Skip to main content
BlueXP ransomware protection
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 BlueXP 勒索软件保护中进行勒索软件攻击准备演习

贡献者 amgrissino netapp-ahibbard
PDF

通过模拟对新示例工作负载的攻击来运行勒索软件攻击就绪演练。调查模拟攻击并恢复工作负载。使用此功能测试警报通知、响应和恢复。根据需要定期运行演练。

提示 您的实际工作量数据不会受到影响。

您可以对 NFS 和 CIFS (SMB) 工作负载进行准备情况演练。

配置勒索软件攻击准备演练

在运行模拟之前,请在“设置”页面上设置演练。从顶部菜单中的“操作”选项访问“设置”页面。

在以下情况下您将需要输入用户名和密码:

  • 如果先前选择的存储虚拟机的用户名或密码发生更改

  • 如果您选择不同的 CIFS (SMB) 存储 VM

  • 如果您输入不同的测试工作负载名称

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 从 BlueXP 勒索软件防护菜单中,选择右上角的 运行准备演练 按钮。

    显示“运行准备情况演练”按钮的仪表板页面

  2. 在“设置”页面上的“就绪”钻卡中,选择*Config*。

    BlueXP 显示配置准备演练页面。

    配置就绪钻取页面

  3. 执行以下操作:

    1. 选择要用于就绪演练的BlueXP  连接器。

    2. 选择一个测试工作环境。

    3. 选择一个测试存储SVM。

    4. 如果您选择了 CIFS (SMB) 存储虚拟机,则会显示“用户名”和“密码”字段。输入存储虚拟机的用户名和密码。

    5. 输入要创建的新测试工作负载的名称。请勿在名称中包含短划线。

  4. 选择 * 保存 * 。

提示 您可以稍后使用"设置"页面编辑就绪钻取配置。

开始准备训练

配置就绪钻取后、您可以开始钻取。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

当您开始准备训练时、BlueXP  勒索软件保护会跳过学习模式、并在活动模式下开始训练。工作负载的检测状态为Active。

提示 当最近分配了检测策略并且服务扫描工作负载时,工作负载可以具有勒索软件检测*学习模式*状态。
步骤

  1. 执行以下操作之一:

    • 从 BlueXP 勒索软件防护菜单中,选择右上角的 运行准备演练 按钮。

      显示“运行准备情况演练”按钮的仪表板页面

    • 或者,从“设置”页面的“就绪”训练卡中,选择*Start*。

  2. 如果已配置就绪演练,则在选择*开始*后,就绪演练将开始。

备注 开始钻取后、您无法编辑就绪钻取配置。您可以将其重置为重新启动。

响应就绪演练警报

通过响应就绪演练警报来测试您的就绪情况。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

    BlueXP 显示“警报”页面。在“警报 ID”列中,您会在 ID 旁边看到“就绪演练”。

    显示就绪钻取警报的警报页面

  2. 选择带有"就绪钻取"指示的警报。意外事件警报列表将显示在"Alerts"详细信息页面上。

    显示就绪钻取警报的警报详细信息页面

  3. 查看警报事件。

  4. 选择警报事件。

    显示就绪钻取警报的意外事件页面

以下是需要注意的一些事项:

  • 查看潜在攻击类型。

    如果"Type"(类型)指示用户涉嫌进行恶意活动、请检查用户名。您可能希望在Data Infrastructure Insight工作负载安全性中选择*在工作负载安全性中进行调查*、以便对用户进行更多调查。

  • 查看文件活动和可疑进程:

    • 查看检测到的传入数据与预期数据的对比情况。

    • 查看检测到的文件创建率与预期速率的对比情况。

    • 查看检测到的文件重命名速率与预期速率的对比情况。

    • 查看与预期速率相比的删除速率。

  • 查看受影响文件的列表。查看可能导致攻击的扩展。

  • 通过查看受影响文件和目录的数量来确定攻击的影响和广度。

还原测试工作负载

审查准备演习警报后,如有必要,恢复测试工作量。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 返回到警报详细信息页面。

  2. 如果应还原测试工作负载、请执行以下操作:

    • 选择*标记需要还原*。

    • 查看确认,然后在确认框中选择*Mark restore Need*。

      • 从BlueXP勒索软件保护菜单中、选择*恢复*。

      • 选择标记有"就绪钻取"的测试工作负载、以还原该工作负载。

      • 选择 * 还原 * 。

      • 在还原页面中、提供还原信息:

    • 选择源Snapshot副本。

    • 选择目标卷。

  3. 在还原查看页面中,选择*Restore*。

    BlueXP 在恢复页面上将准备演练恢复的状态显示为“进行中”。

    恢复完成后,BlueXP 将工作负载的状态更改为“已恢复”。

  4. 查看已还原的工作负载。

提示 有关还原过程的详细信息,请参见"从勒索软件攻击中恢复(消除意外事件后)"

在就绪演练之后更改警报状态

审查准备情况演习警报并恢复工作量后,根据需要更改警报状态。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 返回到警报详细信息页面。

  2. 再次选择警报。

  3. 通过选择*Edit statues*来指示状态,并将状态更改为以下状态之一:

    • 已取消:如果您怀疑活动不是勒索软件攻击、请将状态更改为已取消。

      重要说明 在您消除攻击后、您不能将其重新分出来。如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。如果您取消警报、则会将就绪演练视为已完成。

    • 已解决:已缓解意外事件。

查看就绪演练报告

准备工作演练完成后,您可能需要查看并保存该演练的报告。

必需的 BlueXP 角色 组织管理员、文件夹或项目管理员、勒索软件保护管理员或勒索软件查看器角色。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*报告*。

    显示就绪钻取报告的报告页面

  2. 选择*就绪演练*和*下载*以下载就绪演练报告。