Skip to main content
BlueXP ransomware protection
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Responda a um alerta de ransomware detetado

Colaboradores
PDFs

Se a proteção contra ransomware do BlueXP  detectar um possível ataque, um alerta será exibido no Painel de proteção contra ransomware do BlueXP  e nas notificações do BlueXP , no canto superior direito, indicando um possível ataque de ransomware. O serviço também inicia imediatamente a obtenção de uma cópia snapshot. Neste ponto, você deve olhar para o risco potencial na guia Alertas de proteção contra ransomware BlueXP .

Você pode ignorar falsos positivos ou decidir recuperar seus dados imediatamente.

Dica Se você decidir ignorar o alerta, o serviço irá aprender esse comportamento e associá-lo a operações normais e não iniciar um alerta sobre tal comportamento novamente.

Para começar a recuperar seus dados, marque o alerta como pronto para recuperação para que seu administrador de armazenamento possa iniciar o processo de recuperação.

Cada alerta pode ter vários incidentes em volumes diferentes com status diferentes, portanto, certifique-se de olhar para todos os incidentes.

O serviço fornece informações chamadas Evidence sobre o que causou a emissão do alerta, como o seguinte:

  • Extensões de arquivo foram criadas ou alteradas

  • A criação de arquivos ocorreu e aumentou em uma porcentagem listada

  • A exclusão de arquivos ocorreu e aumentou em uma porcentagem listada

Um alerta é baseado nos seguintes tipos de comportamento:

  • Ataque potencial: Um alerta ocorre quando o Autonomous ransomware Protection deteta uma nova extensão e a ocorrência é repetida mais de 20 vezes nas últimas 24 horas (comportamento padrão).

  • Aviso: Um aviso ocorre com base nos seguintes comportamentos:

    • A deteção de uma nova extensão não foi identificada antes e o mesmo comportamento não repete tempos suficientes para declará-la como um ataque.

    • Alta entropia é observada.

    • As operações de leitura/gravação/renomeação/exclusão de arquivos tiveram um aumento de 100% na atividade além da linha de base.

As evidências são baseadas em informações da proteção autônoma contra ransomware no ONTAP. Para obter detalhes, "Visão geral da proteção autônoma contra ransomware" consulte .

Um alerta pode ter um dos seguintes Estados:

  • Novo

  • Inativo

Um incidente de alerta é categorizado em um dos seguintes estados:

  • Novo: Todos os incidentes são marcados como "novo" quando são identificados pela primeira vez.

  • Demitido: Se você suspeitar que a atividade não é um ataque de ransomware, você pode alterar o status para "demitido".

    Cuidado Depois de descartar um ataque, você não pode alterar isso de volta. Se você ignorar um workload, todas as cópias Snapshot feitas automaticamente em resposta ao possível ataque de ransomware serão excluídas permanentemente.

  • Dismissing: O incidente está em processo de desistência.

  • Resolvido: O incidente foi mitigado.

Ver alertas

Você pode acessar alertas no Painel de proteção contra ransomware do BlueXP  ou na guia Alertas.

Passos

  1. No Painel de proteção contra ransomware do BlueXP , revise o painel Alertas.

  2. Selecione Ver tudo em um dos Estados.

  3. Clique num alerta para rever todos os incidentes em cada volume para cada alerta.

  4. Para rever alertas adicionais, clique em Alerta no breadcrumbs no canto superior esquerdo.

  5. Reveja os alertas na página Alertas.

    Página de alertas

  6. Continuar:

Detectar atividades maliciosas e comportamento anômalo do usuário

Olhando para a guia Alertas, você pode identificar se há atividade maliciosa. Os detalhes que aparecem dependem de como o alerta foi acionado:

  • Acionado pelo recurso Autonomous ransomware Protection no ONTAP. Isso deteta atividades maliciosas com base no comportamento dos arquivos no volume.

  • Acionado por Data Infrastructure Insights Workload Security. Isso requer uma licença para a segurança de workload do Insights da infraestrutura de dados e que você a habilite na proteção contra ransomware do BlueXP . Esse recurso detecta um comportamento anômalo do usuário nos workloads de storage e permite que você bloqueie acesso adicional a esse usuário.

    Para ativar a segurança de cargas de trabalho na proteção contra ransomware do BlueXP , vá para a página Configurações e selecione a opção conexão de segurança de carga de trabalho.

    Para obter uma visão geral do Data Infrastuture Insights Workload Security, consulte "Sobre o Workload Security"

Dica Se você não tiver uma licença para segurança de workload de infraestrutura de dados e não a ativar na proteção contra ransomware do BlueXP , não verá as informações anômalas de comportamento do usuário.

Quando ocorre atividade maliciosa, um alerta é gerado e um instantâneo automatizado é obtido.

Visualizar apenas atividades maliciosas do Autonomous ransomware Protection

Quando o Autonomous ransomware Protection aciona um alerta na proteção contra ransomware do BlueXP , você pode visualizar os seguintes detalhes:

  • Entropia de dados de entrada

  • Taxa de criação esperada de novos arquivos em comparação com a taxa detetada

  • Taxa de exclusão esperada de arquivos em comparação com a taxa detetada

  • Taxa de renomeação esperada dos arquivos em comparação com a taxa detetada

Passos

  1. No menu de proteção contra ransomware BlueXP , selecione Alertas.

  2. Selecione um alerta.

  3. Reveja os incidentes no alerta.

    Página de incidentes de alerta

  4. Selecione um incidente para rever os detalhes do incidente.

    Página de detalhes do incidente

Veja um comportamento anômalo do usuário no Data Infrastructure Insights Workload Security

Quando a segurança de workload aciona um alerta na proteção de ransomware do BlueXP , você pode visualizar o usuário suspeito, bloquear o usuário e investigar a atividade do usuário diretamente no sistema de segurança de workloads da infraestrutura de dados.

