请求文档变更
在 GitHub 上编辑
提供者指南
可用的 PDF
管理数据源的网络安全建议
提供者
使用BlueXP勒索软件保护信息板、可简要了解所有BlueXP (原Cloud Manager)工作环境和其他数据源的网络弹性。您可以深入查看每个区域,以了解更多详细信息和可能的修复方法。
从BlueXP左侧导航菜单中、选择*监管>勒索软件保护*。
勒索软件保护得分和建议的操作
通过勒索软件保护得分面板、您可以轻松地查看数据对勒索软件攻击的弹性。它汇总了为改善数据安全状况和网络故障恢复能力而建议采取的所有操作。此面板与建议的操作面板配合使用。勒索软件保护得分面板分为两部分:
-
数据的整体保护得分(0-100%受保护)。
得分基于对所有可能建议的加权计算。
-
如果实施建议、可采取多少建议措施将保护级别提高到100%。
这三种类型的建议操作均符合 "NIST网络安全框架":
-
保护
-
检测
-
恢复
-
在此示例页面中、为"保护"类别建议了七项操作。第一项建议与包含的文件数量为58个相关。
此面板支持已添加到BlueXP分类的工作环境和数据源。
请注意、建议适用于每个数据源。因此、如果同一建议与3个数据源相关、则会计入3个建议。
您可以单击 
展开每个建议操作、如下所示。
要查看已确定采取建议操作的详细数据列表、请单击*调查*按钮、您将被重定向到BlueXP分类调查页面、其中包含符合建议操作标准的所有文件的列表。
然后、您可以决定是要对所有这些文件应用建议的操作、还是仅对其中某些文件应用建议的操作。
修复建议的操作后、下一次刷新勒索软件保护得分面板(每5分钟刷新一次)将调整得分的数量。您也可以单击*重新扫描*按钮立即更新此页面。
建议操作列表
这些是当前跟踪的建议操作和建议的解决方案。
| 建议操作 | Description | 可能的解决方案 |
|---|---|---|
减少具有广泛权限的X个敏感项目的权限 |
根据BlueXP分类、在数据源中发现了具有打开权限的敏感文件。这包括所有具有"对组织开放"或"对公有 开放"权限的敏感数据(个人数据和敏感个人数据)。 |
单击每个数据源的*调查*按钮、您将被重定向到BlueXP分类调查页面、您可以在该页面中查看存在风险的所有敏感文件、并采取进一步措施降低风险。其中包括如何减少对这些文件的广泛权限。 |
将X个敏感项目从Y个未受保护的数据源移动到安全位置 |
根据BlueXP分类、在未受保护的数据源上发现了敏感数据;这些数据源是勒索软件保护软件无法保护数据的位置。通常、您的IT组织会制定一些策略来限制某些公司位置的敏感数据。通过此建议操作、您可以确定包含敏感数据的文件、并将其移动到更安全的数据源—允许存储敏感数据*是*。 |
您可以使用BlueXP分类快速将这些文件移动到受更好保护的数据源。您将使用BlueXP分类功能 "将源文件移动到NFS共享"。 |
修补Y数据源中的X个开放CVE |
已在您的内部ONTAP 系统和/或Cloud Volumes ONTAP 系统上找到未修补的CVE (常见漏洞和披露)。只有在BlueXP数字顾问产品(以前称为Active IQ 数字顾问)与存储系统集成后、才会发现这些问题。这些是NetApp存储系统上的已知漏洞、可通过修复来解决CVE。上列出了NetApp CVE "产品安全页面"。 |
单击每个数据源的*Digital Advisor按钮,您将被重定向到BlueXP数字顾问中的_Security漏洞_页面。您可以在此处查看有关打开的CVE的详细信息、以及解决每个CVE的建议操作。通常、解决方法是升级系统上的ONTAP 软件。 "了解有关安全漏洞页面的更多信息"。 |
配置业务关键型数据 |
您尚未在业务关键型数据配置页面中定义业务关键型数据策略。请务必确定您认为是业务关键型数据的内容、以便引起您的注意。 |
单击 |
备份Y数据源中的X个业务关键型文件 |
这可以确定使用BlueXP备份和恢复将最重要类别的数据备份到公共云或私有云的综合程度。只有在定义了业务关键型数据后、此建议才会显示建议。如果您因勒索软件攻击而需要恢复任何数据、这一点非常重要。此建议仅确定内部ONTAP 和Cloud Volumes ONTAP 工作环境。 |
单击 |
为X个数据源启用网络存储配置 |
此建议确定是启用还是禁用了六项有助于保护数据安全的ONTAP 功能。应启用所有项。这些项目包括:
|
有关如何启用这六项ONTAP 功能的详细信息、请参见上一列中的链接。 |
网络弹性映射
