Skip to main content
Data Infrastructure Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

경고

기여자

워크로드 보안 경고 페이지에는 최근 공격 및/또는 경고의 타임라인이 표시되며 각 문제에 대한 세부 정보를 볼 수 있습니다.

알림 목록

경고

경고 목록에는 선택한 시간 범위에서 발생한 잠재적 공격 및/또는 경고의 총 수와 해당 시간 범위에서 발생한 공격 및/또는 경고 목록이 표시된 그래프가 표시됩니다. 그래프에서 시작 시간 및 종료 시간 슬라이더를 조정하여 시간 범위를 변경할 수 있습니다.

각 경고에 대해 다음이 표시됩니다.

  • 잠재적 공격: *

  • The_potential attack_type(예: 랜섬웨어 또는 태업)

  • 잠재적 공격이 _ 탐지된 날짜 및 시간입니다 _

  • 알림의 _ 상태 _:

    • * New * (새로 만들기 *): 새 경고의 기본값입니다.

    • * 진행 중 *: 팀 구성원 또는 구성원이 알림을 조사 중입니다.

    • * 해결됨 *: 팀 구성원이 경고를 해결됨으로 표시했습니다.

    • * 해제됨 *: 경고가 거짓 긍정 또는 예상된 동작으로 무시되었습니다.

      관리자는 알림의 상태를 변경하고 조사에 도움이 되는 메모를 추가할 수 있습니다.

    경고 상태 변경

  • 동작을 통해 경고가 트리거된 _User_입니다

  • _evidence_of the attack(예: 많은 수의 파일이 암호화됨)

  • 수행된 조치 _ (예: 스냅샷이 촬영됨)

  • 경고: *

  • 경고를 트리거한 _ 비정상적인 동작 _

  • 동작이 _detected_인 날짜 및 시간입니다

  • 알림의 Status(신규, 진행 중 등)

  • 동작을 통해 경고가 트리거된 _User_입니다

  • Change _ 에 대한 설명(예: 파일 액세스의 비정상적인 증가)

  • 조치 _

필터 옵션

경고를 필터링하는 방법은 다음과 같습니다.

  • 알림의 _ 상태 _

  • Note_의 특정 텍스트입니다

  • 공격 유형/경고 _

  • 작업이 경고/경고를 트리거한 _User_입니다

경고 세부 정보 페이지

경고 목록 페이지에서 경고 링크를 클릭하여 경고에 대한 세부 정보 페이지를 열 수 있습니다. 경고 세부 정보는 공격 유형 또는 경고 유형에 따라 다를 수 있습니다. 예를 들어, 랜섬웨어 공격 세부 정보 페이지에 다음 정보가 표시될 수 있습니다.

요약 섹션:

  • 공격 유형(랜섬웨어, 태업) 및 경고 ID(워크로드 보안에서 할당)

  • 공격이 감지된 날짜 및 시간입니다

  • 작업이 수행됨(예: 자동 스냅샷이 작성됨) 스냅샷 시간은 요약 섹션 바로 아래에 표시됩니다.)

  • 상태(신규, 진행 중 등)

공격 결과 섹션:

  • 영향을 받는 볼륨 및 파일 수

  • 감지에 대한 관련 요약

  • 공격 중 파일 작업을 보여주는 그래프입니다

관련 사용자 섹션:

이 섹션에서는 잠재적 공격에 관련된 사용자에 대한 상세 정보를 보여 주며, 여기에는 사용자의 상위 활동 그래프가 포함됩니다.

알림 페이지(이 예제는 잠재적 랜섬웨어 공격을 보여줍니다.): 랜섬웨어 알림의 예

세부 페이지 (이 예제는 잠재적 랜섬웨어 공격을 보여줍니다.): 랜섬웨어 상세 페이지 예

_스냅샷 작업 수행

워크로드 보안은 악의적인 활동이 감지되면 스냅샷을 자동으로 생성하여 데이터를 보호하고 데이터가 안전하게 백업되도록 합니다.

