Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci gli avvisi ransomware rilevati con la protezione ransomware BlueXP

Collaboratori amgrissino netapp-ahibbard
PDF

Quando la protezione ransomware BlueXP rileva un possibile attacco, mostra un avviso nella Dashboard e nell'area Notifiche. Il servizio esegue immediatamente uno snapshot. Esamina il potenziale rischio nella scheda Avvisi della protezione ransomware BlueXP.

Se la BlueXP ransomware protection rileva un possibile attacco, viene visualizzata una notifica nelle Notifiche BlueXP e viene inviata un'e-mail all'indirizzo configurato. L'e-mail include informazioni sulla gravità, sul carico di lavoro interessato e un link all'avviso nella scheda Avvisi della BlueXP ransomware protection .

Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati.

Suggerimento Se si ignora l'avviso, il servizio apprende questo comportamento, lo associa alle normali operazioni e non avvia più un avviso.

Per iniziare il ripristino dei dati, contrassegnare l'avviso come pronto per il ripristino in modo che l'amministratore dello storage possa avviare il processo di ripristino.

Ogni avviso potrebbe includere più incidenti con volumi e stati diversi. Esamina tutti gli incidenti.

Il servizio fornisce informazioni denominate prove su ciò che ha causato l'emissione dell'avviso, come le seguenti:

  • Le estensioni dei file sono state create o modificate

  • Creazione di file con un confronto tra i tassi rilevati e quelli previsti

  • Eliminazione dei file con un confronto tra i tassi rilevati e quelli previsti

  • Quando la crittografia è alta, senza modifiche all'estensione del file

Un avviso è classificato come uno dei seguenti:

  • Potenziale attacco: Si verifica un avviso quando la protezione autonoma dal ransomware rileva una nuova estensione e l'evento viene ripetuto più di 20 volte nelle ultime 24 ore (comportamento predefinito).

  • Avvertenza: Si verifica un avviso basato sui seguenti comportamenti:

    • Il rilevamento di una nuova estensione non è stato identificato in precedenza e lo stesso comportamento non si ripete abbastanza volte per dichiararla come attacco.

    • Si osserva un'elevata entropia.

    • L'attività di lettura, scrittura, ridenominazione ed eliminazione dei file è raddoppiata rispetto ai livelli normali.

Nota Per gli ambienti SAN, gli avvisi si basano solo sull'entropia elevata.

Le prove si basano sulle informazioni fornite dalla protezione autonoma dal ransomware in ONTAP. Per ulteriori informazioni, fare riferimento a. "Panoramica della protezione ransomware autonoma".

Un avviso può avere uno dei seguenti stati:

  • Nuovo

  • Inattivo

Un incidente di allerta può avere uno dei seguenti stati:

  • Nuovo: Tutti gli incidenti sono contrassegnati come "nuovi" quando vengono identificati per la prima volta.

  • Respinto: Se sospetti che l'attività non sia un attacco ransomware, puoi cambiare lo stato in "respinto".

    Avvertenza Dopo aver respinto un attacco, non è possibile modificarlo. Se elimini un carico di lavoro, tutte le copie snapshot create automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente.

  • Licenziamento: L'incidente è in fase di licenziamento.

  • Risolto: l'incidente è stato risolto.

  • Risoluzione automatica: per gli avvisi di bassa priorità, l'incidente viene risolto automaticamente se non viene intrapresa alcuna azione entro cinque giorni.

Suggerimento Se hai configurato un sistema di sicurezza e gestione degli eventi (SIEM) nella BlueXP ransomware protection nella pagina Impostazioni, il servizio invia i dettagli dell'avviso al tuo sistema SIEM.

Visualizza avvisi

Puoi accedere agli avvisi dalla dashboard per la protezione dal ransomware di BlueXP  o dalla scheda Avvisi.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti, amministratore della protezione da ransomware o ruolo di visualizzatore di ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Nella dashboard di protezione dal ransomware di BlueXP, consulta il pannello Alerts.

  2. Selezionare Visualizza tutto in uno degli stati.

  3. Selezionare un avviso per rivedere tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere altri avvisi, seleziona Avviso nel breadcrumb in alto a sinistra.

  5. Esaminare gli avvisi nella pagina Avvisi.

    Pagina Avvisi

  6. Continua con una delle seguenti opzioni:

Rispondere a un'e-mail di avviso

Quando la BlueXP ransomware protection rileva un potenziale attacco, invia una notifica via email agli utenti iscritti, in base alle preferenze di notifica impostate. L'email contiene informazioni sull'avviso, tra cui la gravità e le risorse interessate.

