Skip to main content
BlueXP ransomware protection
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

BlueXP 랜섬웨어 보호 기능으로 감지된 랜섬웨어 알림을 처리하세요

기여자 amgrissino netapp-ahibbard
PDF

BlueXP 랜섬웨어 보호 기능이 잠재적 공격을 감지하면 대시보드와 알림 영역에 알림을 표시합니다. 서비스는 즉시 스냅샷을 촬영합니다. BlueXP 랜섬웨어 보호의 알림 탭에서 잠재적 위험을 검토하세요.

BlueXP ransomware protection 잠재적 공격을 감지하면 BlueXP 알림에 알림이 표시되고 설정된 주소로 이메일이 전송됩니다. 이메일에는 심각도, 영향을 받는 워크로드, 그리고 BlueXP ransomware protection 알림 탭에 있는 알림 링크가 포함됩니다.

오탐을 무시하거나 데이터를 즉시 복구하기로 결정할 수 있습니다.

팁 알림을 해제하면 서비스는 이러한 동작을 학습하고 이를 일반적인 작업과 연관시키며 다시 알림을 발생시키지 않습니다.

데이터 복구를 시작하려면 스토리지 관리자가 복구 프로세스를 시작할 수 있도록 경고를 복구 준비 상태로 표시합니다.

각 알림에는 다양한 볼륨과 상태에 대한 여러 인시던트가 포함될 수 있습니다. 모든 인시던트를 검토하세요.

이 서비스는 다음과 같이 알림을 발생시킨 원인에 대한 _evidence_라는 정보를 제공합니다.

  • 파일 확장명이 만들어지거나 변경되었습니다

  • 감지된 비율과 예상 비율을 비교하여 파일을 생성합니다

  • 감지된 비율과 예상 비율을 비교하여 파일 삭제

  • 암호화가 높은 경우 파일 확장명이 변경되지 않습니다

알림은 다음 중 하나로 분류됩니다.

  • * 잠재적 공격 *: Autonomous Ransomware Protection이 새로운 연장을 감지하고 최근 24시간 동안 20회 이상 반복할 때 경고가 발생합니다(기본 동작).

  • * 경고 *: 다음 동작에 따라 경고가 발생합니다.

    • 새 확장의 감지는 이전에 식별되지 않았으며 동일한 동작이 이를 공격으로 선언할 수 있는 충분한 시간을 반복하지 않습니다.

    • 높은 엔트로피가 관찰됩니다.

    • 파일 읽기, 쓰기, 이름 바꾸기 또는 삭제 활동이 일반 수준에 비해 두 배로 증가했습니다.

참고 SAN 환경의 경우 경고는 높은 엔트로피에만 기반합니다.

증거는 ONTAP의 자율적 랜섬웨어 방어의 정보를 기반으로 합니다. 자세한 내용은 을 참조하십시오 "자율 랜섬웨어 보호 개요".

알림은 다음 상태 중 하나일 수 있습니다.

  • * 신규 *

  • * 비활성 *

경고 사건은 다음 상태 중 하나를 가질 수 있습니다.

  • * 신규 *: 모든 인시던트는 처음 식별될 때 "신규"로 표시됩니다.

  • * 기각됨 * : 활동이 랜섬웨어 공격이 아니라고 의심되면 상태를 "기각됨"으로 변경할 수 있습니다.

    주의 공격을 해제한 후에는 다시 변경할 수 없습니다. 워크로드를 무시하면 잠재적 랜섬웨어 공격에 대응하여 자동으로 생성된 모든 스냅샷 복사본이 영구적으로 삭제됩니다.

  • * 해고 * : 인시던트가 해고되는 중입니다.

  • 해결됨: 문제가 해결되었습니다.

  • 자동 해결: 우선순위가 낮은 알림의 경우, 5일 이내에 아무런 조치가 취해지지 않으면 해당 사고는 자동으로 해결됩니다.

팁 설정 페이지에서 BlueXP ransomware protection 에 보안 및 이벤트 관리 시스템(SIEM)을 구성한 경우, 해당 서비스는 SIEM 시스템으로 알림 세부 정보를 전송합니다.

알림을 봅니다

BlueXP  랜섬웨어 보호 대시보드 또는 * 경고 * 탭에서 경고에 액세스할 수 있습니다.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자 또는 랜섬웨어 뷰어 역할. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. BlueXP 랜섬웨어 방어 대시보드에서 Alerts 창을 검토합니다.

  2. 상태 중 하나에서 * 모두 보기 * 를 선택합니다.

  3. 각 알림에 대해 각 볼륨의 모든 인시던트를 검토하려면 알림을 선택하세요.

  4. 추가 알림을 검토하려면 왼쪽 상단의 빵가루 메뉴에서 *알림*을 선택하세요.

  5. 경고 페이지에서 경고를 검토합니다.

    알림 페이지

  6. 다음 중 하나를 계속하세요.

알림 이메일에 응답하세요

BlueXP ransomware protection 잠재적 공격을 감지하면 구독 사용자의 알림 설정에 따라 이메일 알림을 전송합니다. 이 이메일에는 경고의 심각도와 영향을 받은 리소스 등 경고 관련 정보가 포함되어 있습니다.

