Skip to main content
NetApp Ransomware Resilience
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp Ransomware Resilience를 사용하여 감지된 랜섬웨어 알림을 처리하세요

기여자 amgrissino netapp-ahibbard
PDF

NetApp 랜섬웨어 복원력이 잠재적인 공격을 감지하면 대시보드와 알림 영역에 경고가 표시됩니다. 랜섬웨어 복원력은 즉시 스냅샷을 찍습니다. 랜섬웨어 복원력 알림 탭에서 잠재적 위험을 검토하세요.

랜섬웨어 복원력이 잠재적인 공격을 감지하면 콘솔 알림 설정에 알림이 나타나고 구성된 주소로 이메일이 전송됩니다. 이메일에는 심각도, 영향을 받는 작업 부하, 랜섬웨어 복원력 알림 탭의 알림에 대한 링크에 대한 정보가 포함되어 있습니다.

거짓 양성 결과를 무시하거나 즉시 데이터를 복구하기로 결정할 수 있습니다.

팁 알림을 해제하면 랜섬웨어 복원력이 이러한 동작을 학습하고 이를 일반적인 작업과 연관시켜 다시 알림을 발생시키지 않습니다.

데이터 복구를 시작하려면 알림을 복구 준비 완료로 표시하여 스토리지 관리자가 복구 프로세스를 시작할 수 있도록 하세요.

각 알림에는 다양한 볼륨과 상태에 대한 여러 사건이 포함될 수 있습니다. 모든 사건을 검토하세요.

랜섬웨어 복원력은 다음과 같이 경고가 발행된 원인에 대한 _증거_라고 하는 정보를 제공합니다.

  • 파일 확장자가 생성되거나 변경되었습니다.

  • 감지된 비율과 예상 비율을 비교하여 파일 생성

  • 감지된 비율과 예상 비율을 비교하여 파일을 삭제합니다.

  • 암호화 수준이 높고 파일 확장자가 변경되지 않은 경우

알림은 다음 중 하나로 분류됩니다.

  • 잠재적 공격: Autonomous Ransomware Protection이 새로운 확장 프로그램을 감지하고 해당 현상이 지난 24시간 동안 20회 이상 반복되면 경고가 발생합니다(기본 동작).

  • 경고: 다음과 같은 동작이 발생할 경우 경고가 발생합니다.

    • 이전에 새로운 확장 프로그램이 감지된 적이 없으며, 동일한 동작이 공격으로 선언할 만큼 충분히 반복되지 않습니다.

    • 높은 엔트로피가 관찰됩니다.

    • 파일 읽기, 쓰기, 이름 바꾸기 또는 삭제 활동이 일반 수준에 비해 두 배로 증가했습니다.

참고 SAN 환경의 경우 경고는 높은 엔트로피에만 기반합니다.

증거는 ONTAP 의 Autonomous Ransomware Protection에서 얻은 정보를 기반으로 합니다. 자세한 내용은 다음을 참조하세요. "자율형 랜섬웨어 보호 개요" .

알림은 다음 상태 중 하나를 가질 수 있습니다.

  • 새로운

  • 비활성

경고 사건은 다음 상태 중 하나를 가질 수 있습니다.

  • 새로운: 모든 사건은 처음 확인되면 "새로운"으로 표시됩니다.

  • 해제됨: 해당 활동이 랜섬웨어 공격이 아니라고 의심되는 경우 상태를 "해제됨"으로 변경할 수 있습니다.

    주의 공격을 해제한 후에는 다시 변경할 수 없습니다. 작업 부하를 해제하면 잠재적인 랜섬웨어 공격에 대응하여 자동으로 생성된 모든 스냅샷 사본이 영구적으로 삭제됩니다.

  • 기각: 사건이 기각되는 과정에 있습니다.

  • 해결됨: 문제가 해결되었습니다.

  • 자동 해결: 우선순위가 낮은 알림의 경우, 5일 이내에 아무런 조치가 취해지지 않으면 사고가 자동으로 해결됩니다.

팁 설정 페이지에서 랜섬웨어 복원력에 보안 및 이벤트 관리 시스템(SIEM)을 구성한 경우 랜섬웨어 복원력이 SIEM 시스템으로 경고 세부 정보를 보냅니다.

알림 보기

랜섬웨어 복원력 대시보드 또는 알림 탭에서 알림에 액세스할 수 있습니다.

필수 콘솔 역할 이 작업을 수행하려면 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 복원력 관리자 또는 랜섬웨어 복원력 뷰어 역할이 필요합니다. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. 랜섬웨어 복원력 대시보드에서 알림 창을 검토하세요.

  2. 상태 중 하나에서 *모두 보기*를 선택하세요.

  3. 각 알림에 대한 각 볼륨의 모든 인시던트를 검토하려면 알림을 선택하세요.