Dica Esses recursos são além dos detalhes disponíveis no Just Autonomous ransomware Protection.
Antes de começar

Essa opção requer uma licença para segurança de workload do Insights da infraestrutura de dados e sua ativação na proteção contra ransomware do BlueXP .

Para habilitar a segurança de workloads na proteção contra ransomware do BlueXP , faça o seguinte:

  1. Vá para a página Configurações.

  2. Selecione a opção conexão de segurança de carga de trabalho.

    Para obter detalhes, "Configurar as configurações de proteção contra ransomware do BlueXP "consulte .

Passos

  1. No menu de proteção contra ransomware BlueXP , selecione Alertas.

  2. Selecione um alerta.

  3. Reveja os incidentes no alerta.

    Página de incidentes de alerta mostrando os detalhes de Segurança de carga de trabalho

  4. Para bloquear um usuário suspeito de acesso adicional em seu ambiente monitorado pelo BlueXP , selecione o link Bloquear usuário.

  5. PESQUISE o alerta ou um incidente no alerta:

    1. Para pesquisar o alerta ainda mais no Data Infrastructure Insights Workload Security, selecione o link Investigate in Workload Security.

    2. Selecione um incidente para rever os detalhes do incidente.

      Página de detalhes do incidente mostrando os detalhes de Segurança do workload

      O Data Infrastructure Insights Workload Security é aberto em uma nova guia.

    Investigue em Segurança de carga de trabalho

Marque os incidentes de ransomware como prontos para recuperação (após os incidentes serem neutralizados)

Depois de atenuar o ataque e estar pronto para recuperar cargas de trabalho, você deve se comunicar com sua equipe de administração de storage que os dados estão prontos para recuperação para que possam iniciar o processo de recuperação.

Passos

  1. No menu de proteção contra ransomware BlueXP , selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

  3. Reveja os incidentes no alerta.

    Página de incidentes de alerta

  4. Se você determinar que os incidentes estão prontos para recuperação, selecione Marcar restauração necessária.

  5. Confirme a ação e selecione Marcar restauração necessária.

  6. Para iniciar a recuperação da carga de trabalho, selecione a carga de trabalho Recover na mensagem ou selecione a guia Recovery.

Resultado

Depois que o alerta é marcado para restauração, o alerta passa da guia Alertas para a guia recuperação.

Descarte incidentes que não sejam potenciais ataques

Depois de analisar incidentes, você precisa determinar se os incidentes são potenciais ataques. Se não, eles podem ser demitidos.

Você pode ignorar falsos positivos ou decidir recuperar seus dados imediatamente. Se você decidir ignorar o alerta, o serviço irá aprender esse comportamento e associá-lo a operações normais e não iniciar um alerta sobre tal comportamento novamente.

Se você ignorar um workload, todas as cópias Snapshot feitas automaticamente em resposta ao possível ataque de ransomware serão excluídas permanentemente.

Cuidado Se você ignorar um alerta, não poderá alterar esse status de volta para qualquer outro status e não poderá desfazer essa alteração.
Passos

  1. No menu de proteção contra ransomware BlueXP , selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

    Página de incidentes de alerta

  3. Selecione um ou mais incidentes. Ou selecione todos os incidentes selecionando a caixa ID do Incidente no canto superior esquerdo da tabela.

  4. Se você determinar que o incidente não é uma ameaça, ignore-o como um falso positivo:

    • Selecione o incidente.

    • Selecione o botão Editar status acima da tabela.

      Página Status de edição de alerta

  5. Na caixa Editar status, selecione o status "demitido".

    São exibidas informações adicionais sobre o workload e quais cópias Snapshot serão excluídas.

  6. Selecione Guardar.

    O status sobre o incidente ou incidentes muda para "demitido".

Exibir uma lista de arquivos afetados

Antes de restaurar uma carga de trabalho de aplicação no nível do ficheiro, pode ver uma lista de ficheiros afetados. Pode aceder à página Alertas para transferir uma lista de ficheiros afetados. Em seguida, use a página recuperação para carregar a lista e escolher quais arquivos restaurar.

Passos

Use a página Alertas para recuperar a lista de arquivos afetados.

Dica Se um volume tiver vários alertas, talvez seja necessário fazer o download da lista CSV de arquivos afetados para cada alerta.

  1. No menu de proteção contra ransomware BlueXP , selecione Alertas.

  2. Na página Alertas, classifique os resultados por workload para mostrar os alertas da carga de trabalho do aplicativo que você deseja restaurar.

  3. Na lista de alertas para essa carga de trabalho, selecione um alerta.

  4. Para esse alerta, selecione um único incidente.

    lista de arquivos afetados para um alerta específico

  5. Para esse incidente, selecione o ícone de download e faça o download da lista de arquivos afetados no formato CSV.