网络弹性映射是信息板中的主要区域。通过它,您可以直观地查看所有工作环境和数据源,并查看相关的网络弹性信息。
该映射由三部分组成:
- 左侧面板
-
显示服务在所有数据源中监控的警报列表。它还指示环境中处于活动状态的每个特定警报的数量。拥有大量一种类型的警报可能是尝试首先解决这些警报的一个很好的原因。
- 中央面板
-
以图形格式显示所有数据源,服务和 Active Directory 。运行状况良好的环境会显示绿色指示符,而发出警报的环境会显示红色指示符。
- 右侧面板
-
单击带有红色指示符的数据源后,此面板将显示该数据源的警报并提供解决警报的建议。对警报进行排序,以便首先列出最新的警报。许多建议都会引导您使用另一个BlueXP服务来解决问题描述 问题。
这些警报是当前跟踪的警报和建议的修复方法。
| 警报 | Description | 修复 |
|---|---|---|
检测到高数据加密率 |
数据源中加密文件或损坏文件的百分比异常增加。这意味着过去 7 天加密文件的百分比增加了 20% 以上。例如,如果 50% 的文件已加密,则此数字会在一天之后增加到 60% ,您将看到此警报。 |
单击链接以启动 "BlueXP分类调查页面"。您可以在此处为特定的 _工作 环境 _ 和 _类别 (加密和损坏) _ 选择筛选器,以查看所有加密和损坏文件的列表。 |
发现具有广泛权限的敏感数据 |
在文件中发现敏感数据,而在数据源中,访问权限级别太高。 |
单击链接以启动 "BlueXP分类调查页面"。您可以在此处选择特定 WorkEnvironment , _Sensitivity Level ( Sensitive Personal ) _ 和 _Open Permissions 的筛选器,以查看具有此问题描述 的文件列表。 |
一个或多个卷未使用BlueXP备份和恢复进行备份 |
工作环境中的某些卷未使用进行保护 "BlueXP备份和恢复"。 |
单击链接启动BlueXP备份和恢复、然后您可以确定工作环境中未备份的卷、并确定是否要在这些卷上启用备份。 |
BlueXP分类未扫描数据源中的一个或多个存储库(卷、分段等) |
您的数据源中的某些数据未使用进行扫描 "BlueXP分类" 确定合规性和隐私问题并寻找优化机会。 |
单击此链接可启动BlueXP分类、并为未扫描的项目启用扫描和映射。 |
并非所有卷都在使用机载反勒索软件 |
内部ONTAP 系统中的某些卷没有 "NetApp反勒索软件功能" 已启用。 |
单击此链接,您将重定向到 强化 ONTAP 环境面板 以及使用问题描述 的工作环境。您可以在此处了解如何以最佳方式修复问题描述。 |
未更新ONTAP 版本 |
集群上安装的ONTAP 软件版本不符合中的建议 "《适用于 ONTAP 系统的 NetApp 安全加固指南》"。 |
单击此链接,您将重定向到 强化 ONTAP 环境面板 以及使用问题描述 的工作环境。您可以在此处了解如何以最佳方式修复问题描述。 |
未为所有卷配置快照 |
工作环境中的某些卷未通过创建卷快照来受到保护。 |
单击此链接,您将重定向到 强化 ONTAP 环境面板 以及使用问题描述 的工作环境。您可以在此处了解如何以最佳方式修复问题描述。 |
并非所有SVM都启用文件操作审核 |
工作环境中的某些Storage VM未启用文件系统审核。建议您跟踪用户对文件执行的操作。 |
单击此链接,您将重定向到 强化 ONTAP 环境面板 以及使用问题描述 的工作环境。您可以在此处调查是否需要在SVM上启用NAS审核。 |
在您的系统上检测到勒索软件意外事件
在受管系统上检测到的勒索软件意外事件将显示为_勒索 软件意外事件_面板中的警报。其中包括加密事件、可疑文件扩展名、勒索软件活动和恶意活动。此面板将显示意外事件的类型以及是否已运行任何自动操作来尝试解决问题描述。例如、可以生成卷Snapshot副本并将其发送到云。
目前支持运行自主勒索软件保护(ARP)的内部ONTAP 集群。ARP利用NAS (NFS和SMB)环境中的工作负载分析主动检测并警告可能指示勒索软件攻击的异常活动。 "了解有关ONTAP 自主勒索软件保护的更多信息"。
您可以单击 展开意外事件以查看可疑卷中标识的加密文件的数量、文件扩展名的类型以及攻击发生的时间。
如果要尝试从勒索软件攻击中恢复、可以单击*恢复*按钮。此时将显示BlueXP勒索软件保护恢复信息板、在此可以将卷替换为未受勒索软件影响的旧Snapshot副本。 "请参见如何使用恢复信息板"。
-
您必须具有运行ONTAP 9.11或更高版本的内部ONTAP 集群。