Puoi ricevere notifiche via email per gli avvisi BlueXP ransomware protection . Questa funzionalità ti aiuta a rimanere informato sugli avvisi, sulla loro gravità e sulle risorse interessate.

Suggerimento Per iscriversi alle notifiche e-mail, fare riferimento a "Consente di impostare le notifiche e-mail" .

  1. Nella BlueXP ransomware protection, vai alla pagina Impostazioni.

  2. In Notifiche, individua le impostazioni delle notifiche e-mail.

  3. Inserisci l'indirizzo email a cui desideri ricevere gli avvisi.

  4. Salvare le modifiche.

D'ora in poi riceverai notifiche via email quando verranno generati nuovi avvisi.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti, amministratore della protezione da ransomware o ruolo di visualizzatore di ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Visualizza l'email.

  2. Nell'e-mail, seleziona Visualizza avviso e accedi alla BlueXP ransomware protection.

    Viene visualizzata la pagina Avvisi.

  3. Esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere gli avvisi aggiuntivi, fare clic su Alert nella barra di navigazione in alto a sinistra.

  5. Continua con una delle seguenti opzioni:

Rileva le attività pericolose e il comportamento anomalo degli utenti

Esaminando la scheda Avvisi, è possibile identificare se vi sono attività dannose.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Quali dettagli appaiono? I dettagli visualizzati dipendono dalla modalità di attivazione dell'avviso:

  • Attivato dalla funzionalità di protezione autonoma dal ransomware in ONTAP. In questo modo viene rilevata un'attività dannosa in base al comportamento dei file nel volume.

  • Attivato dalla sicurezza del carico di lavoro Data Infrastructure Insights. Ciò richiede una licenza per la sicurezza del workload di Insights dell'infrastruttura dati e che sia abilitata nella protezione dal ransomware BlueXP . Questa funzionalità rileva il comportamento anomalo dell'utente nei workload di storage e ti consente di bloccare tale utente da un ulteriore accesso.

    Per abilitare la sicurezza del carico di lavoro nella protezione anti-ransomware di BlueXP , vai alla pagina Impostazioni e seleziona l'opzione connessione di sicurezza del carico di lavoro.

    Per una panoramica della sicurezza del carico di lavoro Data Infrastructure Insights , consultare "Informazioni sulla sicurezza dei carichi di lavoro" .

Suggerimento Se non si dispone di una licenza per la sicurezza del carico di lavoro dell'infrastruttura dati e non la si abilita nella BlueXP ransomware protection, non verranno visualizzate le informazioni sul comportamento anomalo dell'utente.

Quando si verifica un'attività dannosa, viene generato un avviso e viene creata una snapshot automatizzata.

Visualizza attività pericolose solo dalla protezione autonoma dal ransomware

Quando la protezione autonoma da ransomware attiva un avviso nella protezione ransomware BlueXP , puoi visualizzare i seguenti dettagli:

  • Entropia dei dati in arrivo

  • Velocità prevista di creazione dei nuovi file rispetto alla velocità rilevata

  • Velocità di eliminazione prevista dei file rispetto alla velocità rilevata

  • Velocità di ridenominazione prevista dei file rispetto alla velocità rilevata

  • File e directory interessati

Nota Questi dettagli sono visualizzabili per i carichi di lavoro NAS. Per gli ambienti SAN, sono disponibili solo i dati sull'entropia.
Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

  2. Selezionare un avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina incidenti di avviso

  4. Selezionare un incidente per esaminare i dettagli dell'incidente.

Visualizza il comportamento anomalo degli utenti in Data Infrastructure Insights workload Security

Quando la sicurezza del carico di lavoro di Data Infrastructure Insights attiva un avviso nella protezione ransomware BlueXP , puoi visualizzare l'utente sospetto, bloccare l'utente e analizzare l'attività dell'utente direttamente nella sicurezza del carico di lavoro di Data Infrastructure Insights.

Suggerimento Queste funzionalità sono oltre ai dettagli disponibili da Just Autonomous ransomware Protection.
Prima di iniziare

Questa opzione richiede una licenza per la sicurezza del workload di Data Infrastructure Insights e la sua attivazione nella protezione dal ransomware BlueXP .

Per abilitare la sicurezza del carico di lavoro nella protezione dal ransomware BlueXP , esegui le seguenti operazioni:

  1. Andare alla pagina Impostazioni.

  2. Selezionare l'opzione connessione di sicurezza del carico di lavoro.

    Per ulteriori informazioni, vedere "Configurare le impostazioni di protezione dal ransomware BlueXP".

