La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Avvisi

10/14/2025 Collaboratori

PDF

La pagina Avvisi sulla sicurezza del carico di lavoro mostra una cronologia degli attacchi e/o degli avvisi recenti e consente di visualizzare i dettagli per ciascun problema.

Elenco degli avvisi

Attenzione

L'elenco degli avvisi visualizza un grafico che mostra il numero totale di potenziali attacchi e/o avvisi emessi nell'intervallo di tempo selezionato, seguito da un elenco degli attacchi e/o avvisi verificatisi in tale intervallo di tempo. È possibile modificare l'intervallo di tempo regolando i cursori dell'ora di inizio e dell'ora di fine nel grafico.

Per ogni avviso viene visualizzato quanto segue:

Potenziali attacchi:

Il tipo di Potenziale attacco (ad esempio, Ransomware o Sabotaggio)
Data e ora in cui è stato rilevato il potenziale attacco
Lo Stato dell'avviso:
- Nuovo: questa è l'impostazione predefinita per i nuovi avvisi.
- In corso: l'avviso è in fase di analisi da parte di uno o più membri del team.
- Risolto: l'avviso è stato contrassegnato come risolto da un membro del team.
- Ignorato: l'avviso è stato ignorato come falso positivo o comportamento previsto.
  
  Un amministratore può modificare lo stato dell'avviso e aggiungere una nota per facilitare l'indagine.
L'Utente il cui comportamento ha attivato l'avviso
Prova dell'attacco (ad esempio, un gran numero di file è stato crittografato)
L'azione intrapresa (ad esempio, è stata scattata un'istantanea)

Avvertenze:

Il comportamento anomalo che ha attivato l'avviso
La data e l'ora in cui il comportamento è stato Rilevato
Lo Stato dell'avviso (Nuovo, In corso, ecc.)
L'Utente il cui comportamento ha attivato l'avviso
Una descrizione della Modifica (ad esempio, un aumento anomalo dell'accesso ai file)
L'azione intrapresa

Opzioni filtro

Puoi filtrare gli avvisi in base a quanto segue:

Lo Stato dell'avviso
Testo specifico nella Nota
Il tipo di Attacchi/Avvisi
L'Utente le cui azioni hanno attivato l'avviso/segnalazione

La pagina Dettagli avviso

È possibile fare clic sul collegamento di un avviso nella pagina dell'elenco degli avvisi per aprire una pagina dei dettagli dell'avviso. I dettagli dell'avviso possono variare a seconda del tipo di attacco o di avviso. Ad esempio, una pagina dei dettagli di un attacco ransomware potrebbe mostrare le seguenti informazioni:

Sezione riassuntiva:

Tipo di attacco (ransomware, sabotaggio) e ID avviso (assegnato da Workload Security)
Data e ora in cui è stato rilevato l'attacco
Azione intrapresa (ad esempio, è stata scattata un'istantanea automatica). L'ora dello snapshot è mostrata immediatamente sotto la sezione di riepilogo))
Stato (Nuovo, In corso, ecc.)

Sezione Risultati dell'attacco:

Conteggio dei volumi e dei file interessati
Un riassunto allegato del rilevamento
Un grafico che mostra l'attività del file durante l'attacco

Sezione Utenti correlati:

Questa sezione mostra i dettagli sull'utente coinvolto nel potenziale attacco, incluso un grafico delle principali attività dell'utente.

Pagina degli avvisi (questo esempio mostra un potenziale attacco ransomware): Esempio di avviso ransomware

Pagina dei dettagli (questo esempio mostra un potenziale attacco ransomware): Esempio di pagina dei dettagli del ransomware

Scatta un'istantanea Azione

Workload Security protegge i tuoi dati eseguendo automaticamente uno snapshot quando viene rilevata un'attività dannosa, garantendo così che i tuoi dati vengano sottoposti a backup in modo sicuro.

Puoi definire"politiche di risposta automatizzate" che scattano un'istantanea quando viene rilevato un attacco ransomware o altre attività anomale dell'utente. È anche possibile acquisire manualmente uno snapshot dalla pagina di avviso.

Istantanea automatica scattata: Schermata di azione di avviso, 1000

Istantanea manuale: Schermata di azione di avviso, 1000

Notifiche di avviso

Le notifiche e-mail degli avvisi vengono inviate a un elenco di destinatari degli avvisi per ogni azione sull'avviso. Per configurare i destinatari degli avvisi, fare clic su Amministrazione > Notifiche e immettere un indirizzo e-mail per ciascun destinatario.

Politica di conservazione

Gli avvisi e le segnalazioni vengono conservati per 13 mesi. Gli avvisi e le segnalazioni più vecchi di 13 mesi verranno eliminati. Se l'ambiente Workload Security viene eliminato, vengono eliminati anche tutti i dati associati all'ambiente.

