Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci gli avvisi ransomware rilevati con NetApp Ransomware Resilience

Collaboratori amgrissino netapp-ahibbard
PDF

Quando NetApp Ransomware Resilience rileva un possibile attacco, mostra un avviso nella Dashboard e nell'area Notifiche. Ransomware Resilience esegue immediatamente uno snapshot. Esaminare il rischio potenziale nella scheda Avvisi di Ransomware Resilience.

Se Ransomware Resilience rileva un possibile attacco, viene visualizzata una notifica nelle impostazioni di notifica della console e viene inviata un'e-mail all'indirizzo configurato. L'e-mail include informazioni sulla gravità, sul carico di lavoro interessato e un collegamento all'avviso nella scheda Avvisi di Ransomware Resilience.

Puoi ignorare i falsi positivi o decidere di recuperare immediatamente i tuoi dati.

Suggerimento Se si ignora l'avviso, Ransomware Resilience apprende questo comportamento, lo associa alle normali operazioni e non avvia più un avviso.

Per iniziare a recuperare i dati, contrassegna l'avviso come pronto per il recupero, in modo che l'amministratore dell'archiviazione possa avviare il processo di recupero.

Ogni avviso potrebbe includere più incidenti su volumi e stati diversi. Esaminare tutti gli incidenti.

Ransomware Resilience fornisce informazioni, denominate prove, su ciò che ha causato l'emissione dell'avviso, come ad esempio:

  • Le estensioni dei file sono state create o modificate

  • Creazione di file con un confronto tra i tassi rilevati e quelli previsti

  • Eliminazione dei file con un confronto tra i tassi rilevati e quelli previsti

  • Quando la crittografia è elevata, senza modifiche all'estensione del file

Un avviso è classificato come segue:

  • Potenziale attacco: viene generato un avviso quando Autonomous Ransomware Protection rileva una nuova estensione e l'evento si ripete più di 20 volte nelle ultime 24 ore (comportamento predefinito).

  • Avviso: un avviso si verifica in base ai seguenti comportamenti:

    • Non è mai stata identificata prima una nuova estensione e lo stesso comportamento non si ripete abbastanza volte da poter essere considerato un attacco.

    • Si osserva un'elevata entropia.

    • L'attività di lettura, scrittura, ridenominazione o eliminazione dei file è raddoppiata rispetto ai livelli normali.

Nota Per gli ambienti SAN, gli avvisi si basano solo su entropia elevata.

Le prove si basano sulle informazioni di Autonomous Ransomware Protection in ONTAP. Per i dettagli, fare riferimento a "Panoramica sulla protezione autonoma dal ransomware" .

Un avviso può avere uno dei seguenti stati:

  • Nuovo

  • Inattivo

Un incidente di allerta può avere uno dei seguenti stati:

  • Nuovo: tutti gli incidenti vengono contrassegnati come "nuovi" quando vengono identificati per la prima volta.

  • Ignorato: se sospetti che l'attività non sia un attacco ransomware, puoi modificare lo stato in "Ignorato".

    Avvertenza Dopo aver respinto un attacco, non è più possibile ripristinarlo. Se si ignora un carico di lavoro, tutte le copie snapshot eseguite automaticamente in risposta al potenziale attacco ransomware verranno eliminate definitivamente.

  • In fase di archiviazione: L'incidente è in fase di archiviazione.

  • Risolto: l'incidente è stato risolto.

  • Risoluzione automatica: per gli avvisi a bassa priorità, l'incidente viene risolto automaticamente se non viene intrapresa alcuna azione entro cinque giorni.

Suggerimento Se hai configurato un sistema di sicurezza e gestione degli eventi (SIEM) in Ransomware Resilience nella pagina Impostazioni, Ransomware Resilience invia i dettagli dell'avviso al tuo sistema SIEM.

Visualizza avvisi

È possibile accedere agli avvisi dalla Ransomware Resilience Dashboard o dalla scheda Avvisi.

Ruolo Console obbligatorio Per eseguire questa attività, è necessario il ruolo Amministratore organizzazione, Amministratore cartella o progetto, Amministratore Ransomware Resilience o Visualizzatore Ransomware Resilience. "Scopri di più sui ruoli di accesso BlueXP per tutti i servizi" .