  4. 추가 알림을 검토하려면 왼쪽 상단의 탐색 경로에서 *알림*을 선택하세요.

  5. 알림 페이지에서 알림을 검토하세요.

    알림 페이지

  6. 다음 중 하나를 계속하세요.

알림 이메일에 응답하세요

랜섬웨어 레질리언스가 잠재적인 공격을 감지하면 구독 알림 기본 설정에 따라 구독한 사용자에게 이메일 알림을 보냅니다. 이메일에는 경고에 대한 정보, 심각도, 영향을 받는 리소스 등이 포함되어 있습니다.

랜섬웨어 복원력 경고에 대한 이메일 알림을 받을 수 있습니다. 이 기능을 사용하면 알림, 알림의 심각도, 영향을 받는 리소스에 대한 정보를 얻을 수 있습니다.

팁 이메일 알림을 구독하려면 다음을 참조하세요. "이메일 알림 설정" .

  1. 랜섬웨어 복원력에서 설정 페이지로 이동합니다.

  2. *알림*에서 이메일 알림 설정을 찾으세요.

  3. 알림을 받으려는 이메일 주소를 입력하세요.

  4. 변경 사항을 저장합니다.

이제 새로운 알림이 생성되면 이메일 알림을 받게 됩니다.

필수 콘솔 역할 이 작업을 수행하려면 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 복원력 관리자 또는 랜섬웨어 복원력 뷰어 역할이 필요합니다. "모든 서비스에 대한 BlueXP 액세스 역할에 대해 알아보세요" .

단계

  1. 이메일을 확인하세요.

  2. 이메일에서 *알림 보기*를 선택하고 Ransomware Resilience에 로그인하세요.

    알림 페이지가 나타납니다.

  3. 각 경고에 대한 각 권의 모든 사건을 검토합니다.

  4. 추가 알림을 검토하려면 왼쪽 상단의 빵가루 모양에서 *알림*을 클릭하세요.

  5. 다음 중 하나를 계속하세요.

악성 활동 및 비정상적인 사용자 동작 감지

알림 탭을 살펴보면 악의적인 활동이나 비정상적인 사용자 동작이 있는지 확인할 수 있습니다.

사용자 수준 감지 기능을 보려면 사용자 활동 에이전트를 구성하고 사용자 동작 감지 기능이 있는 보호 정책을 활성화해야 합니다. 사용자 동작 감지가 활성화되면 의심스러운 사용자 열이 알림 대시보드에 나타납니다. 사용자 동작 감지가 활성화되지 않은 경우에는 표시되지 않습니다. 의심스러운 사용자 감지를 활성화하려면 다음을 참조하세요."의심스러운 사용자 활동" .

참고 NetApp Data Infrastructure Insights (DII) 워크로드 보안을 사용하는 경우 랜섬웨어 복원력에 동일한 워크로드 보안 에이전트를 사용하는 것이 좋습니다. 랜섬웨어 복원력을 위해 별도의 워크로드 보안 에이전트를 배포할 필요는 없지만, 동일한 워크로드 보안 에이전트를 사용하려면 랜섬웨어 복원력 콘솔 조직과 DII 스토리지 워크로드 보안 테넌트 간에 페어링 관계가 필요합니다. 이 페어링을 활성화하려면 계정 담당자에게 문의하세요.

악성 활동 보기

자율형 랜섬웨어 보호가 랜섬웨어 복원력에서 알림을 트리거하면 다음 세부 정보를 볼 수 있습니다.

  • 수신 데이터의 엔트로피

  • 감지된 비율과 비교한 새 파일의 예상 생성 비율

  • 감지된 비율과 비교한 예상 파일 삭제 비율

  • 감지된 비율과 비교한 예상 파일 이름 변경 비율

  • 영향을 받은 파일 및 디렉토리

참고 이러한 세부 정보는 NAS 워크로드에 대해 볼 수 있습니다. SAN 환경에서는 엔트로피 데이터만 사용할 수 있습니다.
단계

  1. 랜섬웨어 복원력 메뉴에서 *알림*을 선택합니다.

  2. 알림을 선택하세요.

  3. 알림에서 발생한 사건을 검토하세요.

    알림 사건 페이지

  4. 사고를 선택하여 사고의 세부 정보를 검토하세요.

비정상적인 사용자 동작 보기

비정상적인 사용자 동작을 확인하기 위해 의심스러운 사용자 감지 기능을 구성한 경우 사용자 수준 데이터를 보고 특정 사용자를 차단할 수 있습니다. 의심스러운 사용자 설정을 활성화하려면 다음을 참조하세요."랜섬웨어 복원력 설정 구성" .

단계

  1. 랜섬웨어 복원력 메뉴에서 *알림*을 선택합니다.

  2. 알림을 선택하세요.

  3. 알림에서 발생한 사건을 검토하세요.

