocerà alle normali operazioni e non avvierà nuovamente un avviso su tale comportamento.

Per iniziare il ripristino dei dati, contrassegnare l'avviso come pronto per il ripristino in modo che l'amministratore dello storage possa avviare il processo di ripristino.

Ogni avviso potrebbe avere più incidenti su volumi diversi con stati diversi, quindi assicurati di esaminare tutti gli incidenti.

Il servizio fornisce informazioni denominate prove su ciò che ha causato l'emissione dell'avviso, come le seguenti:

  • Le estensioni dei file sono state create o modificate

  • Si è verificata la creazione del file ed è stato aumentato di una percentuale elencata

  • Si è verificata l'eliminazione dei file e l'aumento è stato calcolato in percentuale

Un avviso si basa sui seguenti tipi di comportamento:

  • Potenziale attacco: Si verifica un avviso quando la protezione autonoma dal ransomware rileva una nuova estensione e l'evento viene ripetuto più di 20 volte nelle ultime 24 ore (comportamento predefinito).

  • Avvertenza: Si verifica un avviso basato sui seguenti comportamenti:

    • Il rilevamento di una nuova estensione non è stato identificato in precedenza e lo stesso comportamento non si ripete abbastanza volte per dichiararla come attacco.

    • Si osserva un'elevata entropia.

    • Le operazioni di lettura/scrittura/ridenominazione/eliminazione dei file hanno subito un aumento dell'attività del 100% oltre la baseline.

Le prove si basano sulle informazioni fornite dalla protezione autonoma dal ransomware in ONTAP. Per ulteriori informazioni, fare riferimento a. "Panoramica della protezione ransomware autonoma".

Un avviso può avere uno dei seguenti stati:

  • Nuovo

  • Inattivo

Un incidente di avviso è classificato in uno dei seguenti stati:

  • Nuovo: Tutti gli incidenti sono contrassegnati come "nuovi" quando vengono identificati per la prima volta.

  • Respinto: Se sospetti che l'attività non sia un attacco ransomware, puoi cambiare lo stato in "respinto".

    Avvertenza Dopo aver respinto un attacco, non è possibile modificarlo. Se elimini un carico di lavoro, tutte le copie Snapshot acquisite automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente.

  • Licenziamento: L'incidente è in fase di licenziamento.

  • Risolto: L'incidente è stato mitigato.

Visualizza avvisi

Puoi accedere agli avvisi dalla dashboard della protezione dal ransomware di BlueXP o dalla scheda Alerts.

Fasi

  1. Nella dashboard di protezione dal ransomware di BlueXP, consulta il pannello Alerts.

  2. Selezionare Visualizza tutto sotto una delle statue.

  3. Fare clic su un avviso per esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere gli avvisi aggiuntivi, fare clic su Alert nella barra di navigazione in alto a sinistra.

  5. Esaminare gli avvisi nella pagina Avvisi.

    Pagina Avvisi

  6. Continua:

Contrassegna gli incidenti ransomware come pronti per il recovery (dopo la neutralizzazione degli incidenti)

Una volta mitigato l'attacco e sei pronto a ripristinare i carichi di lavoro, dovresti comunicare con il tuo team di amministrazione dello storage che i dati sono pronti per il recovery, in modo che possano avviare il processo di recovery.

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    Pagina Avvisi

  2. Nella pagina Avvisi, selezionare l'avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina incidenti di avviso

  4. Se si stabilisce che gli incidenti sono pronti per il ripristino, selezionare Segna ripristino necessario.

  5. Confermare l'azione e selezionare Segna ripristino necessario.

  6. Per avviare il ripristino del carico di lavoro, selezionare Recupera carico di lavoro nel messaggio o selezionare la scheda Recovery.

Risultato

Dopo aver contrassegnato l'avviso per il ripristino, l'avviso passa dalla scheda Avvisi alla scheda Ripristino.

Elimina gli incidenti che non sono potenziali attacchi

Dopo aver esaminato gli incidenti, è necessario determinare se si tratta di potenziali attacchi. In caso contrario, possono essere respinte.

Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati. Se si decide di ignorare l'avviso, il servizio apprenderà questo comportamento e lo assocerà alle normali operazioni e non avvierà nuovamente un avviso su tale comportamento.

Se elimini un carico di lavoro, tutte le copie Snapshot acquisite automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente.

Avvertenza Se si ignora un avviso, non è possibile ripristinare lo stato in qualsiasi altro stato e non è possibile annullare la modifica.
Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    Pagina Avvisi

  2. Nella pagina Avvisi, selezionare l'avviso.

    Pagina incidenti di avviso

  3. Selezionare uno o più incidenti. In alternativa, selezionare tutti gli incidenti selezionando la casella ID incidente nella parte superiore sinistra della tabella.

  4. Se si stabilisce che l'incidente non è una minaccia, eliminarlo come falso positivo:

    • Se è stato selezionato un incidente, selezionare azioni … A destra, selezionare Modifica stato.

    • Se sono stati selezionati più incidenti, selezionare il pulsante Modifica stato sopra la tabella.

      Pagina Stato modifica avviso

  5. Nella casella Modifica stato, selezionare lo stato "respinto".

    Vengono visualizzate ulteriori informazioni sul carico di lavoro e sulle copie Snapshot che verranno eliminate.

  6. Selezionare Salva.

    Lo stato dell'incidente o degli incidenti diventa "respinto".

Consente di visualizzare un elenco dei file interessati

Prima di ripristinare un workload dell'applicazione a livello di file, è possibile visualizzare un elenco di file interessati. È possibile accedere alla pagina Avvisi per scaricare un elenco di file interessati. Quindi, utilizzare la pagina di ripristino per caricare l'elenco e scegliere i file da ripristinare.

Fasi

Utilizzare la pagina Avvisi per recuperare l'elenco dei file interessati.

Suggerimento Se un volume presenta più avvisi, potrebbe essere necessario scaricare l'elenco CSV dei file interessati per ciascun avviso.

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

  2. Nella pagina Avvisi, ordinare i risultati per carico di lavoro per visualizzare gli avvisi per il carico di lavoro dell'applicazione che si desidera ripristinare.

  3. Dall'elenco degli avvisi per il carico di lavoro, selezionare un avviso.

  4. Per tale avviso, selezionare un singolo incidente.

    elenco dei file interessati per un avviso specifico

  5. Per quell'incidente, selezionare l'icona di download e scaricare l'elenco dei file interessati in formato CSV.