Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Lide com alertas de ransomware detectados com o NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDFs

Quando o NetApp Ransomware Resilience detecta um possível ataque, ele mostra um alerta no Painel e na área de Notificações. O Ransomware Resilience tira um instantâneo imediatamente. Revise o risco potencial na aba Alertas de resiliência contra ransomware.

Se o Ransomware Resilience detectar um possível ataque, uma notificação será exibida nas configurações de Notificação do Console e um e-mail será enviado para o endereço configurado. O e-mail inclui informações sobre a gravidade, a carga de trabalho impactada e um link para o alerta na guia Alertas de resiliência contra ransomware.

Você pode descartar falsos positivos ou decidir recuperar seus dados imediatamente.

Dica Se você ignorar o alerta, o Ransomware Resilience aprende esse comportamento, associa-o às operações normais e não inicia um alerta sobre ele novamente.

Para começar a recuperar seus dados, marque o alerta como pronto para recuperação para que seu administrador de armazenamento possa iniciar o processo de recuperação.

Cada alerta pode incluir vários incidentes em diferentes volumes e status. Revise todos os incidentes.

O Ransomware Resilience fornece informações chamadas evidências sobre o que causou a emissão do alerta, como as seguintes:

  • Extensões de arquivo foram criadas ou alteradas

  • Criação de arquivo com comparação de taxas detectadas e esperadas

  • Exclusão de arquivos com comparação de taxas detectadas e esperadas

  • Quando a criptografia é alta, sem alterações na extensão do arquivo

Um alerta é classificado como um dos seguintes:

  • Ataque potencial: Um alerta ocorre quando o Autonomous Ransomware Protection detecta uma nova extensão e a ocorrência se repete mais de 20 vezes nas últimas 24 horas (comportamento padrão).

  • Aviso: Um aviso ocorre com base nos seguintes comportamentos:

    • A detecção de uma nova extensão não foi identificada antes e o mesmo comportamento não se repete vezes suficientes para declará-lo como um ataque.

    • Alta entropia é observada.

    • A atividade de leitura, gravação, renomeação ou exclusão de arquivos dobrou em comparação aos níveis normais.

Observação Para ambientes SAN, os avisos são baseados apenas em alta entropia.

As evidências são baseadas em informações da Proteção Autônoma contra Ransomware no ONTAP. Para mais detalhes, consulte "Visão geral da proteção autônoma contra ransomware" .

Um alerta pode ter um dos seguintes status:

  • Novo

  • Inativo

Um incidente de alerta pode ter um dos seguintes estados:

  • Novo: Todos os incidentes são marcados como "novos" quando são identificados pela primeira vez.

  • Rejeitado: Se você suspeitar que a atividade não é um ataque de ransomware, você pode alterar o status para "Rejeitado".

    Cuidado Depois de dispensar um ataque, você não pode reverter isso. Se você descartar uma carga de trabalho, todas as cópias de snapshot feitas automaticamente em resposta ao possível ataque de ransomware serão excluídas permanentemente.

  • Descartando: O incidente está em processo de ser descartado.

  • Resolvido: O incidente foi corrigido.

  • Resolvido automaticamente: Para alertas de baixa prioridade, o incidente é resolvido automaticamente se nenhuma ação for tomada dentro de cinco dias.

Dica Se você configurou um sistema de gerenciamento de segurança e eventos (SIEM) no Ransomware Resilience na página Configurações, o Ransomware Resilience envia detalhes de alerta para seu sistema SIEM.

Ver alertas

Você pode acessar alertas no Painel de Resiliência de Ransomware ou na aba Alertas.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto, administrador do Ransomware Resilience ou visualizador do Ransomware Resilience. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No Painel de Resiliência de Ransomware, revise o painel Alertas.

  2. Selecione Ver tudo em um dos status.

  3. Selecione um alerta para revisar todos os incidentes em cada volume para cada alerta.

  4. Para revisar alertas adicionais, selecione Alerta nas trilhas de navegação no canto superior esquerdo.

  5. Revise os alertas na página Alertas.

    Página de alertas

  6. Continue com um dos seguintes:

Responder a um e-mail de alerta

Quando o Ransomware Resilience detecta um ataque potencial, ele envia uma notificação por e-mail aos usuários inscritos com base em suas preferências de notificação de assinatura. O e-mail contém informações sobre o alerta, incluindo a gravidade e os recursos afetados.

Você pode receber notificações por e-mail sobre alertas de resiliência de ransomware. Esse recurso ajuda você a se manter informado sobre alertas, sua gravidade e recursos afetados.

Dica Para assinar notificações por e-mail, consulte "Definir configurações de notificação por e-mail" .

  1. Em Ransomware Resilience, vá para a página Configurações.

  2. Em Notificações, localize as configurações de notificação por e-mail.

  3. Digite o endereço de e-mail onde você deseja receber alertas.

  4. Salve suas alterações.

Agora você receberá notificações por e-mail quando novos alertas forem gerados.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto, administrador do Ransomware Resilience ou visualizador do Ransomware Resilience. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. Veja o e-mail.

  2. No e-mail, selecione Exibir alerta e faça login no Ransomware Resilience.

    A página Alertas é exibida.

  3. Revise todos os incidentes em cada volume para cada alerta.

  4. Para revisar alertas adicionais, clique em Alerta no menu de navegação no canto superior esquerdo.

  5. Continue com um dos seguintes:

Detecte atividades maliciosas e comportamento anômalo do usuário

Observando a aba Alertas, você pode identificar se há atividade maliciosa ou comportamento anômalo do usuário.