랜섬웨어 공격 또는 기타 비정상적인 사용자 활동이 감지될 때 스냅샷을 생성하도록 정의할 수 "자동화된 응답 정책"있습니다. 알림 페이지에서 수동으로 스냅샷을 생성할 수도 있습니다.

자동 스냅샷 생성됨: 경고 동작 화면, 1000

수동 스냅샷: 경고 동작 화면, 1000

경고 알림

알림의 전자 메일 알림은 알림의 모든 작업에 대해 알림 받는 사람 목록으로 전송됩니다. 알림 수신자를 구성하려면 * Admin > Notifications * 를 클릭하고 각 수신자의 이메일 주소를 입력합니다.

보존 정책

경고 및 경고는 13개월 동안 유지됩니다. 13개월 이전의 경고 및 경고가 삭제됩니다. 워크로드 보안 환경이 삭제된 경우 환경과 관련된 모든 데이터도 삭제됩니다.

문제 해결

문제: 다음을 시도해 보십시오.

ONTAP에서 매일 매시간 스냅샷을 생성하는 경우가 있습니다. WS(Workload Security) 스냅샷이 영향을 줍니까? WS 스냅샷은 시간별 스냅샷 위치를 차지합니까? 기본 시간별 스냅샷이 중지됩니까?

워크로드 보안 스냅샷은 시간별 스냅샷에 영향을 주지 않습니다. WS 스냅샷은 매시간 스냅샷 공간을 차지하지 않으며 이전과 같이 계속되어야 합니다. 기본 시간별 스냅샷은 중지되지 않습니다.

ONTAP에서 최대 스냅샷 수에 도달하면 어떻게 됩니까?

최대 스냅샷 수에 도달하면 후속 스냅샷 찍기가 실패하고 워크로드 보안에서 스냅샷이 가득 찼다는 오류 메시지가 표시됩니다. 사용자는 가장 오래된 스냅샷을 삭제하기 위해 스냅샷 정책을 정의해야 합니다. 그렇지 않으면 스냅샷이 생성되지 않습니다. ONTAP 9.3 이전 버전에서는 볼륨에 최대 255개의 스냅샷 복사본이 포함될 수 있습니다. ONTAP 9.4 이상에서는 볼륨에 최대 1023개의 스냅샷 복사본을 포함할 수 있습니다. 에 대한 자세한 내용은 ONTAP 설명서를 "스냅샷 삭제 정책 설정 중"참조하십시오.

워크로드 보안에서 스냅샷을 생성할 수 없습니다.

스냅샷을 생성하는 데 사용되는 역할에 https://docs .NetApp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [적절한 권한 할당됨] 링크가 있는지 확인합니다. 스냅샷 촬영을 위한 적절한 액세스 권한으로 _csrole_이(가) 생성되었는지 확인합니다. 보안 로그인 역할 create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

워크로드 보안에서 제거된 SVM에 대한 이전 경고에 대해 스냅샷이 실패하고, 이후에 다시 추가됩니다. SVM을 다시 추가한 후에 발생하는 새 경고의 경우 스냅샷이 생성됩니다.

이는 드문 시나리오입니다. 이 문제가 발생하는 경우 ONTAP에 로그인하고 이전 알림에 대해 스냅샷을 수동으로 생성합니다.

Alert Details_ 페이지에서 Take Snapshot 버튼 아래에 "Last attempt failed" 오류 메시지가 표시됩니다. 오류 위로 마우스를 가져가면 "ID가 있는 데이터 수집기에 대해 API 호출 명령이 시간 초과되었습니다"라는 메시지가 표시됩니다.

이는 SVM의 LIF가 ONTAP에서 _ disabled_state인 경우 SVM 관리 IP를 통해 데이터 수집기를 워크로드 보안에 추가할 때 발생할 수 있습니다. ONTAP에서 특정 LIF를 설정하고 워크로드 보안에서 _trigger_Take Snapshot manually_를 트리거합니다. 그러면 스냅샷 작업이 성공합니다.