Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在NetApp Ransomware Resilience中进行勒索软件攻击准备演练

贡献者 netapp-ahibbard amgrissino

在 NetApp Ransomware Resilience 中运行勒索软件攻击就绪演练,以测试您应对真实勒索软件攻击的准备情况。借助就绪演练,Ransomware Resilience 可模拟对新示例工作负载的攻击,使您能够调查模拟攻击并在不影响实际生产数据的情况下执行恢复。就绪演练可帮助您熟悉警报通知,并为响应和恢复做好准备。您可以根据需要随时运行演练。

提示 您的实际工作量数据不会受到影响。

您可以对 NFS 和 CIFS (SMB) 工作负载进行准备情况演练。

配置勒索软件攻击准备演习

需要控制台角色 要执行此任务,需要 "超级管理员" 或 Ransomware Resilience 管理员角色。"了解NetApp Console的勒索软件恢复角色"

步骤
  1. 在勒索软件恢复功能中,选择设置

  2. 在 Readiness drill tile 中,选择 Configure

  3. 选择就绪演练类型

    • 自定义恢复:此演练将创建一个警报,然后使您能够执行 "自定义 a restore",您可以在其中配置恢复点。

    • Clean restore:此演练将创建警报,然后将带您进入"干净恢复"恢复过程,该过程将引导您找到优化的恢复点。

    • 数据泄露恢复:此演练为用户发起的数据泄露事件创建警报。必须先配置 "用户活动代理",然后才能启用此演练类型。

  4. 选择将在其中创建就绪性演练测试的环境。

    1. 选择 Console agentSystem

    2. 选择系统后,从预填充列表中选择 Storage VM

    3. 提供New test workload的名称。测试工作负载将以"rps_test_"为前缀。

    4. 如果准备演练是为了数据泄露恢复,请为演练环境选择 User activity agent

      就绪演练配置选项的屏幕截图。

  5. 选择*保存*。

提示 您可以稍后使用“设置”页面编辑准备演练配置。

开始准备演习

配置准备情况演练后,即可开始演练。

需要控制台角色 要执行此任务,需要 "超级管理员" 或 Ransomware Resilience 管理员角色。"了解NetApp Console的勒索软件恢复角色"

步骤
  1. 要启动演练:

    • 从 Ransomware Resilience 控制面板中,选择右上角的 Run readiness drill 按钮。

      显示“运行准备情况演练”按钮的仪表板页面

    • 或前往设置。在 Readiness drill 磁贴中,选择 Start

备注 无法在演练运行时编辑就绪演练配置。要修改就绪演练,请选择 Reset,然后编辑演练。

响应战备演习警报

通过响应准备演习警报来测试您的准备情况。

需要控制台角色 要执行此任务,需要 "超级管理员" 或 Ransomware Resilience 管理员角色。"了解NetApp Console的勒索软件恢复角色"

步骤
  1. 从勒索软件恢复菜单中,选择*警报*。

    控制台显示警报页面。在警报 ID 列中,您会在 ID 旁边看到“准备情况演练”。

    显示准备演习警报的警报页面

  2. 选择带有"Readiness drill"指示的警报。

    显示准备演习警报的警报详细信息页面

  3. 查看警报事件。

  4. 选择一个警报事件。

    显示准备演习警报的事件页面

在审核此事件时,请考虑:

  • 潜在的攻击严重性。

    如果严重性表明用户涉嫌恶意活动,请检查用户名。您还可以"阻止该用户。"

  • 文件活动与预期速率。这包括读/写速率、文件创建、文件重命名和删除。

  • 受影响的文件列表。查看可能导致攻击的扩展名。

  • 通过查看受影响的文件和目录的数量来确定攻击的影响和广度。

恢复测试工作负载

审查准备情况演习警报后,如有必要,恢复测试工作量。

需要控制台角色 要执行此任务,需要 "超级管理员" 或 Ransomware Resilience 管理员角色。"了解NetApp Console的勒索软件恢复角色"

步骤
  1. 返回警报详细信息页面。

  2. 如果应还原测试工作负载,请选择标记需要还原,然后在确认对话框中再次选择该按钮。

  3. 从勒索软件恢复菜单中,选择*恢复*。

  4. 选择要还原的带有"Readiness drill"标记的测试工作负载。

  5. 选择*恢复*。

  6. 按照已配置的恢复样式的说明进行操作:

准备演练后更改警报状态

审查准备情况演习警报并恢复工作量后,根据需要更改警报状态。

必需的控制台角色 组织管理员、文件夹或项目管理员,或 Ransomware Resilience 管理员 "了解所有服务的控制台访问角色"

步骤
  1. 返回警报详细信息页面。

  2. 再次选择警报。

  3. 通过选择状态旁边的*编辑*来指示状态。将状态更改为以下选项之一:

    • 已解除:如果您怀疑该活动不是勒索软件攻击,请将状态更改为已解除。

      重要说明 击退攻击后,无法将其更改回去。如果关闭工作负载,则为响应潜在的勒索软件攻击而自动创建的所有快照副本都将被永久删除。如果忽略警报,则认为准备演习已完成。
    • 已解决:事件已得到缓解。

审查准备演习报告

演练完成后,您可以生成并保存演练报告。演练报告是一个 JSON 文件,用于捕获检测策略、警报类型和时间戳、攻击详细信息以及恢复状态等信息。

必需的控制台角色 要执行此任务,您需要 "超级管理员"、Ransomware Resilience 管理员或 Ransomware Resilience 查看器角色。"了解NetApp Console的勒索软件恢复角色"

步骤
  1. 从勒索软件恢复菜单中,选择*报告*。

    显示准备情况演练报告的报告页面

  2. 选择*准备演习*和*下载*以下载准备演习报告。