Você deve ter configurado um agente de atividade do usuário e habilitado uma política de proteção com detecção de comportamento do usuário para visualizar alertas em nível de usuário. Com a detecção de comportamento do usuário ativada, a coluna Usuário suspeito aparece no painel Alertas; ela não é exibida quando a detecção de comportamento do usuário não está ativada. Para habilitar a detecção de usuários suspeitos, consulte"Atividade suspeita do usuário" .

Observação Se você estiver usando o NetApp Data Infrastructure Insights (DII) Workload Security, é recomendável usar os mesmos agentes de Workload Security para o Ransomware Resilience. Não é necessário implantar agentes de segurança de carga de trabalho separados para o Ransomware Resilience. No entanto, usar os mesmos agentes de segurança de carga de trabalho requer um relacionamento de emparelhamento entre a organização do Ransomware Resilience Console e o locatário do DII Storage Workload Security. Entre em contato com seu representante de conta para habilitar esse pareamento.

Ver atividade maliciosa

Quando o Autonomous Ransomware Protection aciona um alerta no Ransomware Resilience, você pode visualizar os seguintes detalhes:

  • Entropia de dados recebidos

  • Taxa de criação esperada de novos arquivos em comparação com a taxa detectada

  • Taxa de exclusão esperada de arquivos comparada à taxa detectada

  • Taxa de renomeação esperada de arquivos em comparação com a taxa detectada

  • Arquivos e diretórios impactados

Observação Esses detalhes podem ser visualizados para cargas de trabalho NAS. Para ambientes SAN, somente os dados de entropia estão disponíveis.
Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Selecione um alerta.

  3. Revise os incidentes no alerta.

    Página de incidentes de alerta

  4. Selecione um incidente para revisar seus detalhes.

Visualizar comportamento anômalo do usuário

Se você configurou a detecção de usuários suspeitos para visualizar comportamentos anômalos do usuário, poderá visualizar dados em nível de usuário e bloquear usuários específicos. Para habilitar configurações de usuários suspeitos, consulte"Configurar as definições de resiliência contra ransomware" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Selecione um alerta.

  3. Revise os incidentes no alerta.

  4. Para bloquear um usuário suspeito em seu ambiente, selecione Bloquear abaixo do nome do usuário.

Marcar incidentes de ransomware como prontos para recuperação (após os incidentes serem neutralizados)

Após interromper o ataque, notifique o administrador de armazenamento de que os dados estão prontos para que ele possa iniciar a recuperação.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

  3. Revise os incidentes no alerta.

    Página de incidentes de alerta

  4. Se você determinar que os incidentes estão prontos para recuperação, selecione Marcar restauração necessária.

  5. Confirme a ação e selecione Marcar restauração necessária.

  6. Para iniciar a recuperação da carga de trabalho, selecione Recuperar carga de trabalho na mensagem ou selecione a guia Recuperação.

Resultado

Depois que o alerta é marcado para restauração, ele é movido da guia Alertas para a guia Recuperação.

Descartar incidentes que não sejam ataques potenciais

Depois de analisar os incidentes, você precisa determinar se eles são ataques em potencial. Se não forem ameaças reais, elas podem ser descartadas.

Você pode descartar falsos positivos ou decidir recuperar seus dados imediatamente. Se você ignorar o alerta, o Ransomware Resilience aprende esse comportamento, associa-o às operações normais e não inicia um alerta sobre esse comportamento novamente.

Se você descartar uma carga de trabalho, todas as cópias de instantâneos feitas automaticamente em resposta a um possível ataque de ransomware serão excluídas permanentemente.

Cuidado Se você descartar um alerta, não poderá alterar seu status nem desfazer essa alteração.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

  1. No menu Resiliência contra Ransomware, selecione Alertas.

    Página de alertas

  2. Na página Alertas, selecione o alerta.

    Página de incidentes de alerta

  3. Selecione um ou mais incidentes. Ou selecione todos os incidentes selecionando a caixa ID do incidente no canto superior esquerdo da tabela.

  4. Se você determinar que o incidente não é uma ameaça, descarte-o como um falso positivo:

    • Selecione o incidente.

    • Selecione o botão Editar status acima da tabela.

      Página de status de edição de alerta

  5. Na caixa Editar status, selecione o status “Dispensado”.

    Aparecem informações adicionais sobre a carga de trabalho e que cópias de instantâneos foram excluídas.

  6. Selecione Salvar.

    O status do incidente ou incidentes muda para “Descartado”.

Ver uma lista de arquivos afetados

Antes de restaurar uma carga de trabalho de aplicativo no nível de arquivo, você pode visualizar uma lista de arquivos afetados. Você pode acessar a página Alertas para baixar uma lista de arquivos afetados. Em seguida, use a página Recuperação para carregar a lista e escolher quais arquivos restaurar.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Passos

Use a página Alertas para recuperar a lista de arquivos afetados.

Dica Se um volume tiver vários alertas, talvez seja necessário baixar a lista CSV dos arquivos afetados para cada alerta.

  1. No menu Resiliência contra Ransomware, selecione Alertas.

  2. Na página Alertas, classifique os resultados por carga de trabalho para mostrar os alertas para a carga de trabalho do aplicativo que você deseja restaurar.

  3. Na lista de alertas para essa carga de trabalho, selecione um alerta.

  4. Para esse alerta, selecione um único incidente.

    lista de arquivos impactados para um alerta específico

  5. Para esse incidente, selecione o ícone de download para baixar a lista de arquivos afetados no formato CSV.