Rispondi a un avviso ransomware rilevato
Se la protezione ransomware di BlueXP rileva un possibile attacco, viene visualizzato un avviso nella dashboard di protezione dal ransomware di BlueXP e nelle notifiche di BlueXP, in alto a destra, che indica un potenziale attacco ransomware. Inoltre, il servizio avvia immediatamente l'acquisizione di una copia snapshot. A questo punto, dovresti valutare il rischio potenziale nella scheda Avvisi della protezione dal ransomware di BlueXP.
Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati.
Se si decide di ignorare l'avviso, il servizio apprenderà questo comportamento e lo assocerà alle normali operazioni e non avvierà nuovamente un avviso su tale comportamento. |
Per iniziare il ripristino dei dati, contrassegnare l'avviso come pronto per il ripristino in modo che l'amministratore dello storage possa avviare il processo di ripristino.
Ogni avviso potrebbe avere più incidenti su volumi diversi con stati diversi, quindi assicurati di esaminare tutti gli incidenti.
Il servizio fornisce informazioni denominate prove su ciò che ha causato l'emissione dell'avviso, come le seguenti:
-
Le estensioni dei file sono state create o modificate
-
Si è verificata la creazione del file ed è stato aumentato di una percentuale elencata
-
Si è verificata l'eliminazione dei file e l'aumento è stato calcolato in percentuale
Un avviso si basa sui seguenti tipi di comportamento:
-
Potenziale attacco: Si verifica un avviso quando la protezione autonoma dal ransomware rileva una nuova estensione e l'evento viene ripetuto più di 20 volte nelle ultime 24 ore (comportamento predefinito).
-
Avvertenza: Si verifica un avviso basato sui seguenti comportamenti:
-
Il rilevamento di una nuova estensione non è stato identificato in precedenza e lo stesso comportamento non si ripete abbastanza volte per dichiararla come attacco.
-
Si osserva un'elevata entropia.
-
Le operazioni di lettura/scrittura/ridenominazione/eliminazione dei file hanno subito un aumento dell'attività del 100% oltre la baseline.
-
Le prove si basano sulle informazioni fornite dalla protezione autonoma dal ransomware in ONTAP. Per ulteriori informazioni, fare riferimento a. "Panoramica della protezione ransomware autonoma".
Un avviso può avere uno dei seguenti stati:
-
Nuovo
-
Inattivo
Un incidente di avviso è classificato in uno dei seguenti stati:
-
Nuovo: Tutti gli incidenti sono contrassegnati come "nuovi" quando vengono identificati per la prima volta.
-
Respinto: Se sospetti che l'attività non sia un attacco ransomware, puoi cambiare lo stato in "respinto".
Dopo aver respinto un attacco, non è possibile modificarlo. Se elimini un carico di lavoro, tutte le copie Snapshot acquisite automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente. -
Licenziamento: L'incidente è in fase di licenziamento.
-
Risolto: L'incidente è stato mitigato.
Visualizza avvisi
Puoi accedere agli avvisi dalla dashboard per la protezione dal ransomware di BlueXP o dalla scheda Avvisi.
-
Nella dashboard di protezione dal ransomware di BlueXP, consulta il pannello Alerts.
-
Selezionare Visualizza tutto in uno degli stati.
-
Fare clic su un avviso per esaminare tutti gli incidenti su ciascun volume per ciascun avviso.
-
Per rivedere gli avvisi aggiuntivi, fare clic su Alert nella barra di navigazione in alto a sinistra.
-
Esaminare gli avvisi nella pagina Avvisi.
-
Continua:
Rileva le attività pericolose e il comportamento anomalo degli utenti
Esaminando la scheda Avvisi, è possibile identificare se vi sono attività dannose. I dettagli visualizzati dipendono dalla modalità di attivazione dell'avviso:
-
Attivato dalla funzionalità di protezione autonoma dal ransomware in ONTAP. In questo modo viene rilevata un'attività dannosa in base al comportamento dei file nel volume.
-
Attivato da Data Infrastructure Insights sicurezza del carico di lavoro. Ciò richiede una licenza per la sicurezza del workload di Insights dell'infrastruttura dati e che sia abilitata nella protezione dal ransomware BlueXP . Questa funzionalità rileva il comportamento anomalo dell'utente nei workload di storage e ti consente di bloccare tale utente da un ulteriore accesso.
Per abilitare la protezione del carico di lavoro nella protezione anti-ransomware di BlueXP , vai alla pagina Impostazioni e seleziona l'opzione connessione di sicurezza del carico di lavoro.
Per una panoramica sulla protezione del carico di lavoro di Data Infrastucture Insights, vedere "Informazioni sulla sicurezza del carico di lavoro"
Se non hai una licenza per la sicurezza dei workload dell'infrastruttura dati e non lo abiliti nella protezione dal ransomware di BlueXP , non vedrai le informazioni sui comportamenti anomali degli utenti. |
Quando si verifica un'attività dannosa, viene generato un avviso e viene creata una snapshot automatizzata.
Visualizza attività pericolose solo dalla protezione autonoma dal ransomware
Quando la protezione autonoma da ransomware attiva un avviso nella protezione ransomware BlueXP , puoi visualizzare i seguenti dettagli:
-
Entropia dei dati in arrivo
-
Velocità prevista di creazione dei nuovi file rispetto alla velocità rilevata
-
Velocità di eliminazione prevista dei file rispetto alla velocità rilevata
-
Velocità di ridenominazione prevista dei file rispetto alla velocità rilevata
-
Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.