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

  2. Selezionare un avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina incidenti di avviso che mostra i dettagli sulla sicurezza del carico di lavoro

  4. Per impedire a un utente sospetto di accedere all'ambiente monitorato da BlueXP , selezionare il collegamento Blocca utente.

  5. Ricercare l'avviso o un incidente nell'avviso:

    1. Per ricercare ulteriormente l'avviso nella protezione del carico di lavoro di Data Infrastructure Insights, selezionare il collegamento esamina nella sicurezza del carico di lavoro.

    2. Selezionare un incidente per esaminare i dettagli dell'incidente.

      Data Infrastructure Insights workload Security si apre in una nuova scheda.

    Esaminare in sicurezza del carico di lavoro

Contrassegna gli incidenti ransomware come pronti per il recovery (dopo la neutralizzazione degli incidenti)

Dopo aver fermato l'attacco, informa l'amministratore dell'archiviazione che i dati sono pronti, in modo che possa iniziare il ripristino.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    Pagina Avvisi

  2. Nella pagina Avvisi, selezionare l'avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina incidenti di avviso

  4. Se si stabilisce che gli incidenti sono pronti per il ripristino, selezionare Segna ripristino necessario.

  5. Confermare l'azione e selezionare Segna ripristino necessario.

  6. Per avviare il ripristino del carico di lavoro, selezionare Recupera carico di lavoro nel messaggio o selezionare la scheda Recovery.

Risultato

Dopo aver contrassegnato l'avviso per il ripristino, l'avviso passa dalla scheda Avvisi alla scheda Ripristino.

Elimina gli incidenti che non sono potenziali attacchi

Dopo aver esaminato gli incidenti, è necessario determinare se si tratta di potenziali attacchi. Se la condizione precedente non viene rispettata, possono essere licenziati.

Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati. Se si ignora l'avviso, il servizio apprende questo comportamento, lo associa alle normali operazioni e non avvia più un avviso per tale comportamento.

Se si ignora un carico di lavoro, tutte le copie snapshot eseguite automaticamente in risposta a un potenziale attacco ransomware verranno eliminate definitivamente.

Avvertenza Se si ignora un avviso, non è possibile ripristinare lo stato in qualsiasi altro stato e non è possibile annullare la modifica.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

    Pagina Avvisi

  2. Nella pagina Avvisi, selezionare l'avviso.

    Pagina incidenti di avviso

  3. Selezionare uno o più incidenti. In alternativa, selezionare tutti gli incidenti selezionando la casella ID incidente nella parte superiore sinistra della tabella.

  4. Se si stabilisce che l'incidente non è una minaccia, eliminarlo come falso positivo:

    • Selezionare l'incidente.

    • Selezionare il pulsante Modifica stato sopra la tabella.

      Pagina Stato modifica avviso

  5. Nella casella Modifica stato, selezionare lo stato "respinto".

    Vengono visualizzate informazioni aggiuntive sul carico di lavoro e sul fatto che le copie degli snapshot sono state eliminate.

  6. Selezionare Salva.

    Lo stato dell'incidente o degli incidenti diventa "respinto".

Consente di visualizzare un elenco dei file interessati

Prima di ripristinare un workload dell'applicazione a livello di file, è possibile visualizzare un elenco di file interessati. È possibile accedere alla pagina Avvisi per scaricare un elenco di file interessati. Quindi, utilizzare la pagina di ripristino per caricare l'elenco e scegliere i file da ripristinare.

Ruolo BlueXP obbligatorio Amministratore dell'organizzazione, amministratore di cartelle o progetti oppure amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Fasi

Utilizzare la pagina Avvisi per recuperare l'elenco dei file interessati.

Suggerimento Se un volume presenta più avvisi, potrebbe essere necessario scaricare l'elenco CSV dei file interessati per ciascun avviso.

  1. Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.

  2. Nella pagina Avvisi, ordinare i risultati per carico di lavoro per visualizzare gli avvisi per il carico di lavoro dell'applicazione che si desidera ripristinare.

  3. Dall'elenco degli avvisi per il carico di lavoro, selezionare un avviso.

  4. Per tale avviso, selezionare un singolo incidente.

    elenco dei file interessati per un avviso specifico

  5. Per quell'incidente, selezionare l'icona di download e scaricare l'elenco dei file interessati in formato CSV.