O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Alertas

10/14/2025 Colaboradores

PDFs

A página Alertas de segurança da carga de trabalho mostra uma linha do tempo de ataques e/ou avisos recentes e permite que você visualize detalhes de cada problema.

Lista de alertas

Alerta

A lista de alertas exibe um gráfico mostrando o número total de ataques e/ou avisos potenciais que foram gerados no intervalo de tempo selecionado, seguido por uma lista dos ataques e/ou avisos que ocorreram nesse intervalo de tempo. Você pode alterar o intervalo de tempo ajustando os controles deslizantes de hora de início e hora de término no gráfico.

O seguinte é exibido para cada alerta:

Ataques potenciais:

O tipo de Ataque Potencial (por exemplo, Ransomware ou Sabotagem)
A data e a hora em que o ataque potencial foi Detectado
O Status do alerta:
- Novo: Este é o padrão para novos alertas.
- Em andamento: O alerta está sendo investigado por um ou mais membros da equipe.
- Resolvido: O alerta foi marcado como resolvido por um membro da equipe.
- Dispensado: O alerta foi descartado como falso positivo ou comportamento esperado.
  
  Um administrador pode alterar o status do alerta e adicionar uma nota para auxiliar na investigação.
O Usuário cujo comportamento disparou o alerta
Evidência do ataque (por exemplo, um grande número de arquivos foi criptografado)
A Ação tomada (por exemplo, um instantâneo foi tirado)

Avisos:

O Comportamento Anormal que desencadeou o aviso
A data e a hora em que o comportamento foi Detectado
O Status do alerta (Novo, Em andamento, etc.)
O Usuário cujo comportamento disparou o alerta
Uma descrição da Mudança (por exemplo, um aumento anormal no acesso a arquivos)
A Ação Tomada

Opções de filtro

Você pode filtrar alertas pelo seguinte:

O Status do alerta
Texto específico na Nota
O tipo de Ataques/Avisos
O Usuário cujas ações acionaram o alerta/aviso

A página Detalhes do Alerta

Você pode clicar em um link de alerta na página Lista de alertas para abrir uma página de detalhes do alerta. Os detalhes do alerta podem variar de acordo com o tipo de ataque ou alerta. Por exemplo, uma página de detalhes de um ataque de ransomware pode mostrar as seguintes informações:

Seção de resumo:

Tipo de ataque (Ransomware, Sabotagem) e ID de alerta (atribuído pela Workload Security)
Data e hora em que o ataque foi detectado
Ação tomada (por exemplo, um instantâneo automático foi tirado. O horário do instantâneo é mostrado imediatamente abaixo da seção de resumo))
Status (Novo, Em andamento, etc.)

Seção Resultados do Ataque:

Contagens de volumes e arquivos afetados
Um resumo anexo da detecção
Um gráfico mostrando a atividade do arquivo durante o ataque

Seção Usuários relacionados:

Esta seção mostra detalhes sobre o usuário envolvido no possível ataque, incluindo um gráfico de atividade principal do usuário.

Página de alertas (este exemplo mostra um possível ataque de ransomware): Exemplo de alerta de ransomware

Página de detalhes (este exemplo mostra um possível ataque de ransomware): Exemplo de página de detalhes de ransomware

Ação Tirar um instantâneo

O Workload Security protege seus dados tirando um instantâneo automaticamente quando uma atividade maliciosa é detectada, garantindo que seus dados sejam armazenados em backup com segurança.

Você pode definir"políticas de resposta automatizadas" que tiram um instantâneo quando um ataque de ransomware ou outra atividade anormal do usuário é detectada. Você também pode tirar um instantâneo manualmente na página de alerta.

Snapshot automático tirado: Tela de Ação de Alerta, 1000

Instantâneo manual: Tela de Ação de Alerta, 1000

Notificações de alerta

Notificações por e-mail de alertas são enviadas para uma lista de destinatários de alertas para cada ação no alerta. Para configurar destinatários de alertas, clique em Admin > Notificações e insira um endereço de e-mail para cada destinatário.

Política de retenção

Alertas e avisos são mantidos por 13 meses. Alertas e avisos com mais de 13 meses serão excluídos. Se o ambiente de segurança de carga de trabalho for excluído, todos os dados associados ao ambiente também serão excluídos.

