在NetApp Ransomware Resilience中管理警报
建议更改
PDF
当 NetApp Ransomware Resilience 检测到可能的攻击时,它会在仪表板和"通知"菜单中显示警报。Ransomware Resilience 立即拍摄快照。收到警报时,请查看 Ransomware Resilience *警报*选项卡中的潜在风险,以评估对数据的影响并防止潜在的勒索软件攻击。
如果 Ransomware Resilience 检测到可能的攻击,则会在 Console Notification 设置中显示通知,并向配置的地址发送电子邮件。电子邮件包括有关严重程度、受影响工作负载的信息,以及 Ransomware Resilience Alerts 选项卡中警报的链接。
您可以忽略误报或决定立即恢复数据。
|
如果您关闭警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次对其发出警报。 |
要开始恢复数据,请将警报标记为准备好恢复,以便存储管理员可以开始恢复过程。
每个警报可能包含不同数量和状态的多个事件。审查所有事件。
如何生成警报
Ransomware Resilience 依赖于有关数据熵模式、文件扩展名类型和加密的证据来生成警报。警报基于以下事件:
-
数据泄露
-
数据销毁
-
文件扩展名已创建或更改
-
创建文件并比较检测率与预期率
-
文件删除,并比较检测率与预期率
-
可疑的用户行为
-
当加密程度较高时,无需更改文件扩展名
|
对于数据泄露、数据销毁和可疑用户行为警报,必须配置 "用户活动检测"。 |
警报类型和状态
提醒具有两种状态之一:新建 或 未激活。
警报分为以下几种类型:
-
潜在攻击:警报在以下情况下被归类为潜在攻击:
-
Autonomous Ransomware Protection 检测到新的扩展,并且在过去 24 小时内重复发生超过 20 次(默认行为)。
-
检测到数据泄露。
-
检测到数据销毁。
-
-
警告:基于以下行为会出现警告:
-
之前没有发现过新的扩展,并且相同行为没有重复足够多次以将其声明为攻击。
-
观察到高熵。
-
文件读取、写入、重命名或删除活动比正常水平增加了一倍。
-
|
|
对于 SAN 环境,警告仅基于高熵值。 |
证据基于ONTAP中的自主勒索软件防护信息。有关详细信息,请参阅 "自主勒索软件防护概述"。
警报状态
警报事件可以具有以下几种状态:
状态 |
描述 |
新的 |
所有事件在首次识别时都标记为"新"。 |
审核中 |
您可以在评估警报事件时将其手动标记为"审核中"。 |
已关闭 |
如果您怀疑该活动不是勒索软件攻击,则可以将状态更改为"已解除"。+ 注意:解除攻击后,无法恢复其状态。如果解除工作负载,则为响应潜在的勒索软件攻击而自动创建的所有快照副本都将被永久删除。 |
已解决 |
此事件已修复。 |
自动解决 |
对于低优先级警报,如果在五天内未采取任何行动,则会自动解决事件。 |
查看警报
您可以从 Ransomware Resilience 仪表板或*警报*选项卡访问警报。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
在 Ransomware Resilience 控制面板中,查看 Alerts 窗格。
-
选择其中一个状态下的“查看全部”。
-
选择一个警报来查看每个警报的每个卷上的所有事件。
-
要查看其他警报,请选择左上角面包屑中的“警报”。
-
查看警报页面上的警报。
-
继续执行以下操作之一:
回复警报电子邮件
当 Ransomware Resilience 检测到潜在的攻击时,它会根据在 NetApp Console 设置中配置的订阅通知首选项向订阅用户发送电子邮件通知。电子邮件包含有关警报的信息,包括严重程度和受影响的资源。
|
|
要在 Console 中设置电子邮件通知,请参见 "设置电子邮件通知设置"。 |
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
查看电子邮件。
-
在电子邮件中,选择 View alert 并登录到 Ransomware Resilience。
出现“警报”页面。
-
审查每个卷上每个警报的所有事件。
