Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在NetApp Ransomware Resilience 中进行勒索软件攻击准备演练

贡献者 amgrissino netapp-ahibbard
PDF

通过模拟对新样本工作负载的攻击来运行勒索软件攻击准备演习。调查模拟攻击并恢复工作负载。使用此功能来测试警报通知、响应和恢复。根据需要经常进行演练。

提示 您的实际工作量数据不会受到影响。

您可以对 NFS 和 CIFS (SMB) 工作负载进行准备情况演练。

配置勒索软件攻击准备演习

在运行模拟之前,请在“设置”页面上设置演练。从顶部菜单中的操作选项访问设置页面。

以下情况需要输入用户名和密码:

  • 如果先前选择的存储虚拟机的用户名或密码发生更改

  • 如果您选择不同的 CIFS (SMB) 存储 VM

  • 如果您输入不同的测试工作负载名称

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

  1. 从NetApp勒索软件恢复菜单中,选择右上角的 运行准备演练 按钮。

    显示“运行准备情况演练”按钮的仪表板页面

  2. 在设置页面的准备情况练习卡中,选择*配置*。

    控制台显示配置准备情况演练页面。

    配置准备情况演练页面

  3. 执行以下操作:

    1. 选择您想要用于准备情况演练的控制台代理。

    2. 选择一个测试系统。

    3. 选择测试存储 SVM。

    4. 如果您选择了 CIFS (SMB) 存储虚拟机,则会出现用户名密码字段。输入存储虚拟机的用户名和密码。

    5. 输入要创建的新测试工作负载的名称。名称中不要包含破折号。

  4. 选择*保存*。

提示 您可以稍后使用“设置”页面编辑准备演练配置。

开始准备演习

配置准备情况演练后,即可开始演练。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

当您开始准备演习时,勒索软件恢复力会跳过学习模式并以主动模式开始演习。工作负载的检测状态为“活动”。

提示 当最近分配了检测策略并且勒索软件恢复扫描工作负载时,工作负载可以具有勒索软件检测*学习模式*状态。
步骤

  1. 执行以下操作之一:

    • 从勒索软件恢复菜单中,选择右上角的“运行准备演练”按钮。

      显示“运行准备情况演练”按钮的仪表板页面

    • 或者,从“设置”页面的“准备情况练习卡”中选择“开始”。

  2. 如果您已经配置了准备情况演习,则选择*开始*后,准备情况演习就会开始。

备注 演习开始后,您无法编辑准备演习配置。您可以重置它以重新开始。

响应战备演习警报

通过响应准备演习警报来测试您的准备情况。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

  1. 从勒索软件恢复菜单中,选择*警报*。

    控制台显示警报页面。在警报 ID 列中,您会在 ID 旁边看到“准备情况演练”。

    显示准备演习警报的警报页面

  2. 选择带有“准备演习”指示的警报。事件警报列表出现在警报详细信息页面上。

    显示准备演习警报的警报详细信息页面

  3. 查看警报事件。

  4. 选择一个警报事件。

    显示准备演习警报的事件页面

以下是需要注意的一些事项:

  • 查看潜在的攻击类型。

    如果类型表明用户涉嫌恶意活动,请检查用户名。您可能希望通过选择“调查工作负载安全”在“Data Infrastructure Insights工作负载安全”中进一步调查用户。

  • 查看文件活动和可疑进程:

    • 查看传入的检测数据与预期数据的比较。

    • 查看检测到的文件的创建率与预期率的比较。

    • 查看检测到的文件重命名率与预期率的比较。

    • 查看删除率与预期删除率的对比。

  • 查看受影响文件的列表。查看可能导致攻击的扩展。

  • 通过查看受影响的文件和目录的数量来确定攻击的影响和广度。

恢复测试工作负载

审查准备情况演习警报后,如有必要,恢复测试工作量。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

  1. 返回警报详细信息页面。

  2. 如果需要恢复测试工作负载,请执行以下操作:

    • 选择*标记需要恢复*。

    • 查看确认信息,然后在确认框中选择*标记需要恢复*。

      • 从勒索软件恢复菜单中,选择*恢复*。

      • 选择要恢复的标有“准备演练”的测试工作负载。

      • 选择*恢复*。

      • 在“还原”页面中,提供还原的信息:

    • 选择源快照副本。

    • 选择目标卷。

  3. 在恢复审核页面中,选择*恢复*。

    控制台在恢复页面上显示准备演练恢复的状态为“进行中”。

    恢复完成后,控制台将工作负载的状态更改为*已恢复*。

  4. 查看恢复的工作负载。

提示 有关恢复过程的详细信息,请参阅"从勒索软件攻击中恢复(事件被消除后)"

准备演练后更改警报状态

审查准备情况演习警报并恢复工作量后,根据需要更改警报状态。

需要控制台角色 组织管理员、文件夹或项目管理员或勒索软件恢复管理员。 "了解所有服务的控制台访问角色"

步骤

  1. 返回警报详细信息页面。

  2. 再次选择警报。

  3. 通过选择*编辑状态*来指示状态,并将状态更改为以下之一:

    • 已解除:如果您怀疑该活动不是勒索软件攻击,请将状态更改为已解除。

      重要说明 解除攻击后,您将无法将其改回。如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。如果您解除警报,则准备演习即视为完成。

    • 已解决:事件已得到缓解。

审查准备演习报告

准备演习完成后,您可能需要查看并保存演习报告。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。 "了解所有服务的BlueXP访问角色"

步骤

  1. 从勒索软件恢复菜单中,选择*报告*。

    显示准备情况演练报告的报告页面

  2. 选择*准备演习*和*下载*以下载准备演习报告。