-
您必须至少在集群中的一个节点上安装*防勒索软件*许可证(ONTAP 9.11.1 +)。
-
要保护的每个卷都必须启用ARP。 "了解如何启用自主勒索软件保护"。
-
NetApp自主勒索软件保护(ARP)必须已启用30天的初始学习期(也称为"试运行")、然后才能切换到"主动模式"、以便有足够的时间评估工作负载特征并正确报告可疑的勒索软件攻击。
按加密文件列出的数据
" 已加密文件 " 面板显示经过加密的文件百分比最高的前 4 个数据源。这些通常是受密码保护的项。为此,它会比较过去 7 天的加密速率,以确定哪些数据源的增长率超过 20% 。增加此数量可能意味着勒索软件已攻击您的系统。
单击其中一个数据源对应的行、以在中查看筛选的结果 "BlueXP分类调查页面" 以便您可以进一步调查。
按数据敏感度排名前几位的数据存储库
Top Data Repository by Sensitivity level_ 面板最多可列出包含最敏感项目的前四个数据存储库(工作环境和数据源)。每个工作环境的条形图分为:
-
非敏感数据
-
个人数据
-
敏感的个人数据
您可以将鼠标悬停在每个部分上以查看每个类别中的项目总数。
单击每个区域以查看中的筛选结果 "BlueXP分类调查页面" 以便您可以进一步调查。
域管理组控制
域管理组控制面板显示已添加到域管理员组中的最新用户、以便您可以查看是否应允许这些组中的所有用户。您必须拥有 "集成了全局 Active Directory" 将此面板分类为活动状态。
默认管理管理组包括 " 管理员 " , " 域管理员 " , " 企业管理员 " , " 企业密钥管理员 " 和 " 密钥管理员 " 。
按打开权限类型列出的数据
_Open Permissions_panel 会显示正在扫描的所有文件中存在的每种权限的百分比。该图表是根据BlueXP分类提供的、它显示了以下类型的权限:
-
无开放访问
-
对组织开放
-
打开公有
-
未知访问
您可以将鼠标悬停在每个部分上以查看每个类别中的文件百分比和总数。
单击每个区域以查看中的筛选结果 "BlueXP分类调查页面" 以便您可以进一步调查。
存储系统漏洞
"存储系统漏洞"面板显示BlueXP数字顾问工具在每个ONTAP 集群上发现的高、中和低安全漏洞总数。应立即查看高漏洞、以确保您的系统不会受到攻击。
-
BlueXP Connector必须安装在您的内部环境中、而不是部署在云提供商中。
-
您必须具有内部ONTAP 集群
-
集群在BlueXP数字顾问中进行配置
-
您必须已在BlueXP中注册现有NSS帐户、才能查看集群和BlueXP数字顾问UI。
请注意,您可以通过从BlueXP菜单中选择*运行状况>数字顾问*来直接查看BlueXP数字顾问。
单击要查看其中一个集群的漏洞类型(高、中、低)、您将重定向到BlueXP数字顾问中的"安全漏洞"页面。(有关此页面的详细信息、请参见 "BlueXP数字顾问文档") 您可以查看这些漏洞、然后按照建议的操作解决此问题描述。通常、解决方法是使用单点版本或完整版本升级ONTAP 软件、以解决此漏洞。
ONTAP 系统强化状态
增强 ONTAP 环境 _ 面板可提供 ONTAP 系统中某些设置的状态,这些设置可根据跟踪部署的安全性 "《适用于 ONTAP 系统的 NetApp 安全加固指南》" 和 "ONTAP 防勒索软件功能" 主动检测异常活动并发出警告。
您可以查看这些建议,然后确定希望如何解决潜在问题。您可以按照以下步骤更改集群上的设置,将更改推迟到其他时间或忽略此建议。
此面板目前支持适用于NetApp ONTAP 系统的内部ONTAP 、Cloud Volumes ONTAP 和Amazon FSX。
正在跟踪的设置包括:
| 强化目标 | Description | 修复 |
|---|---|---|
ONTAP 反勒索软件 |
已激活机载反勒索软件的卷的百分比。仅适用于内部 ONTAP 系统。绿色状态图标表示已启用超过 85% 的卷。黄色表示已启用 40-85% 。红色表示已启用 < 40% 。 |
"了解如何在卷上启用反勒索软件" 使用 System Manager 。 |
NAS审核 |
启用了文件系统审核的Storage VM的数量。绿色状态图标表示超过85%的SVM已启用NAS文件系统审核。黄色表示已启用 40-85% 。红色表示已启用 < 40% 。 |
"请参见如何在SVM上启用NAS审核" 使用命令行界面。 |
ONTAP 版本 |
