Skip to main content
BlueXP ransomware protection
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

响应检测到的勒索软件警报

贡献者
PDF

如果BlueXP勒索软件保护检测到可能的攻击、则BlueXP勒索软件保护信息板和右上角的BlueXP通知中会显示一条警报、指示可能发生勒索软件攻击。该服务还会立即开始创建Snapshot副本。此时,您应在BlueXP勒索软件保护*Alerts*选项卡中查看潜在风险。

您可以消除误报或决定立即恢复数据。

提示 如果您决定取消警报、服务将了解此行为并将其与正常操作关联、而不会再次针对此类行为发出警报。

要开始恢复数据、请将警报标记为已准备好恢复、以便存储管理员可以开始恢复过程。

每个警报可能会在状态不同的不同卷上发生多个意外事件、因此请务必查看所有意外事件。

该服务提供有关导致发出警报的原因的信息、称为_证据_、例如:

  • 已创建或更改文件扩展名

  • 已创建文件、并且增加了列出的百分比

  • 发生文件删除并增加了列出的百分比

警报基于以下类型的行为:

  • 潜在攻击:当自主防兰森异常保护检测到新的扩展、且在过去24小时内重复发生20多次时、会发出警报(默认行为)。

  • 警告:根据以下行为出现警告:

    • 以前未发现新扩展的检测,同样的行为重复的时间不足以将其声明为攻击。

    • 观察到的熵高。

    • 文件读/写/重命名/删除操作导致活动超出基线时100%激增。

证据基于ONTAP中的"自主防兰软件保护"提供的信息。有关详细信息,请参见 "自主勒索软件保护概述"

警报可以具有以下状态之一:

  • * 新增 *

  • 非活动

警报意外事件可归类为以下状态之一:

  • 新增:首次识别所有事件时、这些事件都将标记为"新增"。

  • 已取消:如果您怀疑活动不是勒索软件攻击、可以将状态更改为"已取消"。

    注意 在消除攻击后、您不能将其改回原来的位置。如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。

  • 正在撤销:该事件正在撤销过程中。

  • 已解决:已缓解事件。

查看警报

您可以从BlueXP  勒索软件保护信息板或*警报*选项卡访问警报。

步骤

  1. 在BlueXP勒索软件保护信息板中、查看警报窗格。

  2. 在其中一个状态下选择*查看全部*。

  3. 单击某个警报可查看每个卷上每个警报的所有意外事件。

  4. 要查看其他警报,请单击左上角的面包屑中的*Alert*。

  5. 查看警报页面上的警报。

    警报页面

  6. 继续:

检测恶意活动和异常用户行为

查看警报选项卡、您可以确定是否存在恶意活动。显示的详细信息取决于警报的触发方式:

  • 由ONTAP中的自动防兰软件保护功能触发。此操作将根据卷中文件的行为检测恶意活动。

  • 由Data Infrastructure Insight Workload Security触发。这需要获得数据基础架构洞察力工作负载安全性的许可证、并在BlueXP  勒索软件保护中启用该许可证。此功能可检测存储工作负载中的异常用户行为、并允许您阻止该用户进行进一步访问。

    要在BlueXP  勒索软件保护中启用工作负载安全性,请转到*设置*页面并选择*工作负载安全性连接*选项。

    有关Data Infrastucure Insure工作负载安全性的概述、请查看 "关于工作负载安全性"

提示 如果您没有数据基础架构工作负载安全性许可证、并且未在BlueXP  勒索软件保护中启用该许可证、则不会看到异常用户行为信息。

发生恶意活动时、系统会生成警报并自动生成快照。

仅通过自主防病毒软件保护查看恶意活动

当自动勒索软件保护在BlueXP  勒索软件保护中触发警报时、您可以查看以下详细信息:

  • 传入数据的熵

  • 新文件的预期创建速率与检测到的速率之比

  • 与检测到的文件删除率相比、文件的预期删除率

  • 与检测到的重命名率相比、文件的预期重命名率

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 选择警报。

  3. 查看警报中的意外事件。

    警报事件页面

  4. 选择一个事件以查看该事件的详细信息。

    意外事件详细信息页面

在Data Infrastructure Insight Workload Security中查看异常用户行为

当Data Infrastructure Insight Workload Security在BlueXP  勒索软件保护中触发警报时、您可以直接在Data Infrastructure Insight Workload Security中查看可疑用户、阻止用户并调查用户活动。

