Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci gli avvisi in NetApp Ransomware Resilience

Collaboratori amgrissino netapp-ahibbard
PDF

Quando NetApp Ransomware Resilience rileva un possibile attacco, visualizza un avviso sulla dashboard e nel menu Notifiche. Ransomware Resilience acquisisce immediatamente uno snapshot. Quando ricevi un avviso, esamina il potenziale rischio nella scheda Alerts di Ransomware Resilience per valutare l'impatto sui tuoi dati e prevenire un potenziale attacco ransomware.

Se Ransomware Resilience rileva un possibile attacco, viene visualizzata una notifica nelle impostazioni di notifica della Console e viene inviata un'email agli indirizzi configurati. L'email include informazioni sulla gravità, sul workload interessato e un collegamento all'alert nella scheda Alerts di Ransomware Resilience.

Puoi ignorare i falsi positivi o decidere di recuperare immediatamente i tuoi dati.

Suggerimento Se si ignora l'avviso, Ransomware Resilience apprende questo comportamento, lo associa alle normali operazioni e non avvia più un avviso.

Per iniziare a recuperare i dati, contrassegna l'avviso come pronto per il recupero, in modo che l'amministratore dell'archiviazione possa avviare il processo di recupero.

Ogni avviso potrebbe includere più incidenti su volumi e stati diversi. Esaminare tutti gli incidenti.

Come vengono generati gli avvisi

Ransomware Resilience si basa su prove relative a modelli di entropia dei dati, tipi di estensione dei file e crittografia per generare avvisi. Gli avvisi si basano sui seguenti eventi:

  • Violazione dei dati

  • Distruzione dei dati

  • Le estensioni dei file sono state create o modificate

  • Creazione di file con un confronto tra i tassi rilevati e quelli previsti

  • Eliminazione dei file con un confronto tra i tassi rilevati e quelli previsti

  • Comportamento sospetto dell'utente

  • Quando la crittografia è elevata, senza modifiche all'estensione del file

Nota Per avvisi di violazione dei dati, distruzione dei dati e comportamento sospetto degli utenti, è necessario configurare "rilevamento dell'attività dell'utente".

Tipi e stati di avviso

Gli avvisi hanno uno dei due stati: Nuovo o Inattivo.

Un avviso è classificato come uno dei seguenti tipi:

  • Potenziale attacco: Un avviso viene classificato come potenziale attacco quando:

    • Autonomous Ransomware Protection rileva una nuova estensione e l'occorrenza si ripete più di 20 volte nelle ultime 24 ore (comportamento predefinito).

    • Vengono rilevate violazioni dei dati.

    • È stata rilevata la distruzione dei dati.

  • Avviso: un avviso si verifica in base ai seguenti comportamenti:

    • Non è mai stata identificata prima una nuova estensione e lo stesso comportamento non si ripete abbastanza volte da poter essere considerato un attacco.

    • Si osserva un'elevata entropia.

    • L'attività di lettura, scrittura, ridenominazione o eliminazione dei file è raddoppiata rispetto ai livelli normali.

Nota Per gli ambienti SAN, gli avvisi si basano solo sull'entropia elevata.

Le prove si basano sulle informazioni di Autonomous Ransomware Protection in ONTAP. Per i dettagli, fare riferimento a "Panoramica sulla protezione autonoma dal ransomware" .

Stati di allerta

Un incidente di allerta può avere i seguenti stati:

Stato

Descrizione

Nuovo

Tutti gli incidenti sono contrassegnati come "nuovi" quando vengono identificati per la prima volta.

In revisione

È possibile contrassegnare manualmente un incidente di allerta come "in review" mentre lo si valuta.

Respinto

Se sospetti che l'attività non sia un attacco ransomware, puoi modificare lo stato in "dismissed". + ATTENZIONE: dopo aver ignorato un attacco, non puoi ripristinarne lo stato. Se ignori un workload, tutte le copie snapshot eseguite automaticamente in risposta al potenziale attacco ransomware verranno eliminate definitivamente.

Risolto

L'incidente è stato risolto.

Risolto automaticamente

Per gli avvisi di bassa priorità, l'incidente viene risolto automaticamente se non è stata intrapresa alcuna azione su di esso entro cinque giorni.

