简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

响应检测到的勒索软件警报

07/01/2024 贡献者

如果BlueXP勒索软件保护检测到可能的攻击、则BlueXP勒索软件保护信息板和右上角的BlueXP通知中会显示一条警报、指示可能发生勒索软件攻击。该服务还会立即开始创建Snapshot副本。此时，您应在BlueXP勒索软件保护*Alerts*选项卡中查看潜在风险。

您可以消除误报或决定立即恢复数据。

如果您决定取消警报、服务将了解此行为并将其与正常操作关联、而不会再次针对此类行为发出警报。

要开始恢复数据、请将警报标记为已准备好恢复、以便存储管理员可以开始恢复过程。

每个警报可能会在状态不同的不同卷上发生多个意外事件、因此请务必查看所有意外事件。

该服务提供有关导致发出警报的原因的信息、称为_证据_、例如：

警报基于以下类型的行为：

潜在攻击：当自主防兰森异常保护检测到新的扩展、且在过去24小时内重复发生20多次时、会发出警报(默认行为)。
警告：根据以下行为出现警告：
- 以前未发现新扩展的检测，同样的行为重复的时间不足以将其声明为攻击。
- 观察到的熵高。
- 文件读/写/重命名/删除操作导致活动超出基线时100%激增。

证据基于ONTAP中的"自主防兰软件保护"提供的信息。有关详细信息，请参见 "自主勒索软件保护概述"。

警报可以具有以下状态之一：

警报意外事件可归类为以下状态之一：

新增：首次识别所有事件时、这些事件都将标记为"新增"。
已取消：如果您怀疑活动不是勒索软件攻击、可以将状态更改为"已取消"。

在消除攻击后、您不能将其改回原来的位置。如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。
正在撤销：该事件正在撤销过程中。
已解决：已缓解事件。

查看警报

您可以从BlueXP勒索软件保护信息板或*警报*选项卡访问警报。

步骤

在缓解了攻击并准备好恢复工作负载之后、您应与存储管理团队沟通、指出数据已准备好进行恢复、以便他们可以启动恢复过程。

步骤

结果

将警报标记为要还原后、警报将从"Alerts"(警报)选项卡移至"Recrecovery "(恢复)选项卡。

审核事件后、您需要确定这些事件是否为潜在攻击。否则、可以将其取消。

您可以消除误报或决定立即恢复数据。如果您决定取消警报、服务将了解此行为并将其与正常操作关联、而不会再次针对此类行为发出警报。

如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。

如果取消警报、则无法将此状态改回任何其他状态、也无法撤消此更改。

步骤

从BlueXP勒索软件保护菜单中、选择*警报*。
在警报页面中、选择警报。
选择一个或多个意外事件。或者、选择表左上方的"Incident ID"框以选择所有事件。
如果您确定事件不是威胁、请将其视为误报：
- 如果选择了一个事件，请选择*Actions*… 图标，选择*编辑状态*。
- 如果选择了多个事件，请选择表上方的*Edit statues*按钮。
从编辑状态框中，选择*"dered"(已取消)*状态。

此时将显示有关工作负载以及要删除的Snapshot副本的其他信息。
选择 * 保存 * 。

一个或多个意外事件的状态将更改为"已取消"。

在文件级别还原应用程序工作负载之前、您可以查看受影响文件的列表。您可以访问警报页面以下载受影响文件的列表。然后、使用"RecRecovery (恢复)"页面上传此列表并选择要还原的文件。

步骤

使用警报页面检索受影响文件的列表。

如果卷包含多个警报、您可能需要下载每个警报的受影响文件的CSV列表。