  4. 콘솔에서 모니터링하는 환경에서 의심되는 사용자의 추가 액세스를 차단하려면 사용자 이름 아래에서 *차단*을 선택합니다.

랜섬웨어 사고를 복구 준비로 표시(사고가 무력화된 후)

공격을 중단한 후 스토리지 관리자에게 데이터가 준비되었다고 알려 복구를 시작하세요.

필수 콘솔 역할 이 작업을 수행하려면 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 복원력 관리자 역할이 필요합니다. "모든 서비스에 대한 콘솔 액세스 역할에 대해 알아보세요." .

단계

  1. 랜섬웨어 복원력 메뉴에서 *알림*을 선택합니다.

    알림 페이지

  2. 알림 페이지에서 알림을 선택합니다.

  3. 알림에서 발생한 사건을 검토하세요.

    알림 사건 페이지

  4. 사고를 복구할 준비가 되었다고 판단되면 *복원 필요 표시*를 선택합니다.

  5. 작업을 확인하고 *복원 필요 표시*를 선택하세요.

  6. 작업 부하 복구를 시작하려면 메시지에서 작업 부하 복구*를 선택하거나 *복구 탭을 선택하세요.

결과

알림이 복원으로 표시된 후 알림은 알림 탭에서 복구 탭으로 이동합니다.

잠재적 공격이 아닌 사건은 기각합니다.

사고를 검토한 후에는 해당 사고가 잠재적인 공격인지 여부를 판단해야 합니다. 실제 위협이 아니라면 무시해도 됩니다.

거짓 양성 결과를 무시하거나 즉시 데이터를 복구하기로 결정할 수 있습니다. 알림을 해제하면 랜섬웨어 복원력이 이러한 동작을 학습하고 이를 일반적인 작업과 연관시키며 이러한 동작에 대해 다시 알림을 시작하지 않습니다.

작업 부하를 해제하면 잠재적인 랜섬웨어 공격에 대응하여 자동으로 생성된 모든 스냅샷 사본이 영구적으로 삭제됩니다.

주의 알림을 해제하면 해당 상태를 다른 상태로 변경할 수 없으며, 이 변경 사항을 실행 취소할 수 없습니다.

필수 콘솔 역할 이 작업을 수행하려면 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 복원력 관리자 역할이 필요합니다. "모든 서비스에 대한 콘솔 액세스 역할에 대해 알아보세요." .

단계

  1. 랜섬웨어 복원력 메뉴에서 *알림*을 선택합니다.

    알림 페이지

  2. 알림 페이지에서 알림을 선택합니다.

    알림 사건 페이지

  3. 하나 이상의 사건을 선택하세요. 또는 표 왼쪽 상단에 있는 사건 ID 상자를 선택하여 모든 사건을 선택하세요.

  4. 사건이 위협이 아니라고 판단되면 이를 거짓 긍정으로 간주하여 기각합니다.

    • 사건을 선택하세요.

    • 표 위에 있는 상태 편집 버튼을 선택하세요.

      알림 편집 상태 페이지

  5. 상태 편집 상자에서 “기각됨” 상태를 선택합니다.

    작업 부하와 스냅샷 복사본이 삭제된다는 추가 정보가 나타납니다.

  6. *저장*을 선택하세요.

    사건의 상태가 "해제됨"으로 변경됩니다.

영향을 받은 파일 목록 보기

파일 수준에서 애플리케이션 워크로드를 복원하기 전에 영향을 받은 파일 목록을 볼 수 있습니다. 영향을 받은 파일 목록을 다운로드하려면 알림 페이지에 접속하세요. 그런 다음 복구 페이지를 사용하여 목록을 업로드하고 복원할 파일을 선택합니다.

필수 콘솔 역할 이 작업을 수행하려면 조직 관리자, 폴더 또는 프로젝트 관리자, 랜섬웨어 복원력 관리자 역할이 필요합니다. "모든 서비스에 대한 콘솔 액세스 역할에 대해 알아보세요." .

단계

알림 페이지를 사용하여 영향을 받은 파일 목록을 검색하세요.

팁 볼륨에 여러 개의 알림이 있는 경우 각 알림에 대해 영향을 받는 파일의 CSV 목록을 다운로드해야 할 수도 있습니다.

  1. 랜섬웨어 복원력 메뉴에서 *알림*을 선택합니다.

  2. 알림 페이지에서 결과를 작업 부하별로 정렬하여 복원하려는 애플리케이션 작업 부하에 대한 알림을 표시합니다.

  3. 해당 작업 부하에 대한 알림 목록에서 알림을 선택합니다.

  4. 해당 알림에 대해 단일 사건을 선택하세요.

    특정 알림에 대한 영향을 받는 파일 목록

  5. 해당 사건에 대해 다운로드 아이콘을 선택하고 영향을 받은 파일 목록을 CSV 형식으로 다운로드하세요.