Visualizza avvisi

È possibile accedere agli avvisi dalla dashboard di NetApp Ransomware Resilience o dalla scheda Alerts.

Ruolo Console obbligatorio Per eseguire questa attività, è necessario il ruolo Amministratore organizzazione, Amministratore cartella o progetto, Amministratore Ransomware Resilience o Visualizzatore Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console" .

Passi

  1. Nella dashboard NetApp Ransomware Resilience, esamina il riquadro Avvisi.

  2. Selezionare Visualizza tutto sotto uno degli stati.

  3. Selezionare un avviso per esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere altri avvisi, seleziona Avviso nel breadcrumb in alto a sinistra.

  5. Esaminare gli avvisi nella pagina Avvisi.

    Pagina degli avvisi

  6. Continua con una delle seguenti opzioni:

Rispondere a un'e-mail di avviso

Quando Ransomware Resilience rileva un potenziale attacco, invia una notifica via email agli utenti iscritti, in base alle preferenze di notifica di iscrizione configurate nelle impostazioni della NetApp Console. L'email contiene informazioni sull'avviso, tra cui la gravità e le risorse interessate.

Suggerimento Per impostare le notifiche e-mail nella NetApp Console, vedere "Imposta le impostazioni di notifica via email".

Ruolo Console obbligatorio Per eseguire questa attività, è necessario il ruolo Amministratore organizzazione, Amministratore cartella o progetto, Amministratore Ransomware Resilience o Visualizzatore Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console" .

Passi

  1. Visualizza l'email.

  2. Nell'email, seleziona Visualizza avviso e accedi a Ransomware Resilience.

    Viene visualizzata la pagina Avvisi.

  3. Esaminare tutti gli incidenti su ciascun volume per ciascun avviso.

  4. Per rivedere altri avvisi, seleziona Avviso nel breadcrumb in alto a sinistra.

  5. Continua con una delle seguenti opzioni:

Rileva attività dannose e comportamenti anomali degli utenti

Nella scheda Avvisi è possibile verificare se si è verificata un'attività dannosa o un comportamento anomalo da parte dell'utente.

È necessario aver configurato un agente di attività utente e abilitato una policy di protezione con rilevamento del comportamento utente per visualizzare gli avvisi a livello utente. La colonna Utente sospetto viene visualizzata nella dashboard Avvisi solo quando il rilevamento del comportamento utente è abilitato. Per abilitare il rilevamento degli utenti sospetti, vedere "Attività utente sospetta".

Visualizza attività dannose

Quando Autonomous Ransomware Protection attiva un avviso in Ransomware Resilience, puoi visualizzare i seguenti dettagli:

  • Quando è stato attivato l'avviso

  • Quando l'accesso è stato modificato o negato

  • Entropia dei dati in arrivo

  • Tasso di creazione previsto di nuovi file rispetto al tasso rilevato

  • Tasso di eliminazione previsto dei file rispetto al tasso rilevato

  • Frequenza di ridenominazione prevista dei file rispetto alla frequenza rilevata

  • Carichi di lavoro, volumi, file e directory interessati

Nota Questi dettagli sono visualizzabili per i carichi di lavoro NAS. Per gli ambienti SAN sono disponibili solo i dati sull'entropia.
Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Seleziona un avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina di avviso incidenti

  4. Seleziona un incidente per esaminarne i dettagli.

Visualizza il comportamento anomalo dell'utente

Se hai configurato il rilevamento degli utenti sospetti per visualizzare comportamenti anomali degli utenti, puoi visualizzare i dati a livello di utente e bloccare utenti specifici. Per abilitare le impostazioni per gli utenti sospetti, consulta "Configura agenti e collettori per il rilevamento delle attività degli utenti".

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Seleziona un avviso.

  3. Esaminare gli incidenti nell'avviso.

    1. Per bloccare un utente sospetto nel tuo ambiente, seleziona Block accanto al nome dell'utente.

    2. Per disattivare gli avvisi su un determinato utente che è oggetto di un avviso che sai essere falso, seleziona i tre puntini (…​ quindi Escludi questo utente dal monitoraggio. Rivedi la finestra di dialogo quindi seleziona Escludi per confermare.

