Skip to main content
Data Infrastructure Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

알림

기여자 netapp-alavoie
PDF

워크로드 보안 알림 페이지는 최근 공격 및/또는 경고에 대한 타임라인을 표시하고 각 문제에 대한 세부 정보를 볼 수 있도록 해줍니다.

알림 목록

알리다

경고 목록에는 선택한 시간 범위 내에 발생한 잠재적 공격 및/또는 경고의 총 수를 보여주는 그래프가 표시되고, 그 뒤에 해당 시간 범위 내에 발생한 공격 및/또는 경고 목록이 표시됩니다. 그래프에서 시작 시간과 종료 시간 슬라이더를 조정하여 시간 범위를 변경할 수 있습니다.

각 알림에 대해 다음 사항이 표시됩니다.

잠재적 공격:

  • 잠재적 공격 유형(예: 랜섬웨어 또는 방해 공작)

  • 잠재적 공격이 감지된 날짜 및 시간

  • 경고의 상태:

    • 새로 만들기: 이는 새 알림의 기본값입니다.

    • 진행 중: 팀원이 알림을 조사 중입니다.

    • 해결됨: 팀원이 알림을 해결한 것으로 표시했습니다.

    • 거부됨: 경고가 거짓 양성 또는 예상된 동작으로 간주되어 거부되었습니다.

      관리자는 알림 상태를 변경하고 조사에 도움이 되는 메모를 추가할 수 있습니다.

    알림 상태 변경

  • 경고를 유발한 동작을 하는 사용자

  • 공격의 증거(예: 많은 수의 파일이 암호화됨)

  • 수행된 작업 (예: 스냅샷이 촬영됨)

경고:

  • 경고를 유발한 비정상적인 동작

  • 동작이 감지된 날짜와 시간

  • 알림의 상태(신규, 진행 중 등)

  • 경고를 유발한 동작을 하는 사용자

  • _변경_에 대한 설명(예: 파일 액세스의 비정상적인 증가)

  • 취해진 조치

필터 옵션

다음 기준으로 알림을 필터링할 수 있습니다.

  • 경고의 상태

  • _Note_의 특정 텍스트

  • _공격/경고_의 유형

  • 경고/알림을 트리거한 작업을 수행한 사용자

알림 세부 정보 페이지

알림 목록 페이지에서 알림 링크를 클릭하면 해당 알림에 대한 세부 정보 페이지가 열립니다. 경고 세부 정보는 공격이나 경고의 유형에 따라 달라질 수 있습니다. 예를 들어, 랜섬웨어 공격 세부 정보 페이지에는 다음 정보가 표시될 수 있습니다.

요약 섹션:

  • 공격 유형(랜섬웨어, 방해 공작) 및 경고 ID(Workload Security에서 할당)

  • 공격이 감지된 날짜 및 시간

  • 수행된 작업(예: 자동 스냅샷이 생성됨) 스냅샷 시간은 요약 섹션 바로 아래에 표시됩니다.))

  • 상태(신규, 진행 중 등)

공격 결과 섹션:

  • 영향을 받은 볼륨 및 파일 수

  • 탐지에 대한 첨부 요약

  • 공격 중 파일 활동을 보여주는 그래프

관련 사용자 섹션:

이 섹션에서는 사용자의 주요 활동 그래프를 포함하여 잠재적인 공격에 연루된 사용자에 대한 세부 정보를 보여줍니다.

알림 페이지(이 예시는 잠재적인 랜섬웨어 공격을 보여줍니다):랜섬웨어 경고 예시

세부 정보 페이지(이 예는 잠재적인 랜섬웨어 공격을 보여줍니다):랜섬웨어 세부 정보 페이지 예

스냅샷 찍기 작업

Workload Security는 악성 활동이 감지되면 자동으로 스냅샷을 찍어 데이터를 보호하고 데이터가 안전하게 백업되도록 보장합니다.