Risoluzione dei problemi

Problema:	Prova questo:
Esiste una situazione in cui ONTAP acquisisce snapshot orari al giorno. Gli snapshot di Workload Security (WS) avranno ripercussioni? Lo snapshot WS sostituirà lo snapshot orario? Lo snapshot orario predefinito verrà interrotto?	Gli snapshot di Workload Security non influiranno sugli snapshot orari. Gli snapshot WS non occuperanno lo spazio degli snapshot orari e la situazione dovrebbe continuare come prima. Lo snapshot orario predefinito non verrà interrotto.
Cosa succede se viene raggiunto il numero massimo di snapshot in ONTAP?	Se viene raggiunto il numero massimo di snapshot, l'acquisizione successiva degli snapshot non riuscirà e Workload Security mostrerà un messaggio di errore che indica che lo snapshot è pieno. L'utente deve definire criteri di snapshot per eliminare gli snapshot più vecchi, altrimenti gli snapshot non verranno acquisiti. In ONTAP 9.3 e versioni precedenti, un volume può contenere fino a 255 copie Snapshot. In ONTAP 9.4 e versioni successive, un volume può contenere fino a 1023 copie Snapshot. Consultare la documentazione ONTAP per informazioni su"impostazione della politica di eliminazione degli snapshot" .
Workload Security non è in grado di acquisire snapshot.	Assicurarsi che il ruolo utilizzato per creare snapshot abbia il collegamento: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [diritti appropriati assegnati]. Assicurarsi che csrole sia stato creato con i diritti di accesso appropriati per l'acquisizione di snapshot: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
Gli snapshot non funzionano per gli avvisi più vecchi sulle SVM che sono state rimosse da Workload Security e successivamente aggiunte di nuovo. Per i nuovi avvisi che si verificano dopo aver aggiunto nuovamente SVM, vengono creati degli snapshot.	Si tratta di uno scenario raro. Nel caso in cui si verifichi questo problema, accedere a ONTAP ed eseguire manualmente gli snapshot per gli avvisi più vecchi.
Nella pagina Dettagli avviso, sotto il pulsante Acquisisci istantanea viene visualizzato il messaggio di errore "Ultimo tentativo fallito". Passando il mouse sopra l'errore viene visualizzato il messaggio "Il comando Invoke API è scaduto per il raccoglitore dati con ID".	Ciò può accadere quando un data collector viene aggiunto a Workload Security tramite SVM Management IP, se il LIF dell'SVM è nello stato disabilitato in ONTAP. Abilitare il LIF specifico in ONTAP e attivare Esegui snapshot manualmente da Workload Security. L'azione Snapshot avrà quindi esito positivo.

Problema:

Prova questo:

Esiste una situazione in cui ONTAP acquisisce snapshot orari al giorno. Gli snapshot di Workload Security (WS) avranno ripercussioni? Lo snapshot WS sostituirà lo snapshot orario? Lo snapshot orario predefinito verrà interrotto?

Gli snapshot di Workload Security non influiranno sugli snapshot orari. Gli snapshot WS non occuperanno lo spazio degli snapshot orari e la situazione dovrebbe continuare come prima. Lo snapshot orario predefinito non verrà interrotto.

Cosa succede se viene raggiunto il numero massimo di snapshot in ONTAP?

Se viene raggiunto il numero massimo di snapshot, l'acquisizione successiva degli snapshot non riuscirà e Workload Security mostrerà un messaggio di errore che indica che lo snapshot è pieno. L'utente deve definire criteri di snapshot per eliminare gli snapshot più vecchi, altrimenti gli snapshot non verranno acquisiti. In ONTAP 9.3 e versioni precedenti, un volume può contenere fino a 255 copie Snapshot. In ONTAP 9.4 e versioni successive, un volume può contenere fino a 1023 copie Snapshot. Consultare la documentazione ONTAP per informazioni su"impostazione della politica di eliminazione degli snapshot" .

Workload Security non è in grado di acquisire snapshot.

Assicurarsi che il ruolo utilizzato per creare snapshot abbia il collegamento: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [diritti appropriati assegnati]. Assicurarsi che csrole sia stato creato con i diritti di accesso appropriati per l'acquisizione di snapshot: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Gli snapshot non funzionano per gli avvisi più vecchi sulle SVM che sono state rimosse da Workload Security e successivamente aggiunte di nuovo. Per i nuovi avvisi che si verificano dopo aver aggiunto nuovamente SVM, vengono creati degli snapshot.

Si tratta di uno scenario raro. Nel caso in cui si verifichi questo problema, accedere a ONTAP ed eseguire manualmente gli snapshot per gli avvisi più vecchi.

Nella pagina Dettagli avviso, sotto il pulsante Acquisisci istantanea viene visualizzato il messaggio di errore "Ultimo tentativo fallito". Passando il mouse sopra l'errore viene visualizzato il messaggio "Il comando Invoke API è scaduto per il raccoglitore dati con ID".

Ciò può accadere quando un data collector viene aggiunto a Workload Security tramite SVM Management IP, se il LIF dell'SVM è nello stato disabilitato in ONTAP. Abilitare il LIF specifico in ONTAP e attivare Esegui snapshot manualmente da Workload Security. L'azione Snapshot avrà quindi esito positivo.