提示 除了这些功能之外、还提供了"自主防兰软件保护"中提供的详细信息。
开始之前

此选项需要获得Data Infrastructure Insight工作负载安全性的许可证、并且您需要在BlueXP  勒索软件保护中启用它。

要在BlueXP  勒索软件保护中启用工作负载安全性、请执行以下操作:

  1. 转到*Settings*页面。

  2. 选择*工作负载安全性连接*选项。

    有关详细信息,请参见 "配置BlueXP勒索软件保护设置"

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 选择警报。

  3. 查看警报中的意外事件。

    显示工作负载安全性详细信息的警报事件页面

  4. 要阻止可疑用户进一步访问BlueXP  监控的环境,请选择*Block user*链接。

  5. 调查警报或警报中的意外事件:

    1. 要在Data Infrastructure Insight Workload Security中进一步调查警报、请选择*调查工作负载安全性*链接。

    2. 选择一个事件以查看该事件的详细信息。

      显示工作负载安全性详细信息的意外事件详细信息页面

      此时将在一个新选项卡中打开Data Infrastructure Insight Workload Security。

    在工作负载安全性中进行调查

将勒索软件事件标记为已做好恢复准备(在消除意外事件后)

在缓解了攻击并准备好恢复工作负载之后、您应与存储管理团队沟通、指出数据已准备好进行恢复、以便他们可以启动恢复过程。

步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

    警报页面

  2. 在警报页面中、选择警报。

  3. 查看警报中的意外事件。

    警报事件页面

  4. 如果您确定意外事件已准备好恢复、请选择*标记需要恢复*。

  5. 确认操作并选择*Mark restore Need*。

  6. 要启动工作负载恢复、请在消息中选择*恢复*工作负载或选择*恢复*选项卡。

结果

将警报标记为要还原后、警报将从"Alerts"(警报)选项卡移至"Recrecovery "(恢复)选项卡。

消除非潜在攻击事件

审核事件后、您需要确定这些事件是否为潜在攻击。否则、可以将其取消。

您可以消除误报或决定立即恢复数据。如果您决定取消警报、服务将了解此行为并将其与正常操作关联、而不会再次针对此类行为发出警报。

如果您取消工作负载、则为应对潜在的勒索软件攻击而自动创建的所有Snapshot副本都将被永久删除。

注意 如果取消警报、则无法将此状态改回任何其他状态、也无法撤消此更改。
步骤

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

    警报页面

  2. 在警报页面中、选择警报。

    警报事件页面

  3. 选择一个或多个意外事件。或者、选择表左上方的"Incident ID"框以选择所有事件。

  4. 如果您确定事件不是威胁、请将其视为误报:

    • 选择事件。

    • 选择表格上方的*编辑状态*按钮。

      警报编辑状态页面

  5. 从编辑状态框中,选择*"dered"(已取消)*状态。

    此时将显示有关工作负载以及要删除的Snapshot副本的其他信息。

  6. 选择 * 保存 * 。

    一个或多个意外事件的状态将更改为"已取消"。

查看受影响文件的列表

在文件级别还原应用程序工作负载之前、您可以查看受影响文件的列表。您可以访问警报页面以下载受影响文件的列表。然后、使用"RecRecovery (恢复)"页面上传此列表并选择要还原的文件。

步骤

使用警报页面检索受影响文件的列表。

提示 如果卷包含多个警报、您可能需要下载每个警报的受影响文件的CSV列表。

  1. 从BlueXP勒索软件保护菜单中、选择*警报*。

  2. 在警报页面上、按工作负载对结果进行排序、以显示要还原的应用程序工作负载的警报。

  3. 从该工作负载的警报列表中、选择一个警报。

  4. 对于该警报、请选择一个意外事件。

    特定警报的受影响文件列表

  5. 对于此意外事件、请选择下载图标并以CSV格式下载受影响文件的列表。