Passi

  1. Nella Dashboard di Resilienza Ransomware, esamina il riquadro Avvisi.

  2. Selezionare Visualizza tutto sotto uno degli stati.

  3. Selezionare un avviso per esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere altri avvisi, seleziona Avviso nel breadcrumb in alto a sinistra.

  5. Esaminare gli avvisi nella pagina Avvisi.

    Pagina degli avvisi

  6. Continua con una delle seguenti opzioni:

Rispondere a un'e-mail di avviso

Quando Ransomware Resilience rileva un potenziale attacco, invia una notifica via e-mail agli utenti iscritti in base alle loro preferenze di notifica di abbonamento. L'e-mail contiene informazioni sull'avviso, tra cui la gravità e le risorse interessate.

Puoi ricevere notifiche via e-mail per gli avvisi di Ransomware Resilience. Questa funzionalità ti aiuta a rimanere informato sugli avvisi, sulla loro gravità e sulle risorse interessate.

Suggerimento Per iscriversi alle notifiche via email, fare riferimento a "Imposta le impostazioni di notifica via email" .

  1. In Ransomware Resilience, vai alla pagina Impostazioni.

  2. In Notifiche, individua le impostazioni delle notifiche e-mail.

  3. Inserisci l'indirizzo email a cui desideri ricevere gli avvisi.

  4. Salva le modifiche.

D'ora in poi riceverai notifiche via e-mail quando verranno generati nuovi avvisi.

Ruolo Console obbligatorio Per eseguire questa attività, è necessario il ruolo Amministratore organizzazione, Amministratore cartella o progetto, Amministratore Ransomware Resilience o Visualizzatore Ransomware Resilience. "Scopri di più sui ruoli di accesso BlueXP per tutti i servizi" .

Passi

  1. Visualizza l'email.

  2. Nell'e-mail, seleziona Visualizza avviso e accedi a Ransomware Resilience.

    Viene visualizzata la pagina Avvisi.

  3. Esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere altri avvisi, clicca su Avviso nel breadcrumb in alto a sinistra.

  5. Continua con una delle seguenti opzioni:

Rileva attività dannose e comportamenti anomali degli utenti

Nella scheda Avvisi è possibile verificare se si è verificata un'attività dannosa o un comportamento anomalo da parte dell'utente.

Per visualizzare il rilevamento a livello di utente, è necessario aver configurato un agente di attività utente e abilitato un criterio di protezione con rilevamento del comportamento utente. Se il rilevamento del comportamento dell'utente è abilitato, la colonna Utente sospetto viene visualizzata nella dashboard Avvisi; non viene visualizzata se il rilevamento del comportamento dell'utente non è abilitato. Per abilitare il rilevamento degli utenti sospetti, vedere"Attività utente sospetta" .

Nota Se si utilizza NetApp Data Infrastructure Insights (DII) Workload Security, si consiglia di utilizzare gli stessi agenti Workload Security per Ransomware Resilience. Non è necessario distribuire agenti Workload Security separati per Ransomware Resilience; tuttavia, l'utilizzo degli stessi agenti Workload Security richiede una relazione di associazione tra l'organizzazione Ransomware Resilience Console e il tenant DII Storage Workload Security. Contatta il tuo rappresentante di riferimento per abilitare questa associazione.

Visualizza attività dannose

Quando Autonomous Ransomware Protection attiva un avviso in Ransomware Resilience, puoi visualizzare i seguenti dettagli:

  • Entropia dei dati in arrivo

  • Tasso di creazione previsto di nuovi file rispetto al tasso rilevato

  • Tasso di eliminazione previsto dei file rispetto al tasso rilevato

  • Frequenza di ridenominazione prevista dei file rispetto alla frequenza rilevata

  • File e directory interessati

Nota Questi dettagli sono visualizzabili per i carichi di lavoro NAS. Per gli ambienti SAN sono disponibili solo i dati sull'entropia.
Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Seleziona un avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina di avviso incidenti

  4. Seleziona un incidente per esaminarne i dettagli.

Visualizza il comportamento anomalo dell'utente

Se hai configurato il rilevamento degli utenti sospetti per visualizzare comportamenti anomali degli utenti, puoi visualizzare i dati a livello di utente e bloccare utenti specifici. Per abilitare le impostazioni utente sospette, vedere"Configurare le impostazioni di resilienza al ransomware" .

