响应检测到的勒索软件警报
如果BlueXP勒索软件保护检测到可能的攻击、则BlueXP勒索软件保护信息板和右上角的BlueXP通知中会显示一条警报、指示可能发生勒索软件攻击。该服务还会立即开始创建Snapshot副本。此时,您应在BlueXP勒索软件保护*Alerts*选项卡中查看潜在风险。
要开始恢复数据、请将警报标记为已准备好恢复、以便存储管理员可以开始恢复过程。
每个警报可能会在状态不同的不同卷上发生多个意外事件、因此请务必查看所有意外事件。
该服务提供有关导致发出警报的原因的信息、称为_证据_、例如:
-
已创建或更改文件扩展名
-
已创建文件、并且增加了列出的百分比
-
发生文件删除并增加了列出的百分比
警报基于以下类型的行为:
-
潜在攻击:当自主防兰森异常保护检测到新的扩展、且在过去24小时内重复发生20多次时、会发出警报(默认行为)。
-
警告:根据以下行为出现警告:
-
以前未发现新扩展的检测,同样的行为重复的时间不足以将其声明为攻击。
-
观察到的熵高。
-
文件读/写/重命名/删除操作导致活动超出基线时100%激增。
-
证据基于ONTAP中的"自主防兰软件保护"提供的信息。有关详细信息,请参见 "自主勒索软件保护概述"。
查看警报
您可以从BlueXP勒索软件保护信息板或*警报*选项卡访问警报。
-
在BlueXP勒索软件保护信息板中、查看警报窗格。
-
在其中一个雕像下方选择*查看全部*。
-
单击某个警报可查看每个卷上每个警报的所有意外事件。
-
要查看其他警报,请单击左上角的面包屑中的*Alert*。
-
查看警报页面上的警报。
将勒索软件事件标记为已做好恢复准备(在消除意外事件后)
在缓解了攻击并准备好恢复工作负载之后、您应与存储管理团队沟通、指出数据已准备好进行恢复、以便他们可以启动恢复过程。
-
从BlueXP勒索软件保护菜单中、选择*警报*。
-
在警报页面中、选择警报。
-
查看警报中的意外事件。
-
如果您确定意外事件已准备好恢复、请选择*标记需要恢复*。
-
确认操作并选择*Mark restore Need*。
-
要启动工作负载恢复、请在消息中选择*恢复*工作负载或选择*恢复*选项卡。
将警报标记为恢复后、警报将从"Alerts"(警报)选项卡移至"Recover "(恢复)选项卡。