在NetApp Ransomware Resilience中管理警报
建议更改
PDF
当NetApp Ransomware Resilience检测到可能的攻击时,它会在仪表板和通知区域显示警报。勒索软件恢复能力会立即拍摄快照。查看勒索软件恢复能力*警报*选项卡中的潜在风险。
如果 Ransomware Resilience 检测到可能的攻击,则会在 Console Notification 设置中显示通知,并向配置的地址发送电子邮件。电子邮件包括有关严重程度、受影响工作负载的信息,以及 Ransomware Resilience Alerts 选项卡中警报的链接。
您可以忽略误报或决定立即恢复数据。
|
如果您关闭警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次对其发出警报。 |
要开始恢复数据,请将警报标记为准备好恢复,以便存储管理员可以开始恢复过程。
每个警报可能包含不同数量和状态的多个事件。审查所有事件。
勒索软件恢复能力提供了有关导致发出警报的原因的信息(称为“证据”),例如:
-
文件扩展名已创建或更改
-
创建文件并比较检测率与预期率
-
文件删除,并比较检测率与预期率
-
当加密程度较高时,无需更改文件扩展名
警报分为以下类型之一:
-
潜在攻击:当自主勒索软件防护检测到新的扩展并且在过去 24 小时内重复发生 20 次以上时(默认行为),就会发出警报。
-
警告:基于以下行为会出现警告:
-
之前没有发现过新的扩展,并且相同行为没有重复足够多次以将其声明为攻击。
-
观察到高熵。
-
文件读取、写入、重命名或删除活动比正常水平增加了一倍。
-
|
对于 SAN 环境,警告仅基于高熵值。 |
证据基于ONTAP中的自主勒索软件防护信息。有关详细信息,请参阅 "自主勒索软件防护概述"。
警报可以具有以下状态之一:
-
新的
-
不活跃
警报事件可以具有以下几种状态:
-
新:所有事件在首次发现时均标记为“新”。
-
审核中:您可以在评估事件时将其标记为审核中。
-
已解除:如果您怀疑该活动不是勒索软件攻击,您可以将状态更改为“已解除”。
攻击解除后,无法恢复其状态。如果您取消某个工作负载,则为应对潜在的勒索软件攻击而自动创建的所有快照副本都将被永久删除。 -
正在驳回:该事件正在被驳回。
-
已解决:该事件已修复。
-
自动解决:对于低优先级警报,如果五天内未采取任何措施,则事件将自动解决。
|
|
如果您在“设置”页面的“勒索软件恢复”中配置了安全和事件管理系统 (SIEM),则“勒索软件恢复”会向您的 SIEM 系统发送警报详细信息。 |
查看警报
您可以从勒索软件恢复仪表板或“警报”选项卡访问警报。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
在勒索软件恢复力仪表板中,查看警报窗格。
-
选择其中一个状态下的“查看全部”。
-
选择一个警报来查看每个警报的每个卷上的所有事件。
-
要查看其他警报,请选择左上角面包屑中的“警报”。
-
查看警报页面上的警报。
-
继续执行以下操作之一:
回复警报电子邮件
当 Ransomware Resilience 检测到潜在的攻击时,它会根据在 NetApp Console 设置中配置的订阅通知首选项向订阅用户发送电子邮件通知。电子邮件包含有关警报的信息,包括严重程度和受影响的资源。
|
|
要在 Console 中设置电子邮件通知,请参见 "设置电子邮件通知设置"。 |
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
查看电子邮件。
-
在电子邮件中,选择“查看警报”并登录“勒索软件恢复”。
出现“警报”页面。
-
审查每个卷上每个警报的所有事件。
-
要查看其他警报,请单击左上角面包屑中的“警报”。
-
继续执行以下操作之一:
检测恶意活动和异常用户行为
查看“警报”选项卡,您可以识别是否存在恶意活动或异常用户行为。
必须已配置用户活动代理并启用具有用户行为检测的保护策略,才能查看用户级警报。仅当启用了用户行为检测时,*可疑用户*列才会显示在警报仪表板中。要启用可疑用户检测,请参阅 "可疑的用户活动"。
|
|
如果您使用的是 NetApp Data Infrastructure Insights (DII) Workload Security,建议您使用相同的 Workload Security 代理来实现 Ransomware Resilience。您不需要为 Ransomware Resilience 部署单独的 Workload Security 代理,但是,使用相同的 Workload Security 代理需要在 Ransomware Resilience Console 组织和 DII Storage Workload Security 租户之间建立配对关系。请联系您的客户代表以启用此配对。+ 要在_没有_ DII 的情况下使用可疑用户检测,请确保您已经"启用可疑用户活动检测"并配置了适当的代理。 |
查看恶意活动
当自主勒索软件防护在勒索软件恢复中触发警报时,您可以查看以下详细信息:
-
输入数据的熵
-
预期的新文件创建率与检测到的速率的比较
-
预期文件删除率与检测率的比较
-
文件的预期重命名率与检测到的重命名率的比较
-
受影响的文件和目录
|
|
这些详细信息对于 NAS 工作负载是可见的。对于 SAN 环境,只有熵数据可用。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
选择一个事件来查看该事件的详细信息。
查看异常用户行为
如果您已配置可疑用户检测来查看异常用户行为,则可以查看用户级数据并阻止特定用户。要启用可疑用户设置,请参阅"配置勒索软件抵御能力设置"。
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
要阻止您环境中的可疑用户,请选择该用户名下的“阻止”。
将勒索软件事件标记为准备恢复(事件被消除后)
停止攻击后,通知您的存储管理员数据已准备就绪,以便他们可以启动恢复过程。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
查看警报中的事件。
-
如果您确定事件已准备好恢复,请选择*标记需要恢复*。
-
确认操作并选择*标记需要恢复*。
-
要启动工作负载恢复,请在消息中选择“恢复*工作负载”或选择“*恢复”选项卡。
将警报标记为恢复后,警报将从“警报”选项卡移至“恢复”选项卡。
忽略不属于潜在攻击的事件
审查事件后,您需要确定该事件是否是潜在的攻击。如果它们不构成实际威胁,就可以忽略不计。
您可以忽略误报或决定立即恢复数据。如果您忽略警报,勒索软件恢复功能会学习此行为并将其与正常操作关联起来,并且不会再次针对此类行为发出警报。
如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。
|
|
如果您关闭警报,则无法更改其状态或撤消此更改。 |
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
选择一个或多个事件。或者,选择表格左上角的“事件 ID”框,即可选择所有事件。
-
如果您确定该事件不构成威胁,请将其视为误报:
-
选择事件。
-
选择表格上方的*编辑状态*按钮。
-
-
在“编辑状态”框中,选择“已解雇”状态。
显示了有关工作负载和快照副本被删除的更多信息。
-
选择*保存*。
事件状态更改为“已驳回”。
查看受影响文件的列表
在文件级别恢复应用程序工作负载之前,您可以查看受影响文件的列表。您可以访问警报页面下载受影响文件的列表。然后使用恢复页面上传列表并选择要恢复的文件。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
使用“警报”页面检索受影响文件的列表。
|
|
如果某个卷有多个警报,您可能需要下载每个警报的受影响文件的 CSV 列表。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
在“警报”页面上,按工作负载对结果进行排序,以显示要恢复的应用程序工作负载的警报。
-
从该工作负载的警报列表中选择一个警报。
-
对于该警报,选择一个事件。
-
对于该事件,选择下载图标以 CSV 格式下载受影响文件的列表。