Skip to main content
BlueXP ransomware protection
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 BlueXP 勒索软件保护处理检测到的勒索软件警报

贡献者 amgrissino netapp-ahibbard
PDF

当 BlueXP 勒索软件防护检测到潜在攻击时,它会在仪表板和通知区域显示警报。该服务会立即拍摄快照。请在 BlueXP 勒索软件防护的“警报”选项卡中查看潜在风险。

如果BlueXP ransomware protection检测到可能的攻击, BlueXP通知中将显示一条通知,并向配置的地址发送电子邮件。该电子邮件包含有关严重程度、受影响工作负载的信息,以及指向BlueXP ransomware protection“警报”选项卡中警报的链接。

您可以消除误报或决定立即恢复数据。

提示 如果您关闭警报,服务会了解此行为,将其与正常操作关联,并且不会再次对其发出警报。

要开始恢复数据、请将警报标记为已准备好恢复、以便存储管理员可以开始恢复过程。

每个警报可能包含不同卷和状态的多个事件。请查看所有事件。

该服务提供有关导致发出警报的原因的信息、称为_证据_、例如:

  • 已创建或更改文件扩展名

  • 通过比较检测到的速率与预期速率来创建文件

  • 通过比较检测到的速率与预期速率来删除文件

  • 加密较高时、文件扩展名未更改

警报分为以下几类:

  • 潜在攻击:当自主防兰森异常保护检测到新的扩展、且在过去24小时内重复发生20多次时、会发出警报(默认行为)。

  • 警告:根据以下行为出现警告:

    • 以前未发现新扩展的检测,同样的行为重复的时间不足以将其声明为攻击。

    • 观察到的熵高。

    • 文件读取、写入、重命名或删除活动比正常水平增加了一倍。

备注 对于 SAN 环境,警告仅基于高熵。

证据基于ONTAP中的"自主防兰软件保护"提供的信息。有关详细信息,请参见 "自主勒索软件保护概述"

警报可以具有以下状态之一:

  • * 新增 *

  • 非活动

警报事件可以具有以下状态之一:

  • 新增:首次识别所有事件时、这些事件都将标记为"新增"。

  • 已取消:如果您怀疑活动不是勒索软件攻击、可以将状态更改为"已取消"。

    注意 在消除攻击后、您不能将其改回原来的位置。如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。

  • 正在撤销:该事件正在撤销过程中。

  • 已解决:该事件已修复。

  • 自动解决:对于低优先级警报,如果五天内没有采取任何行动,则事件将自动解决。

提示 如果您在“设置”页面中的BlueXP ransomware protection中配置了安全和事件管理系统 (SIEM),该服务会向您的 SIEM 系统发送警报详细信息。

查看警报

您可以从BlueXP  勒索软件保护信息板或*警报*选项卡访问警报。

必需的 BlueXP 角色 组织管理员、文件夹或项目管理员、勒索软件保护管理员或勒索软件查看器角色。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 在BlueXP勒索软件保护信息板中、查看警报窗格。

  2. 在其中一个状态下选择*查看全部*。

  3. 选择一个警报来查看每个警报的每个卷上的所有事件。

  4. 要查看其他警报,请选择左上角面包屑中的“警报”。

  5. 查看警报页面上的警报。

    警报页面

  6. 继续下列操作之一:

回复警报电子邮件

当BlueXP ransomware protection检测到潜在攻击时,它会根据订阅用户的订阅通知偏好设置,向其发送电子邮件通知。电子邮件中包含警报信息,包括严重程度和受影响的资源。

您可以接收BlueXP ransomware protection警报的电子邮件通知。此功能可帮助您随时了解警报、警报严重程度以及受影响的资源。

提示 要订阅电子邮件通知,请参阅 "设置电子邮件通知设置"

  1. 在BlueXP ransomware protection中,转到 设置 页面。

  2. 在“通知”下,找到电子邮件通知设置。

  3. 输入您想要接收警报的电子邮件地址。

  4. 保存所做的更改。

当新的警报生成时,您将收到电子邮件通知。

必需的 BlueXP 角色 组织管理员、文件夹或项目管理员、勒索软件保护管理员或勒索软件查看器角色。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 查看电子邮件。

  2. 在电子邮件中,选择“查看警报”并登录BlueXP ransomware protection。

    此时将显示警报页面。

  3. 审查每个卷上每个警报的所有事件。

  4. 要查看其他警报,请单击左上角的面包屑中的*Alert*。

  5. 继续下列操作之一:

检测恶意活动和异常用户行为

查看警报选项卡、您可以确定是否存在恶意活动。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

*出现了哪些细节?*显示的详细信息取决于警报的触发方式:

  • 由ONTAP中的自动防兰软件保护功能触发。此操作将根据卷中文件的行为检测恶意活动。

  • 由Data Infrastructure Insight工作负载安全性触发。这需要获得Data Infrastructure Insight工作负载安全性许可证、并在BlueXP  勒索软件保护中启用该许可证。此功能可检测存储工作负载中的异常用户行为、并允许您阻止该用户进行进一步访问。

