Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerencie alertas no NetApp Ransomware Resilience.

Colaboradores amgrissino netapp-ahibbard
PDFs

Quando o NetApp Ransomware Resilience detecta um possível ataque, ele exibe um alerta no Painel de Controle e na área de Notificações. O Ransomware Resilience tira um instantâneo imediatamente. Revise o risco potencial na aba Alertas de resiliência contra ransomware.

Se o Ransomware Resilience detectar um possível ataque, uma notificação será exibida nas configurações de Notificação do Console e um e-mail será enviado para os endereços configurados. O e-mail inclui informações sobre a gravidade, a carga de trabalho impactada e um link para o alerta na guia Alerts do Ransomware Resilience.

Você pode descartar falsos positivos ou decidir recuperar seus dados imediatamente.

Dica Se você ignorar o alerta, o Ransomware Resilience aprende esse comportamento, associa-o às operações normais e não inicia um alerta sobre ele novamente.

Para começar a recuperar seus dados, marque o alerta como pronto para recuperação para que seu administrador de armazenamento possa iniciar o processo de recuperação.

Cada alerta pode incluir vários incidentes em diferentes volumes e status. Revise todos os incidentes.

O Ransomware Resilience fornece informações chamadas evidências sobre o que causou a emissão do alerta, como as seguintes:

  • Extensões de arquivo foram criadas ou alteradas

  • Criação de arquivo com comparação de taxas detectadas e esperadas

  • Exclusão de arquivos com comparação de taxas detectadas e esperadas

  • Quando a criptografia é alta, sem alterações na extensão do arquivo

Um alerta é classificado como um dos seguintes:

  • Ataque potencial: Um alerta ocorre quando o Autonomous Ransomware Protection detecta uma nova extensão e a ocorrência se repete mais de 20 vezes nas últimas 24 horas (comportamento padrão).

  • Aviso: Um aviso ocorre com base nos seguintes comportamentos:

    • A detecção de uma nova extensão não foi identificada antes e o mesmo comportamento não se repete vezes suficientes para declará-lo como um ataque.

    • Alta entropia é observada.

    • A atividade de leitura, gravação, renomeação ou exclusão de arquivos dobrou em comparação aos níveis normais.

Observação Para ambientes SAN, os avisos são baseados apenas em alta entropia.

As evidências são baseadas em informações da Proteção Autônoma contra Ransomware no ONTAP. Para mais detalhes, consulte "Visão geral da proteção autônoma contra ransomware" .

Um alerta pode ter um dos seguintes status:

  • Novo

  • Inativo

Um incidente de alerta pode ter os seguintes estados:

  • Novo: Todos os incidentes são marcados como "novos" quando são identificados pela primeira vez.

  • Em análise: Você pode marcar um incidente como em análise enquanto o avalia.

  • Rejeitado: Se você suspeitar que a atividade não é um ataque de ransomware, você pode alterar o status para "Rejeitado".

    Cuidado Depois de rejeitar um ataque, você não poderá reverter seu status. Se você descartar uma carga de trabalho, todas as cópias instantâneas feitas automaticamente em resposta ao possível ataque de ransomware serão excluídas permanentemente.

  • Descartando: O incidente está em processo de ser descartado.

  • Resolvido: O incidente foi corrigido.

  • Resolvido automaticamente: Para alertas de baixa prioridade, o incidente é resolvido automaticamente se nenhuma ação for tomada dentro de cinco dias.

Dica Se você configurou um sistema de gerenciamento de segurança e eventos (SIEM) no Ransomware Resilience na página Configurações, o Ransomware Resilience envia detalhes de alerta para seu sistema SIEM.

Ver alertas

Você pode acessar alertas no Painel de Resiliência de Ransomware ou na aba Alertas.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto, administrador do Ransomware Resilience ou visualizador do Ransomware Resilience. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No Painel de Resiliência de Ransomware, revise o painel Alertas.

  2. Selecione Ver tudo em um dos status.

  3. Selecione um alerta para revisar todos os incidentes em cada volume para cada alerta.

  4. Para revisar alertas adicionais, selecione Alerta nas trilhas de navegação no canto superior esquerdo.

  5. Revise os alertas na página Alertas.

    Página de alertas

  6. Continue com um dos seguintes:

Responder a um e-mail de alerta

Quando o Ransomware Resilience detecta um possível ataque, ele envia uma notificação por e-mail aos usuários inscritos, de acordo com as preferências de notificação de inscrição configuradas nas definições do NetApp Console. O e-mail contém informações sobre o alerta, incluindo a gravidade e os recursos afetados.

Dica Para configurar notificações por e-mail no Console, consulte "Definir configurações de notificação por e-mail".

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto, administrador do Ransomware Resilience ou visualizador do Ransomware Resilience. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. Veja o e-mail.

  2. No e-mail, selecione Exibir alerta e faça login no Ransomware Resilience.

    A página Alertas é exibida.