BlueXP ransomware protection 알림에 대한 이메일 알림을 받으실 수 있습니다. 이 기능을 통해 알림 내용, 심각도, 그리고 영향을 받은 리소스에 대한 정보를 지속적으로 확인하실 수 있습니다.

팁 이메일 알림을 구독하려면 다음을 참조하세요. "이메일 알림 설정을 지정합니다" .

  1. BlueXP ransomware protection 에서 설정 페이지로 이동합니다.

  2. *알림*에서 이메일 알림 설정을 찾으세요.

  3. 알림을 받으려는 이메일 주소를 입력하세요.

  4. 변경 사항을 저장합니다.

이제 새로운 알림이 생성되면 이메일로 알림을 받게 됩니다.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자 또는 랜섬웨어 뷰어 역할. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. 이메일을 확인하세요.

  2. 이메일에서 *알림 보기*를 선택하고 BlueXP ransomware protection 에 로그인하세요.

    경고 페이지가 나타납니다.

  3. 각 경고에 대한 각 권의 모든 사건을 검토합니다.

  4. 추가 경고를 검토하려면 왼쪽 상단의 이동 경로에서 * Alert * 를 클릭합니다.

  5. 다음 중 하나를 계속하세요.

악의적인 활동 및 비정상적인 사용자 행동을 감지합니다

경고 탭을 보면 악의적인 활동이 있는지 여부를 확인할 수 있습니다.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

어떤 세부 정보가 나타나나요? 표시되는 세부 정보는 알림이 트리거된 방식에 따라 다릅니다.

  • ONTAP의 자율적 랜섬웨어 방어 기능에 의해 트리거됩니다. 볼륨에 있는 파일의 동작을 기반으로 악의적인 활동을 감지합니다.

  • Data Infrastructure Insights 워크로드 보안에 의해 트리거됩니다. 이를 위해서는 Data Infrastructure Insights 워크로드 보안에 대한 라이센스가 필요하며 BlueXP  랜섬웨어 방어 모드에서 이를 활성화해야 합니다. 이 기능은 스토리지 워크로드에서 비정상적인 사용자 행동을 감지하여 더 이상 액세스를 차단하도록 지원합니다.

    BlueXP  랜섬웨어 방지에서 워크로드 보안을 활성화하려면 * 설정 * 페이지로 이동하여 * 워크로드 보안 연결 * 옵션을 선택하십시오.

    Data Infrastructure Insights 워크로드 보안에 대한 개요를 보려면 다음을 검토하세요. "워크로드 보안 정보" .

팁 Data Infrastructure Workload 보안에 대한 라이선스가 없고 BlueXP ransomware protection 에서 이를 활성화하지 않으면 비정상적인 사용자 동작 정보를 볼 수 없습니다.

악의적인 활동이 발생하면 경고가 생성되고 자동화된 스냅샷이 생성됩니다.

자율적 랜섬웨어 방어 팀의 악의적인 활동만 보십시오

자율적 랜섬웨어 방어가 BlueXP  랜섬웨어 방어에서 경고를 트리거하면 다음 세부 정보를 볼 수 있습니다.

  • 수신 데이터의 엔트로피

  • 감지된 비율과 비교하여 새 파일의 예상 생성 비율입니다

  • 감지된 비율과 비교한 예상 파일 삭제 비율입니다

  • 감지된 비율과 비교한 파일 이름 변경 속도가 필요합니다

  • 영향을 받는 파일 및 디렉터리

참고 이러한 세부 정보는 NAS 워크로드에서 확인할 수 있습니다. SAN 환경에서는 엔트로피 데이터만 확인할 수 있습니다.
단계

  1. BlueXP 랜섬웨어 방어 메뉴에서 * Alerts * 를 선택합니다.

  2. 알림을 선택합니다.

  3. 알림에서 인시던트를 검토합니다.

    알림 인시던트 페이지

  4. 인시던트의 세부 정보를 검토할 인시던트를 선택합니다.

Data Infrastructure Insights 워크로드 보안에서 비정상적인 사용자 행동을 확인하십시오

Data Infrastructure Insights 워크로드 보안이 BlueXP  랜섬웨어 보호에서 경고를 트리거하면 Data Infrastructure Insights 워크로드 보안에서 의심스러운 사용자를 확인하고, 사용자를 차단하며, 사용자 활동을 직접 조사할 수 있습니다.

팁 이러한 기능은 Autonomous Ransomware Protection에서 제공하는 세부 정보에 더해 줍니다.
시작하기 전에

이 옵션을 사용하려면 Data Infrastructure Insights 워크로드 보안에 대한 라이센스가 필요하며 BlueXP  랜섬웨어 방어에서 사용할 수 있습니다.

BlueXP  랜섬웨어 보호에서 워크로드 보안을 활성화하려면 다음을 수행하십시오.

  1. 설정 * 페이지로 이동합니다.

  2. 워크로드 보안 연결 * 옵션을 선택합니다.

    자세한 내용은 을 참조하십시오 "BlueXP 랜섬웨어 보호 설정을 구성합니다".