    要在BlueXP  勒索软件保护中启用工作负载安全性,请转到*设置*页面并选择*工作负载安全连接*选项。

    有关Data Infrastructure Insights工作负载安全性的概述,请查看 "关于工作负载安全性"

提示 如果您没有数据基础设施工作负载安全许可证,并且没有在BlueXP ransomware protection中启用它,您将看不到异常用户行为信息。

发生恶意活动时、系统会生成警报并自动生成快照。

仅通过自主防病毒软件保护查看恶意活动

当自动勒索软件保护在BlueXP  勒索软件保护中触发警报时、您可以查看以下详细信息:

  • 传入数据的熵

  • 新文件的预期创建速率与检测到的速率之比

  • 与检测到的文件删除率相比、文件的预期删除率

  • 与检测到的重命名率相比、文件的预期重命名率

  • 受影响的文件和目录

备注 对于 NAS 工作负载,这些详细信息可供查看。对于 SAN 环境,仅提供熵数据。
步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 选择警报。

  3. 查看警报中的意外事件。

    警报事件页面

  4. 选择一个事件以查看该事件的详细信息。

在Data Infrastructure Insight工作负载安全性中查看异常用户行为

当Data Infrastructure Insight工作负载安全性在BlueXP  勒索软件保护中触发警报时、您可以直接在Data Infrastructure Insight工作负载安全性中查看可疑用户、阻止用户并调查用户活动。

提示 除了这些功能之外、还提供了"自主防兰软件保护"中提供的详细信息。
开始之前

此选项需要获得Data Infrastructure Insight工作负载安全性的许可证、并且您需要在BlueXP  勒索软件保护中启用它。

要在BlueXP  勒索软件保护中启用工作负载安全性、请执行以下操作:

  1. 转到*Settings*页面。

  2. 选择*工作负载安全性连接*选项。

    有关详细信息,请参见 "配置BlueXP勒索软件保护设置"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 选择警报。

  3. 查看警报中的意外事件。

    显示工作负载安全性详细信息的警报事件页面

  4. 要阻止可疑用户进一步访问BlueXP  监控的环境,请选择*Block user*链接。

  5. 调查警报或警报中的意外事件:

    1. 要在Data Infrastructure Insight工作负载安全性中进一步调查警报、请选择*调查工作负载安全性*链接。

    2. 选择一个事件以查看该事件的详细信息。

      此时将在一个新选项卡中打开Data Infrastructure Insight Workload Security。

    在工作负载安全性中进行调查

将勒索软件事件标记为已做好恢复准备(在消除意外事件后)

阻止攻击后,通知存储管理员数据已准备就绪,以便他们可以开始恢复。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

    警报页面

  2. 在警报页面中、选择警报。

  3. 查看警报中的意外事件。

    警报事件页面

  4. 如果您确定意外事件已准备好恢复、请选择*标记需要恢复*。

  5. 确认操作并选择*Mark restore Need*。

  6. 要启动工作负载恢复、请在消息中选择*恢复*工作负载或选择*恢复*选项卡。

结果

将警报标记为要还原后、警报将从"Alerts"(警报)选项卡移至"Recrecovery "(恢复)选项卡。

消除非潜在攻击事件

审核事件后、您需要确定这些事件是否为潜在攻击。如果不满足前述条件,他们就可以被解雇。

您可以消除误报或决定立即恢复数据。如果您关闭警报,服务会了解此行为,将其与正常操作关联,并且不会再次针对此类行为发出警报。

如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。

注意 如果取消警报、则无法将此状态改回任何其他状态、也无法撤消此更改。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

    警报页面

  2. 在警报页面中、选择警报。

    警报事件页面

  3. 选择一个或多个意外事件。或者、选择表左上方的"Incident ID"框以选择所有事件。

  4. 如果您确定事件不是威胁、请将其视为误报:

    • 选择事件。

    • 选择表格上方的*编辑状态*按钮。

      警报编辑状态页面

  5. 从编辑状态框中,选择*"dered"(已取消)*状态。

    将显示有关工作负载以及已删除快照副本的其他信息。

  6. 选择 * 保存 * 。

    一个或多个意外事件的状态将更改为"已取消"。

查看受影响文件的列表

在文件级别还原应用程序工作负载之前、您可以查看受影响文件的列表。您可以访问警报页面以下载受影响文件的列表。然后、使用"RecRecovery (恢复)"页面上传此列表并选择要还原的文件。

所需的 BlueXP 角色 组织管理员、文件夹或项目管理员或勒索软件防护管理员。 "了解所有服务的 BlueXP 访问角色"

步骤

使用警报页面检索受影响文件的列表。

提示 如果卷包含多个警报、您可能需要下载每个警报的受影响文件的CSV列表。

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 在警报页面上、按工作负载对结果进行排序、以显示要还原的应用程序工作负载的警报。

  3. 从该工作负载的警报列表中、选择一个警报。

  4. 对于该警报、请选择一个意外事件。

    特定警报的受影响文件列表

  5. 对于此意外事件、请选择下载图标并以CSV格式下载受影响文件的列表。