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Seleziona un avviso.

  3. Esaminare gli incidenti nell'avviso.

  4. Per impedire a un utente sospetto di accedere ulteriormente al tuo ambiente monitorato dalla Console, seleziona Blocca sotto il nome dell'utente.

Contrassegna gli incidenti ransomware come pronti per il ripristino (dopo che gli incidenti sono stati neutralizzati)

Dopo aver fermato l'attacco, informa l'amministratore dell'archiviazione che i dati sono pronti, in modo che possa iniziare il ripristino.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di accesso alla console per tutti i servizi" .

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

    Pagina degli avvisi

  2. Nella pagina Avvisi, seleziona l'avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina di avviso incidenti

  4. Se si determina che gli incidenti sono pronti per il ripristino, selezionare Segna come ripristino necessario.

  5. Conferma l'azione e seleziona Segna come ripristino necessario.

  6. Per avviare il ripristino del carico di lavoro, selezionare Recupera carico di lavoro nel messaggio oppure selezionare la scheda Ripristino.

Risultato

Dopo che l'avviso è stato contrassegnato per il ripristino, l'avviso passa dalla scheda Avvisi alla scheda Ripristino.

Ignorare gli incidenti che non sono potenziali attacchi

Dopo aver esaminato gli incidenti, è necessario stabilire se si tratta di potenziali attacchi. Se non si tratta di minacce reali, possono essere ignorate.

Puoi ignorare i falsi positivi o decidere di recuperare immediatamente i tuoi dati. Se si ignora l'avviso, Ransomware Resilience apprende questo comportamento, lo associa alle normali operazioni e non avvia più un avviso per tale comportamento.

Se si elimina un carico di lavoro, tutte le copie snapshot eseguite automaticamente in risposta a un potenziale attacco ransomware vengono eliminate definitivamente.

Avvertenza Se si ignora un avviso, non è possibile ripristinare lo stato precedente e non è possibile annullare questa modifica.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di accesso alla console per tutti i servizi" .

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

    Pagina degli avvisi

  2. Nella pagina Avvisi, seleziona l'avviso.

    Pagina di avviso incidenti

  3. Seleziona uno o più incidenti. Oppure, seleziona tutti gli incidenti selezionando la casella ID incidente in alto a sinistra della tabella.

  4. Se stabilisci che l'incidente non rappresenta una minaccia, scartalo come falso positivo:

    • Seleziona l'incidente.

    • Selezionare il pulsante Modifica stato sopra la tabella.

      Pagina di stato di modifica dell'avviso

  5. Dalla casella Modifica stato, seleziona lo stato “Ignorato”.

    Vengono visualizzate informazioni aggiuntive sul carico di lavoro e sul fatto che le copie snapshot sono state eliminate.

  6. Seleziona Salva.

    Lo stato dell'incidente o degli incidenti cambia in "Ignorato".

Visualizza un elenco dei file interessati

Prima di ripristinare il carico di lavoro di un'applicazione a livello di file, è possibile visualizzare un elenco dei file interessati. È possibile accedere alla pagina Avvisi per scaricare un elenco dei file interessati. Quindi utilizzare la pagina Recupero per caricare l'elenco e scegliere quali file ripristinare.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di accesso alla console per tutti i servizi" .

Passi

Utilizzare la pagina Avvisi per recuperare l'elenco dei file interessati.

Suggerimento Se un volume presenta più avvisi, potrebbe essere necessario scaricare l'elenco CSV dei file interessati per ciascun avviso.

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Nella pagina Avvisi, ordina i risultati in base al carico di lavoro per visualizzare gli avvisi per il carico di lavoro dell'applicazione che desideri ripristinare.

  3. Dall'elenco degli avvisi per quel carico di lavoro, seleziona un avviso.

  4. Per quell'avviso, seleziona un singolo incidente.

    elenco dei file interessati da un avviso specifico

  5. Per tale incidente, seleziona l'icona di download e scarica l'elenco dei file interessati in formato CSV.