简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

警报

提供者 netapp-alavoie 下载此页面的 PDF

Cloud Secure 警报页面显示最近攻击和 / 或警告的时间线,并可用于查看每个问题描述的详细信息。

警报列表

警报

警报列表显示一个图形,其中显示了选定时间范围内引发的潜在攻击和 / 或警告总数,然后列出了该时间范围内发生的攻击和 / 或警告。您可以通过调整图中的开始时间和结束时间滑块来更改时间范围。

对于每个警报,将显示以下内容:

  • 潜在攻击: *

  • 潜在攻击类型(例如勒索软件)

  • 检测到潜在攻击的日期和时间

  • 警报的 Status

    • 新增(这是新警报的默认设置)

    • 正在进行中

    • 已解决

    • 已取消

      管理员可以更改警报状态并添加注释以协助调查。

    更改警报状态

  • 其行为触发警报的 User

  • 攻击的 Event (例如,大量文件已加密)

  • 已执行操作 _ (例如,已创建快照)

  • 警告: *

  • 触发警告的 _Abnormal behavior _

  • 检测到行为的日期和时间

  • 警报的 Status

    • 新增(这是新警报的默认设置)

    • 正在进行中

    • 已解决

    • 已取消

      管理员可以更改警报状态并添加注释以协助调查。

  • 其行为触发警报的 User

  • Change 的问题描述(例如,文件访问异常增加)

  • 已采取操作 _

筛选器选项

您可以按以下方式筛选警报:

  • 警报的 Status

  • Note 中的特定文本

  • _ 攻击 / 警告 _ 的类型

  • 操作触发警报 / 警告的 User

警报详细信息页面

您可以单击警报列表页面上的警报链接以打开警报的详细信息页面。警报详细信息可能因攻击或警报类型而异。例如,勒索软件攻击详细信息页面可能会显示以下信息:

摘要部分:

  • 攻击类型(在此示例中为勒索软件)和警报 ID (由 Cloud Secure 分配)

  • 检测到攻击的日期和时间

  • 已执行操作(例如,已创建自动快照。Snapshot 时间显示在摘要部分的正下方)

  • 状态(新增,正在进行等)

攻击结果部分:

  • 受影响卷和文件的数量

  • 随附的检测摘要

  • 显示攻击期间文件活动的图形

相关用户部分:

此部分显示有关参与潜在攻击的用户的详细信息,包括用户的 "Top Activity" 图形。

显示潜在勒索软件攻击的警报页面:勒索软件警报示例

潜在勒索软件攻击的详细信息页面:勒索软件详细信息页面示例

执行 Snapshot 操作

Cloud Secure 可在检测到恶意活动时自动创建快照以保护您的数据,并确保安全地备份您的数据。

您可以定义 "自动响应策略" 在检测到勒索软件攻击或其他异常用户活动时创建快照。您也可以从警报页面手动创建快照。

自动创建快照:警报操作屏幕, 1000

手动快照:警报操作屏幕, 1000

警报通知

警报的电子邮件通知会发送到警报的每个操作的警报收件人列表。要配置警报收件人,请单击 * 管理员 > 通知 * 并为每个收件人输入一个电子邮件地址。

保留策略

警报和警告保留 13 个月。超过 13 个月的警报和警告将被删除。如果删除了 Cloud Secure 环境,则与该环境关联的所有数据也将被删除。

故障排除

问题: 请尝试以下操作:

对于 Cloud Secure ( CS )创建的快照, CS 快照是否有清除 / 归档期限?

否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。

有时, ONTAP 每天每小时创建一次快照。Cloud Secure ( CS )快照是否会影响它?CS 快照是否会采用每小时快照位置?默认每小时快照是否会停止?

Cloud Secure 快照不会影响每小时快照。CS 快照不会占用每小时快照空间,应像以前一样继续使用。默认的每小时快照不会停止。

如果在 ONTAP 中达到最大快照数,会发生什么情况?

如果达到最大 Snapshot 计数,则后续 Snapshot 生成将失败, Cloud Secure 将显示一条错误消息,指出 Snapshot 已满。用户需要定义 Snapshot 策略以删除最早的快照,否则不会创建快照。在 ONTAP 9.3 及更早版本中,一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中,一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息,请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"

Cloud Secure 根本无法创建快照。

确保用于创建快照的角色具有链接:已分配 proper 权限 。确保为 csrole 创建了用于创建快照的正确访问权限: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

对于 SVM 上较早的警报,快照失败,这些警报已从 Cloud Secure 中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报,将创建快照。

这种情况极少。如果您遇到这种情况,请登录到 ONTAP 并为较早的警报手动创建快照。

Alert Details 页面中,在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。

如果通过 SVM 管理 IP 将数据收集器添加到 Cloud Secure 中,并且 ONTAP 中 SVM 的 LIF 处于 _disabled" 状态,则可能会发生这种情况。在 ONTAP 中启用特定 LIF 并从 Cloud Secure 触发 _Take Snapshot Manually _ 。然后, Snapshot 操作将成功。