  3. Revise todos os incidentes em cada volume para cada alerta.

  4. Para revisar alertas adicionais, clique em Alerta no menu de navegação no canto superior esquerdo.

  5. Continue com um dos seguintes:

Detecte atividades maliciosas e comportamento anômalo do usuário

Observando a aba Alertas, você pode identificar se há atividade maliciosa ou comportamento anômalo do usuário.

Você deve ter configurado um agente de atividade do usuário e habilitado uma política de proteção com detecção de comportamento do usuário para visualizar alertas em nível de usuário. A coluna Usuário suspeito aparece no painel de alertas somente quando a detecção de comportamento do usuário está habilitada. Para habilitar a detecção de usuários suspeitos, consulte "Atividade suspeita do usuário".

Ver atividade maliciosa

Quando o Autonomous Ransomware Protection aciona um alerta no Ransomware Resilience, você pode visualizar os seguintes detalhes:

  • Entropia de dados recebidos

  • Taxa de criação esperada de novos arquivos em comparação com a taxa detectada

  • Taxa de exclusão esperada de arquivos comparada à taxa detectada

  • Taxa de renomeação esperada de arquivos em comparação com a taxa detectada

  • Arquivos e diretórios impactados

Observação Esses detalhes podem ser visualizados para cargas de trabalho NAS. Para ambientes SAN, somente os dados de entropia estão disponíveis.
Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Selecione um alerta.

  3. Revise os incidentes no alerta.

    Página de incidentes de alerta

  4. Selecione um incidente para revisar seus detalhes.

Visualizar comportamento anômalo do usuário

Se você configurou a detecção de usuários suspeitos para visualizar comportamentos anômalos do usuário, poderá visualizar dados em nível de usuário e bloquear usuários específicos. Para habilitar configurações de usuários suspeitos, consulte"Configurar as definições de resiliência contra ransomware" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Selecione um alerta.

  3. Revise os incidentes no alerta.

  4. Para bloquear um usuário suspeito em seu ambiente, selecione Bloquear abaixo do nome do usuário.

Marcar incidentes de ransomware como prontos para recuperação (após os incidentes serem neutralizados)

Após interromper o ataque, notifique o administrador de storage que os dados estão prontos para que ele possa iniciar o processo de recuperação.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

  3. Revise os incidentes no alerta.

    Página de incidentes de alerta

  4. Se você determinar que os incidentes estão prontos para recuperação, selecione Marcar restauração necessária.

  5. Confirme a ação e selecione Marcar restauração necessária.

  6. Para iniciar a recuperação da carga de trabalho, selecione Recuperar carga de trabalho na mensagem ou selecione a guia Recuperação.

Resultado

Depois que o alerta é marcado para restauração, ele é movido da guia Alertas para a guia Recuperação.

Descartar incidentes que não sejam ataques potenciais

Depois de analisar os incidentes, você precisa determinar se eles são ataques em potencial. Se não forem ameaças reais, podem ser descartadas.

Você pode descartar falsos positivos ou decidir recuperar seus dados imediatamente. Se você descartar o alerta, o Ransomware Resilience aprenderá esse comportamento e o associará às operações normais, não iniciando um alerta novamente para esse comportamento.

Se você descartar uma carga de trabalho, todas as cópias de instantâneos feitas automaticamente em resposta a um possível ataque de ransomware serão excluídas permanentemente.

Cuidado Se você descartar um alerta, não poderá alterar seu status nem desfazer essa alteração.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

    Página de incidentes de alerta

  3. Selecione um ou mais incidentes. Alternativamente, selecione todos os incidentes marcando a caixa ID do incidente no canto superior esquerdo da tabela.

  4. Se você determinar que o incidente não é uma ameaça, descarte-o como um falso positivo:

    • Selecione o incidente.

    • Selecione o botão Editar status acima da tabela.

      Página de status de edição de alerta

  5. Na caixa Editar status, escolha o status Dispensado.

    Aparecem informações adicionais sobre a carga de trabalho e as cópias de instantâneo excluídas.

  6. Selecione Salvar.

    O status do incidente ou incidentes muda para "Arquivado".

Ver uma lista de arquivos afetados

Antes de restaurar uma carga de trabalho de aplicativo no nível de arquivo, você pode visualizar uma lista de arquivos afetados. Você pode acessar a página Alertas para baixar uma lista de arquivos afetados. Em seguida, use a página Recuperação para carregar a lista e escolher quais arquivos restaurar.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

Use a página Alertas para recuperar a lista de arquivos afetados.

Dica Se um volume tiver vários alertas, talvez seja necessário baixar a lista CSV dos arquivos afetados para cada alerta.

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Na página Alertas, classifique os resultados por carga de trabalho para mostrar os alertas para a carga de trabalho do aplicativo que você deseja restaurar.

  3. Na lista de alertas para essa carga de trabalho, selecione um alerta.

  4. Para esse alerta, selecione um único incidente.

    lista de arquivos impactados para um alerta específico

  5. Para esse incidente, selecione o ícone de download para baixar a lista de arquivos afetados no formato CSV.