Solução de problemas

Problema:	Experimente isto:
Há uma situação em que o ONTAP tira instantâneos a cada hora por dia. Os snapshots do Workload Security (WS) afetarão isso? O snapshot do WS substituirá o snapshot por hora? O snapshot horário padrão será interrompido?	Os snapshots de segurança de carga de trabalho não afetarão os snapshots por hora. Os snapshots do WS não ocuparão o espaço de snapshots por hora e isso deve continuar como antes. O instantâneo horário padrão não será interrompido.
O que acontecerá se a contagem máxima de snapshots for atingida no ONTAP?	Se a contagem máxima de Snapshots for atingida, a captura de Snapshots subsequentes falhará e o Workload Security mostrará uma mensagem de erro informando que o Snapshot está cheio. O usuário precisa definir políticas de Snapshot para excluir os snapshots mais antigos, caso contrário, os snapshots não serão tirados. No ONTAP 9.3 e versões anteriores, um volume pode conter até 255 cópias de Snapshot. No ONTAP 9.4 e posteriores, um volume pode conter até 1023 cópias de Snapshot. Consulte a documentação do ONTAP para obter informações sobre"definindo política de exclusão de instantâneo" .
O Workload Security não consegue tirar instantâneos.	Certifique-se de que a função usada para criar snapshots tenha o link: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [direitos apropriados atribuídos]. Certifique-se de que csrole foi criado com direitos de acesso adequados para tirar instantâneos: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
Os snapshots estão falhando para alertas mais antigos em SVMs que foram removidos do Workload Security e posteriormente adicionados novamente. Para novos alertas que ocorrem após o SVM ser adicionado novamente, são tirados instantâneos.	Este é um cenário raro. Caso isso aconteça, faça login no ONTAP e tire os instantâneos manualmente dos alertas mais antigos.
Na página Detalhes do alerta, a mensagem de erro “Última tentativa falhou” é vista abaixo do botão Tirar instantâneo. Passar o mouse sobre o erro exibe “O comando Invoke API expirou para o coletor de dados com id”.	Isso pode acontecer quando um coletor de dados é adicionado ao Workload Security por meio do IP de gerenciamento do SVM, se o LIF do SVM estiver no estado desativado no ONTAP. Habilite o LIF específico no ONTAP e acione Obter Snapshot manualmente no Workload Security. A ação Snapshot será então bem-sucedida.

Problema:

Experimente isto:

Há uma situação em que o ONTAP tira instantâneos a cada hora por dia. Os snapshots do Workload Security (WS) afetarão isso? O snapshot do WS substituirá o snapshot por hora? O snapshot horário padrão será interrompido?

Os snapshots de segurança de carga de trabalho não afetarão os snapshots por hora. Os snapshots do WS não ocuparão o espaço de snapshots por hora e isso deve continuar como antes. O instantâneo horário padrão não será interrompido.

O que acontecerá se a contagem máxima de snapshots for atingida no ONTAP?

Se a contagem máxima de Snapshots for atingida, a captura de Snapshots subsequentes falhará e o Workload Security mostrará uma mensagem de erro informando que o Snapshot está cheio. O usuário precisa definir políticas de Snapshot para excluir os snapshots mais antigos, caso contrário, os snapshots não serão tirados. No ONTAP 9.3 e versões anteriores, um volume pode conter até 255 cópias de Snapshot. No ONTAP 9.4 e posteriores, um volume pode conter até 1023 cópias de Snapshot. Consulte a documentação do ONTAP para obter informações sobre"definindo política de exclusão de instantâneo" .

O Workload Security não consegue tirar instantâneos.

Certifique-se de que a função usada para criar snapshots tenha o link: https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [direitos apropriados atribuídos]. Certifique-se de que csrole foi criado com direitos de acesso adequados para tirar instantâneos: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

Os snapshots estão falhando para alertas mais antigos em SVMs que foram removidos do Workload Security e posteriormente adicionados novamente. Para novos alertas que ocorrem após o SVM ser adicionado novamente, são tirados instantâneos.

Este é um cenário raro. Caso isso aconteça, faça login no ONTAP e tire os instantâneos manualmente dos alertas mais antigos.

Na página Detalhes do alerta, a mensagem de erro “Última tentativa falhou” é vista abaixo do botão Tirar instantâneo. Passar o mouse sobre o erro exibe “O comando Invoke API expirou para o coletor de dados com id”.

Isso pode acontecer quando um coletor de dados é adicionado ao Workload Security por meio do IP de gerenciamento do SVM, se o LIF do SVM estiver no estado desativado no ONTAP. Habilite o LIF específico no ONTAP e acione Obter Snapshot manualmente no Workload Security. A ação Snapshot será então bem-sucedida.