简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

警报

04/22/2023 提供者

"工作负载安全警报"页面显示了近期攻击和/或警告的时间线、并可用于查看每个问题描述的详细信息。

Cloud Insights 联邦版不提供工作负载安全性。

警报列表

警报

警报列表显示一个图形，其中显示了选定时间范围内引发的潜在攻击和 / 或警告总数，然后列出了该时间范围内发生的攻击和 / 或警告。您可以通过调整图中的开始时间和结束时间滑块来更改时间范围。

对于每个警报，将显示以下内容：

潜在攻击： *
潜在攻击类型（例如勒索软件或破坏）
检测到潜在攻击的日期和时间
警报的 Status ：
- * 新增 * ：这是新警报的默认设置。
- * 进行中 * ：某个或多个团队成员正在调查此警报。
- * 已解决 * ：警报已被团队成员标记为已解决。
- * 已取消 * ：已将警报视为误报或预期行为而解除。
  
  管理员可以更改警报状态并添加注释以协助调查。
其行为触发警报的 User
攻击的 Event （例如，大量文件已加密）
已执行操作 _ （例如，已创建快照）
警告： *
触发警告的 _Abnormal behavior _
检测到行为的日期和时间
警报的 Status （新建，正在进行等）
其行为触发警报的 User
Change 的问题描述（例如，文件访问异常增加）
已采取操作 _

筛选器选项

您可以按以下方式筛选警报：

警报的 Status
Note 中的特定文本
_ 攻击 / 警告 _ 的类型
操作触发警报 / 警告的 User

警报详细信息页面

您可以单击警报列表页面上的警报链接以打开警报的详细信息页面。警报详细信息可能因攻击或警报类型而异。例如，勒索软件攻击详细信息页面可能会显示以下信息：

摘要部分：

攻击类型(勒索软件、破坏)和警报ID (由工作负载安全性分配)
检测到攻击的日期和时间
已执行操作（例如，已创建自动快照。Snapshot 时间显示在摘要部分的正下方）
状态（新增，正在进行等）

攻击结果部分：

受影响卷和文件的数量
随附的检测摘要
显示攻击期间文件活动的图形

执行Snapshot_操作

工作负载安全性可通过在检测到恶意活动时自动创建快照来保护您的数据、并确保安全地备份您的数据。

您可以定义 "自动响应策略" 在检测到勒索软件攻击或其他异常用户活动时创建快照。您也可以从警报页面手动创建快照。

自动创建快照：警报操作屏幕， 1000

手动快照：警报操作屏幕， 1000

警报通知

警报的电子邮件通知会发送到警报的每个操作的警报收件人列表。要配置警报收件人，请单击 * 管理员 > 通知 * 并为每个收件人输入一个电子邮件地址。

保留策略

警报和警告保留 13 个月。超过 13 个月的警报和警告将被删除。如果删除了工作负载安全环境、则与该环境关联的所有数据也将被删除。

故障排除

问题：	请尝试以下操作：
对于工作负载安全性(CS)创建的快照、CS快照是否有清除/归档期限？	否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。
有时， ONTAP 每天每小时创建一次快照。工作负载安全(CS)快照是否会影响它？CS 快照是否会采用每小时快照位置？默认每小时快照是否会停止？	工作负载安全快照不会影响每小时快照。CS 快照不会占用每小时快照空间，应像以前一样继续使用。默认的每小时快照不会停止。
如果在 ONTAP 中达到最大快照数，会发生什么情况？	如果达到最大Snapshot计数、则后续的Snapshot生成将失败、而工作负载安全性将显示一条错误消息、指出Snapshot已满。用户需要定义 Snapshot 策略以删除最早的快照，否则不会创建快照。在 ONTAP 9.3 及更早版本中，一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息，请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"。
工作负载安全性根本无法创建快照。	确保用于创建快照的角色具有链接：已分配 proper 权限。确保为 csrole 创建了用于创建快照的正确访问权限： security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
对于SVM上较早的警报、快照失败、这些警报已从工作负载安全性中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报，将创建快照。	这种情况极少。如果您遇到这种情况，请登录到 ONTAP 并为较早的警报手动创建快照。
在 Alert Details 页面中，在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。	如果通过SVM管理IP将数据收集器添加到工作负载安全性中、则在ONTAP 中SVM的LIF处于_disabled_状态时、可能会发生这种情况。在ONTAP 中启用特定LIF并从工作负载安全性中触发_Take Snapshot Manually _。然后， Snapshot 操作将成功。

问题：

请尝试以下操作：

对于工作负载安全性(CS)创建的快照、CS快照是否有清除/归档期限？

否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。

有时， ONTAP 每天每小时创建一次快照。工作负载安全(CS)快照是否会影响它？CS 快照是否会采用每小时快照位置？默认每小时快照是否会停止？

工作负载安全快照不会影响每小时快照。CS 快照不会占用每小时快照空间，应像以前一样继续使用。默认的每小时快照不会停止。

如果在 ONTAP 中达到最大快照数，会发生什么情况？

如果达到最大Snapshot计数、则后续的Snapshot生成将失败、而工作负载安全性将显示一条错误消息、指出Snapshot已满。用户需要定义 Snapshot 策略以删除最早的快照，否则不会创建快照。在 ONTAP 9.3 及更早版本中，一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息，请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"。

工作负载安全性根本无法创建快照。

确保用于创建快照的角色具有链接：已分配 proper 权限。确保为 csrole 创建了用于创建快照的正确访问权限： security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

对于SVM上较早的警报、快照失败、这些警报已从工作负载安全性中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报，将创建快照。

这种情况极少。如果您遇到这种情况，请登录到 ONTAP 并为较早的警报手动创建快照。

在 Alert Details 页面中，在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。

如果通过SVM管理IP将数据收集器添加到工作负载安全性中、则在ONTAP 中SVM的LIF处于_disabled_状态时、可能会发生这种情况。在ONTAP 中启用特定LIF并从工作负载安全性中触发_Take Snapshot Manually _。然后， Snapshot 操作将成功。

Creating your file...

警报

警报