정의할 수 있습니다"자동 응답 정책" 랜섬웨어 공격이나 기타 비정상적인 사용자 활동이 감지되면 스냅샷을 찍습니다. 알림 페이지에서 수동으로 스냅샷을 찍을 수도 있습니다.

자동 스냅샷 촬영:경고 동작 화면, 1000

수동 스냅샷:경고 동작 화면, 1000

알림 알림

알림에 대한 모든 작업에 대해 알림 이메일 알림이 알림 수신자 목록으로 전송됩니다. 알림 수신자를 구성하려면 *관리자 > 알림*을 클릭하고 각 수신자의 이메일 주소를 입력하세요.

보존 정책

알림과 경고는 13개월 동안 보관됩니다. 13개월이 지난 알림과 경고는 삭제됩니다. 워크로드 보안 환경이 삭제되면 해당 환경과 관련된 모든 데이터도 삭제됩니다.

문제 해결

문제: 이것을 시도해보세요:

ONTAP 이 하루에 매시간 스냅샷을 찍는 상황이 있습니다. 워크로드 보안(WS) 스냅샷이 이에 영향을 미칠까요? WS 스냅샷이 시간별 스냅샷을 대체할 수 있을까요? 기본 시간별 스냅샷이 중지되나요?

워크로드 보안 스냅샷은 시간별 스냅샷에 영향을 미치지 않습니다. WS 스냅샷은 시간당 스냅샷 공간을 차지하지 않으며 이는 이전과 동일하게 유지됩니다. 기본 시간별 스냅샷은 중지되지 않습니다.

ONTAP 에서 최대 스냅샷 수에 도달하면 어떻게 되나요?

최대 스냅샷 수에 도달하면 후속 스냅샷 생성이 실패하고 Workload Security에서 스냅샷이 가득 찼다는 오류 메시지가 표시됩니다. 사용자는 가장 오래된 스냅샷을 삭제하기 위해 스냅샷 정책을 정의해야 합니다. 그렇지 않으면 스냅샷이 생성되지 않습니다. ONTAP 9.3 이하 버전에서는 볼륨에 최대 255개의 스냅샷 복사본이 포함될 수 있습니다. ONTAP 9.4 이상에서는 볼륨에 최대 1023개의 스냅샷 복사본을 포함할 수 있습니다. 자세한 내용은 ONTAP 문서를 참조하세요."스냅샷 삭제 정책 설정" .

Workload Security는 스냅샷을 전혀 찍을 수 없습니다.

스냅샷을 생성하는 데 사용되는 역할에 링크가 있는지 확인하세요: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [적절한 권한이 할당됨]. 스냅샷을 찍기 위한 적절한 액세스 권한으로 _csrole_이 생성되었는지 확인하세요: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Workload Security에서 제거된 후 다시 추가된 SVM의 이전 알림에 대한 스냅샷이 실패합니다. SVM이 다시 추가된 후 발생하는 새로운 알림의 경우 스냅샷이 생성됩니다.

이는 드문 경우입니다. 이런 문제가 발생하는 경우 ONTAP 에 로그인하여 이전 알림에 대한 스냅샷을 수동으로 찍으세요.

알림 세부 정보 페이지에서 스냅샷 찍기 버튼 아래에 "마지막 시도가 실패했습니다" 오류 메시지가 표시됩니다. 오류 위에 마우스를 올리면 "ID가 있는 데이터 수집기에 대한 API 명령 호출 시간이 초과되었습니다."라는 메시지가 표시됩니다.

ONTAP 에서 SVM의 LIF가 비활성화 상태인 경우 SVM 관리 IP를 통해 워크로드 보안에 데이터 수집기가 추가되면 이런 일이 발생할 수 있습니다. ONTAP 에서 특정 LIF를 활성화하고 Workload Security에서 _스냅샷 수동 촬영_을 트리거합니다. 그러면 스냅샷 작업이 성공합니다.