단계

  1. BlueXP 랜섬웨어 방어 메뉴에서 * Alerts * 를 선택합니다.

  2. 알림을 선택합니다.

  3. 알림에서 인시던트를 검토합니다.

    워크로드 보안 세부 정보를 보여 주는 알림 인시던트 페이지

  4. BlueXP 가 모니터링하는 환경에서 의심스러운 사용자가 더 이상 액세스하지 못하도록 차단하려면 * 사용자 차단 * 링크를 선택합니다.

  5. 알림의 경고 또는 인시던트를 조사합니다.

    1. Data Infrastructure Insights 워크로드 보안에서 경고를 더 자세히 조사하려면 * 워크로드 보안에서 조사 * 링크를 선택하십시오.

    2. 인시던트의 세부 정보를 검토할 인시던트를 선택합니다.

      Data Infrastructure Insights 워크로드 보안이 새 탭에 열립니다.

    워크로드 보안 조사

랜섬웨어 인시던트를 복구 준비 상태로 표시(인시던트가 해소된 후)

공격을 중단한 후 스토리지 관리자에게 데이터가 준비되었다고 알려 복구를 시작하세요.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. BlueXP 랜섬웨어 방어 메뉴에서 * Alerts * 를 선택합니다.

    알림 페이지

  2. Alerts 페이지에서 알림을 선택합니다.

  3. 알림에서 인시던트를 검토합니다.

    알림 인시던트 페이지

  4. 인시던트를 복구할 준비가 되었다고 판단되면 * 복원 필요 표시 * 를 선택합니다.

  5. 작업을 확인하고 * 복원 필요 표시 * 를 선택합니다.

  6. 워크로드 복구를 시작하려면 메시지에서 * 복구 * 워크로드를 선택하거나 * 복구 * 탭을 선택합니다.

결과

알림이 복원용으로 표시된 후에는 경고 탭에서 복구 탭으로 알림이 이동합니다.

잠재적 공격이 아닌 인시던트는 기각합니다

인시던트를 검토한 후에는 해당 인시던트가 잠재적인 공격인지 확인해야 합니다. 이전 조건이 충족되지 않으면 해고될 수 있습니다.

오탐을 무시하거나 데이터를 즉시 복구하기로 결정할 수 있습니다. 알림을 해제하면 서비스는 이러한 동작을 학습하고 이를 일반적인 작업과 연관시키며 이러한 동작에 대해 다시 알림을 시작하지 않습니다.

작업 부하를 해제하면 잠재적인 랜섬웨어 공격에 대응하여 자동으로 생성된 모든 스냅샷 사본이 영구적으로 삭제됩니다.

주의 알림을 해제하면 해당 상태를 다른 상태로 변경할 수 없으며 이 변경 내용을 취소할 수 없습니다.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. BlueXP 랜섬웨어 방어 메뉴에서 * Alerts * 를 선택합니다.

    알림 페이지

  2. Alerts 페이지에서 알림을 선택합니다.

    알림 인시던트 페이지

  3. 하나 이상의 인시던트를 선택합니다. 또는 테이블의 왼쪽 위에 있는 [인시던트 ID] 상자를 선택하여 모든 인시던트를 선택합니다.

  4. 사고가 위협이 아닌 것으로 판단될 경우 이를 거짓 긍정으로 간주하십시오.

    • 인시던트를 선택합니다.

    • 테이블 위의 * 상태 편집 * 버튼을 선택합니다.

      경고 상태 편집 페이지

  5. Edit status(상태 편집) 상자에서 * "dischared" * 상태를 선택합니다.

    작업 부하와 스냅샷 복사본이 삭제된다는 추가 정보가 나타납니다.

  6. 저장 * 을 선택합니다.

    인시던트 또는 인시던트의 상태가 "해제"로 변경됩니다.

영향을 받는 파일 목록을 봅니다

파일 레벨에서 애플리케이션 워크로드를 복원하기 전에 영향을 받는 파일 목록을 볼 수 있습니다. 경고 페이지에 액세스하여 영향을 받는 파일 목록을 다운로드할 수 있습니다. 그런 다음 복구 페이지를 사용하여 목록을 업로드하고 복원할 파일을 선택합니다.

필수 BlueXP 역할 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 보호 관리자. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

경고 페이지를 사용하여 영향을 받는 파일 목록을 검색합니다.

팁 볼륨에 여러 개의 알림이 있는 경우 각 알림에 대해 영향을 받는 파일의 CSV 목록을 다운로드해야 할 수 있습니다.

  1. BlueXP 랜섬웨어 방어 메뉴에서 * Alerts * 를 선택합니다.

  2. Alerts 페이지에서 작업량별로 결과를 정렬하여 복원할 애플리케이션 워크로드에 대한 알림을 표시합니다.

  3. 해당 워크로드에 대한 알림 목록에서 알림을 선택합니다.

  4. 해당 경고에 대해 단일 인시던트를 선택합니다.

    특정 경고에 대해 영향을 받는 파일 목록입니다

  5. 해당 인시던트의 경우 다운로드 아이콘을 선택하고 영향을 받는 파일 목록을 CSV 형식으로 다운로드합니다.