Suggerimento Per riattivare gli avvisi per un utente, restituisci l'avviso. Seleziona i tre puntini e poi Includi questo utente nel monitoraggio. Puoi anche "Escludi utenti" dal monitoraggio.

Contrassegna gli incidenti ransomware come pronti per il ripristino (dopo che gli incidenti sono stati neutralizzati)

Dopo aver fermato l'attacco, informa l'amministratore dello storage che i dati sono pronti così che possa avviare il processo di ripristino.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console" .

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

    Pagina degli avvisi

  2. Nella pagina Avvisi, seleziona l'avviso.

  3. Esaminare gli incidenti nell'avviso.

    Pagina di avviso incidenti

  4. Se si determina che gli incidenti sono pronti per il ripristino, selezionare Segna come ripristino necessario.

  5. Conferma l'azione e seleziona Segna come ripristino necessario.

  6. Per avviare il ripristino del carico di lavoro, selezionare Recupera carico di lavoro nel messaggio oppure selezionare la scheda Ripristino.

Risultato

Dopo che l'avviso è stato contrassegnato per il ripristino, l'avviso passa dalla scheda Avvisi alla scheda Ripristino.

Ignorare gli incidenti che non sono potenziali attacchi

Dopo aver esaminato gli incidenti, è necessario stabilire se si tratta di potenziali attacchi. Se non si tratta di minacce reali, possono essere ignorate.

Puoi ignorare i falsi positivi o decidere di recuperare immediatamente i tuoi dati. Se si ignora l'avviso, Ransomware Resilience apprende questo comportamento e lo associa alle normali operazioni, senza più avviare un avviso per tale comportamento.

Se si elimina un carico di lavoro, tutte le copie snapshot eseguite automaticamente in risposta a un potenziale attacco ransomware vengono eliminate definitivamente.

Avvertenza Se si ignora un avviso, non è possibile modificarne lo stato né annullare la modifica.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console" .

Passi

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

    Pagina degli avvisi

  2. Nella pagina Avvisi, seleziona l'avviso.

    Pagina di avviso incidenti

  3. Seleziona uno o più incidenti. In alternativa, selezionare tutti gli incidenti selezionando la casella ID incidente in alto a sinistra della tabella.

  4. Se stabilisci che l'incidente non rappresenta una minaccia, scartalo come falso positivo:

    • Seleziona l'incidente.

    • Selezionare il pulsante Modifica stato sopra la tabella.

      Pagina di stato di modifica dell'avviso

  5. Dalla casella Modifica stato, seleziona lo stato Ignorato.

    Vengono visualizzate informazioni aggiuntive sul carico di lavoro e sulle copie snapshot eliminate.

  6. Seleziona Salva.

    Lo stato dell'incidente o degli incidenti cambia in "Ignorato".

Visualizza un elenco dei file interessati

Prima di ripristinare il carico di lavoro di un'applicazione a livello di file, è possibile visualizzare un elenco dei file interessati. È possibile accedere alla pagina Avvisi per scaricare un elenco dei file interessati. Quindi utilizzare la pagina Recupero per caricare l'elenco e scegliere quali file ripristinare.

Ruolo di console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore dell'organizzazione, di amministratore della cartella o del progetto o di amministratore di Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console" .

Passi

Utilizzare la pagina Avvisi per recuperare l'elenco dei file interessati.

Suggerimento Se un volume presenta più avvisi, potrebbe essere necessario scaricare l'elenco CSV dei file interessati per ciascun avviso.

  1. Dal menu Ransomware Resilience, seleziona Avvisi.

  2. Nella pagina Avvisi, ordina i risultati in base al carico di lavoro per visualizzare gli avvisi per il carico di lavoro dell'applicazione che desideri ripristinare.

  3. Dall'elenco degli avvisi per quel carico di lavoro, seleziona un avviso.

  4. Per quell'avviso, seleziona un singolo incidente.

    elenco dei file interessati da un avviso specifico

  5. Per quell'incidente, seleziona l'icona di download per scaricare l'elenco dei file interessati in formato CSV.