集群上安装的 ONTAP 软件版本。绿色状态图标表示此版本为最新版本。黄色图标表示集群在内部系统中落后1或2个修补版本或1个次要版本、在Cloud Volumes ONTAP 中落后1个主要版本。红色图标表示集群后面有3个修补版本、2个次要版本、1个主要版本(内部系统)、后面有2个主要版本(Cloud Volumes ONTAP)。 |
|
快照 |
是否已在数据卷上激活快照功能,以及具有 Snapshot 副本的卷百分比。绿色状态图标表示超过 85% 的卷已启用快照。黄色表示已启用 40-85% 。红色表示已启用 < 40% 。 |
"请参见如何在内部集群上启用卷快照"或 "在 Cloud Volumes ONTAP 系统上"或 "在适用于ONTAP 的FSX系统上"。 |
关键业务数据的权限状态
业务关键型数据权限分析面板可显示业务关键型数据的权限状态。这样,您就可以快速评估业务关键型数据的保护情况。
此面板根据您在"业务关键型数据配置"页面中选择的策略显示数据。它显示文件总数最多的两个业务关键型策略中的数据。单击此链接可查看或定义其他策略。 "了解有关配置和选择业务关键型数据策略的更多信息"。
此图显示了对符合策略标准的所有数据的权限分析。其中列出了以下项的数量:
-
公开许可- BlueXP分类认为对公开的项目
-
对组织开放权限- BlueXP分类认为对组织开放的项目
-
无打开权限- BlueXP分类视为无打开权限的项目
-
未知权限- BlueXP分类将其视为未知权限的项目
将鼠标悬停在图表中的每个条上可查看每个类别中的结果数。单击栏和 "BlueXP分类调查页面" 显示、以便您可以进一步调查哪些项目具有打开权限、以及是否应对文件权限进行任何调整。
关键业务数据的备份状态
"_Backup Status"面板显示了如何使用BlueXP备份和恢复来保护不同类别的数据。这可确定在因勒索软件攻击而需要恢复时、最重要的数据类别的备份程度如何全面。此数据直观地显示了工作环境中备份的特定类别项目的数量。
此面板中只会显示已使用BlueXP备份和恢复_和_并使用BlueXP分类进行扫描的内部ONTAP 和Cloud Volumes ONTAP 工作环境。
最初、此面板会根据选定的默认类别显示数据。但是、您可以选择要跟踪的数据类别;例如、对文件、合同等进行编码。请参见的完整列表 "类别" 适用于您的工作环境的BlueXP分类。然后最多选择4个类别。
填充数据后、将鼠标悬停在图表中的每个方形上、可查看从工作环境中同一类别的所有文件中备份的文件数。绿色方形表示已备份85%或以上的文件。黄色方形表示备份的文件介于40%到85%之间。红色方形表示备份的文件数不超过40%。
您可以单击行尾的*备份*按钮转到BlueXP备份和恢复界面、以便在每个工作环境中的更多卷上启用备份。
卷中使用SnapLock 进行保护的数据
您可以在ONTAP 卷上使用NetApp SnapLock 技术以未经修改的形式保留文件、以满足监管要求。您可以将文件和Snapshot副本提交到"一次写入、多次读取"(WORM)存储、并为此受WORM保护的数据设置保留期限。 "了解有关SnapLock 的更多信息"。
"关键数据不可移动性"面板显示了工作环境中使用ONTAP SnapLock 技术在WORM存储上受到保护、不会被修改和删除的项数。这样、您就可以查看有多少数据具有不可变的副本、以便更好地了解针对勒索软件的备份和恢复计划。
-
BlueXP Connector必须安装在您的内部环境中、而不是部署在云提供商中。
-
您必须具有内部ONTAP 集群
-
集群中至少一个节点上必须安装* SnapLock *许可证
此面板根据您在"业务关键型数据配置"页面中选择的策略显示数据。单击此链接可查看或定义其他策略。 "了解有关配置和选择业务关键型数据策略的更多信息"。
此面板将显示与选定策略匹配的数据的以下信息:
-
所有扫描工作环境中配置为使用SnapLock 的业务关键型文件的数量。
-
所有已扫描工作环境中的业务关键型文件数量、但为SnapLock 配置的文件除外。请注意、其中某些文件可以使用SnapLock 以外的机制进行保护。
包含以下筛选器的BlueXP分类策略在选定策略的下拉列表中不可用、因为它们排除了重要的搜索区域:
-
Working environment name
-
Working environment type
-
存储库
-
文件路径
因此、在_critical data immuticalability _面板中创建策略以查看关键业务数据时、请务必牢记这一点。