-
Selezionare un avviso.
-
Esaminare gli incidenti nell'avviso.
-
Selezionare un incidente per esaminare i dettagli dell'incidente.
Visualizza il comportamento anomalo degli utenti in Data Infrastructure Insights workload Security
Quando Data Infrastructure Insights workload Security attiva un avviso nella protezione ransomware BlueXP , puoi visualizzare l'utente sospetto, bloccare l'utente e analizzare l'attività dell'utente direttamente in Data Infrastructure Insights workload Security.
Queste funzionalità sono oltre ai dettagli disponibili da Just Autonomous ransomware Protection. |
Questa opzione richiede una licenza per la sicurezza del workload di Insights dell'infrastruttura dati e la relativa attivazione nella protezione dal ransomware BlueXP .
Per abilitare la sicurezza del carico di lavoro nella protezione dal ransomware BlueXP , esegui le seguenti operazioni:
-
Andare alla pagina Impostazioni.
-
Selezionare l'opzione connessione di sicurezza del carico di lavoro.
Per ulteriori informazioni, vedere "Configurare le impostazioni di protezione dal ransomware BlueXP".
-
Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.
-
Selezionare un avviso.
-
Esaminare gli incidenti nell'avviso.
-
Per impedire a un utente sospetto di accedere all'ambiente monitorato da BlueXP , selezionare il collegamento Blocca utente.
-
Ricercare l'avviso o un incidente nell'avviso:
-
Per ricercare ulteriormente l'avviso in Data Infrastructure Insights workload Security, selezionare il collegamento analisi in sicurezza del carico di lavoro.
-
Selezionare un incidente per esaminare i dettagli dell'incidente.
Data Infrastructure Insights workload Security si apre in una nuova scheda.
-
Contrassegna gli incidenti ransomware come pronti per il recovery (dopo la neutralizzazione degli incidenti)
Una volta mitigato l'attacco e sei pronto a ripristinare i carichi di lavoro, dovresti comunicare con il tuo team di amministrazione dello storage che i dati sono pronti per il recovery, in modo che possano avviare il processo di recovery.
-
Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.
-
Nella pagina Avvisi, selezionare l'avviso.
-
Esaminare gli incidenti nell'avviso.
-
Se si stabilisce che gli incidenti sono pronti per il ripristino, selezionare Segna ripristino necessario.
-
Confermare l'azione e selezionare Segna ripristino necessario.
-
Per avviare il ripristino del carico di lavoro, selezionare Recupera carico di lavoro nel messaggio o selezionare la scheda Recovery.
Dopo aver contrassegnato l'avviso per il ripristino, l'avviso passa dalla scheda Avvisi alla scheda Ripristino.
Elimina gli incidenti che non sono potenziali attacchi
Dopo aver esaminato gli incidenti, è necessario determinare se si tratta di potenziali attacchi. In caso contrario, possono essere respinte.
Puoi liquidare i falsi positivi o decidere di recuperare immediatamente i tuoi dati. Se si decide di ignorare l'avviso, il servizio apprenderà questo comportamento e lo assocerà alle normali operazioni e non avvierà nuovamente un avviso su tale comportamento.
Se elimini un carico di lavoro, tutte le copie Snapshot acquisite automaticamente in risposta al potenziale attacco ransomware verranno eliminate in maniera permanente.
Se si ignora un avviso, non è possibile ripristinare lo stato in qualsiasi altro stato e non è possibile annullare la modifica. |
-
Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.
-
Nella pagina Avvisi, selezionare l'avviso.
-
Selezionare uno o più incidenti. In alternativa, selezionare tutti gli incidenti selezionando la casella ID incidente nella parte superiore sinistra della tabella.
-
Se si stabilisce che l'incidente non è una minaccia, eliminarlo come falso positivo:
-
Selezionare l'incidente.
-
Selezionare il pulsante Modifica stato sopra la tabella.
-
-
Nella casella Modifica stato, selezionare lo stato "respinto".
Vengono visualizzate ulteriori informazioni sul carico di lavoro e sulle copie Snapshot che verranno eliminate.
-
Selezionare Salva.
Lo stato dell'incidente o degli incidenti diventa "respinto".
Consente di visualizzare un elenco dei file interessati
Prima di ripristinare un workload dell'applicazione a livello di file, è possibile visualizzare un elenco di file interessati. È possibile accedere alla pagina Avvisi per scaricare un elenco di file interessati. Quindi, utilizzare la pagina di ripristino per caricare l'elenco e scegliere i file da ripristinare.
Utilizzare la pagina Avvisi per recuperare l'elenco dei file interessati.
Se un volume presenta più avvisi, potrebbe essere necessario scaricare l'elenco CSV dei file interessati per ciascun avviso. |
-
Dal menu di protezione dal ransomware BlueXP, seleziona Avvisi.
-
Nella pagina Avvisi, ordinare i risultati per carico di lavoro per visualizzare gli avvisi per il carico di lavoro dell'applicazione che si desidera ripristinare.
-
Dall'elenco degli avvisi per il carico di lavoro, selezionare un avviso.
-
Per tale avviso, selezionare un singolo incidente.
-
Per quell'incidente, selezionare l'icona di download e scaricare l'elenco dei file interessati in formato CSV.