-
要查看其他警报,请选择左上角面包屑中的“警报”。
-
继续执行以下操作之一:
检测恶意活动和异常用户行为
查看“警报”选项卡,您可以识别是否存在恶意活动或异常用户行为。
必须已配置用户活动代理并启用具有用户行为检测的保护策略,才能查看用户级警报。仅当启用了用户行为检测时,*可疑用户*列才会显示在警报仪表板中。要启用可疑用户检测,请参阅 "可疑的用户活动"。
查看恶意活动
当 Autonomous Ransomware Protection 在 Ransomware Resilience 中触发警报时,您可以查看以下详细信息:
-
触发警报时
-
当访问权限被更改或拒绝时
-
输入数据的熵
-
预期的新文件创建率与检测到的速率的比较
-
预期文件删除率与检测率的比较
-
文件的预期重命名率与检测到的重命名率的比较
-
受影响的工作负载、卷、文件和目录
|
|
这些详细信息对于 NAS 工作负载是可见的。对于 SAN 环境,只有熵数据可用。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
选择一个事件来查看该事件的详细信息。
查看异常用户行为
如果您已将可疑用户检测配置为查看异常用户行为,则可以查看用户级数据并阻止特定用户。要启用可疑用户设置,请参阅"为用户活动检测配置代理和收集器"。
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
要阻止环境中的可疑用户,请选择用户名称旁边的 Block。
-
要禁用给定用户的警报,该用户是您知道是错误的警报的主题,请选择三个点 (
…),然后将此用户排除在监控之外。查看对话框,然后选择排除进行确认。
-
|
|
要为用户重新启用警报,请返回警报。选择三个点,然后选择将此用户包含在监控中。您也可以"排除用户"监控。 |
将勒索软件事件标记为准备恢复(事件被消除后)
停止攻击后,通知您的存储管理员数据已准备就绪,以便他们可以启动恢复过程。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
查看警报中的事件。
-
如果您确定事件已准备好恢复,请选择*标记需要恢复*。
-
确认操作并选择*标记需要恢复*。
-
要启动工作负载恢复,请在消息中选择“恢复*工作负载”或选择“*恢复”选项卡。
将警报标记为恢复后,警报将从“警报”选项卡移至“恢复”选项卡。
忽略不属于潜在攻击的事件
审查事件后,您需要确定该事件是否是潜在的攻击。如果它们不构成实际威胁,就可以忽略不计。
您可以忽略误报或决定立即恢复数据。如果您忽略警报,勒索软件恢复功能会学习此行为并将其与正常操作关联起来,并且不会再次针对此类行为发出警报。
如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。
|
如果您关闭警报,则无法更改其状态或撤消此更改。 |
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
选择一个或多个事件。或者,选择表格左上角的“事件 ID”框,即可选择所有事件。
-
如果您确定该事件不构成威胁,请将其视为误报:
-
选择事件。
-
选择表格上方的*编辑状态*按钮。
-
-
在“编辑状态”框中,选择“已解雇”状态。
显示了有关工作负载和快照副本被删除的更多信息。
-
选择*保存*。
事件状态更改为“已驳回”。
查看受影响文件的列表
在文件级别恢复应用程序工作负载之前,您可以查看受影响文件的列表。您可以访问警报页面下载受影响文件的列表。然后使用恢复页面上传列表并选择要恢复的文件。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
使用“警报”页面检索受影响文件的列表。
|
|
如果某个卷有多个警报,您可能需要下载每个警报的受影响文件的 CSV 列表。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
在“警报”页面上,按工作负载对结果进行排序,以显示要恢复的应用程序工作负载的警报。
-
从该工作负载的警报列表中选择一个警报。
-
对于该警报,选择一个事件。
-
对于该事件,选择下载图标以 CSV 格式下载受影响文件的列表。