警报
Cloud Secure 警报页面显示最近攻击和 / 或警告的时间线,并可用于查看每个问题描述的详细信息。
警报
警报列表显示一个图形,其中显示了选定时间范围内引发的潜在攻击和 / 或警告总数,然后列出了该时间范围内发生的攻击和 / 或警告。您可以通过调整图中的开始时间和结束时间滑块来更改时间范围。
对于每个警报,将显示以下内容:
-
潜在攻击: *
-
潜在攻击类型(例如勒索软件或破坏)
-
检测到潜在攻击的日期和时间
-
警报的 Status :
-
* 新增 * :这是新警报的默认设置。
-
* 进行中 * :某个或多个团队成员正在调查此警报。
-
* 已解决 * :警报已被团队成员标记为已解决。
-
* 已取消 * :已将警报视为误报或预期行为而解除。
管理员可以更改警报状态并添加注释以协助调查。
-
-
其行为触发警报的 User
-
攻击的 Event (例如,大量文件已加密)
-
已执行操作 _ (例如,已创建快照)
-
警告: *
-
触发警告的 _Abnormal behavior _
-
检测到行为的日期和时间
-
警报的 Status (新建,正在进行等)
-
其行为触发警报的 User
-
Change 的问题描述(例如,文件访问异常增加)
-
已采取操作 _
筛选器选项
您可以按以下方式筛选警报:
-
警报的 Status
-
Note 中的特定文本
-
_ 攻击 / 警告 _ 的类型
-
操作触发警报 / 警告的 User
警报详细信息页面
您可以单击警报列表页面上的警报链接以打开警报的详细信息页面。警报详细信息可能因攻击或警报类型而异。例如,勒索软件攻击详细信息页面可能会显示以下信息:
摘要部分:
-
攻击类型(勒索软件,破坏)和警报 ID (由 Cloud Secure 分配)
-
检测到攻击的日期和时间
-
已执行操作(例如,已创建自动快照。Snapshot 时间显示在摘要部分的正下方)
-
状态(新增,正在进行等)
攻击结果部分:
-
受影响卷和文件的数量
-
随附的检测摘要
-
显示攻击期间文件活动的图形
相关用户部分:
此部分显示有关参与潜在攻击的用户的详细信息,包括用户的 "Top Activity" 图形。
警报页面(此示例显示了潜在的勒索软件攻击):
详细信息页面(此示例显示了潜在的勒索软件攻击):
执行 Snapshot 操作
Cloud Secure 可在检测到恶意活动时自动创建快照以保护您的数据,并确保安全地备份您的数据。
您可以定义 "自动响应策略" 在检测到勒索软件攻击或其他异常用户活动时创建快照。您也可以从警报页面手动创建快照。
自动创建快照:
手动快照:
警报通知
警报的电子邮件通知会发送到警报的每个操作的警报收件人列表。要配置警报收件人,请单击 * 管理员 > 通知 * 并为每个收件人输入一个电子邮件地址。
保留策略
警报和警告保留 13 个月。超过 13 个月的警报和警告将被删除。如果删除了 Cloud Secure 环境,则与该环境关联的所有数据也将被删除。
故障排除
问题: | 请尝试以下操作: |
---|---|
对于 Cloud Secure ( CS )创建的快照, CS 快照是否有清除 / 归档期限? |
否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。 |
有时, ONTAP 每天每小时创建一次快照。Cloud Secure ( CS )快照是否会影响它?CS 快照是否会采用每小时快照位置?默认每小时快照是否会停止? |
Cloud Secure 快照不会影响每小时快照。CS 快照不会占用每小时快照空间,应像以前一样继续使用。默认的每小时快照不会停止。 |
如果在 ONTAP 中达到最大快照数,会发生什么情况? |
如果达到最大 Snapshot 计数,则后续 Snapshot 生成将失败, Cloud Secure 将显示一条错误消息,指出 Snapshot 已满。用户需要定义 Snapshot 策略以删除最早的快照,否则不会创建快照。在 ONTAP 9.3 及更早版本中,一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中,一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息,请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"。 |
Cloud Secure 根本无法创建快照。 |
确保用于创建快照的角色具有链接:已分配 proper 权限 。确保为 csrole 创建了用于创建快照的正确访问权限: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all |
对于 SVM 上较早的警报,快照失败,这些警报已从 Cloud Secure 中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报,将创建快照。 |
这种情况极少。如果您遇到这种情况,请登录到 ONTAP 并为较早的警报手动创建快照。 |
在 Alert Details 页面中,在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。 |
如果通过 SVM 管理 IP 将数据收集器添加到 Cloud Secure 中,并且 ONTAP 中 SVM 的 LIF 处于 _disabled" 状态,则可能会发生这种情况。在 ONTAP 中启用特定 LIF 并从 Cloud Secure 触发 _Take Snapshot Manually _ 。然后, Snapshot 操作将成功。 |