使用NetApp Ransomware Resilience处理检测到的勒索软件警报
建议更改
PDF
当NetApp Ransomware Resilience检测到可能的攻击时,它会在仪表板和通知区域显示警报。勒索软件恢复能力会立即拍摄快照。查看勒索软件恢复能力*警报*选项卡中的潜在风险。
如果勒索软件恢复功能检测到可能的攻击,控制台通知设置中会出现通知,并且电子邮件会发送到配置的地址。电子邮件包含有关严重性、受影响的工作负载的信息,以及勒索软件恢复力*警报*选项卡中警报的链接。
您可以忽略误报或决定立即恢复数据。
|
如果您关闭警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次对其发出警报。 |
要开始恢复数据,请将警报标记为准备好恢复,以便存储管理员可以开始恢复过程。
每个警报可能包含不同数量和状态的多个事件。审查所有事件。
勒索软件恢复能力提供了有关导致发出警报的原因的信息(称为“证据”),例如:
-
文件扩展名已创建或更改
-
创建文件并比较检测率与预期率
-
文件删除,并比较检测率与预期率
-
当加密程度较高时,无需更改文件扩展名
警报分为以下类型之一:
-
潜在攻击:当自主勒索软件防护检测到新的扩展并且在过去 24 小时内重复发生 20 次以上时(默认行为),就会发出警报。
-
警告:基于以下行为会出现警告:
-
之前没有发现过新的扩展,并且相同行为没有重复足够多次以将其声明为攻击。
-
观察到高熵。
-
文件读取、写入、重命名或删除活动比正常水平增加了一倍。
-
|
对于 SAN 环境,警告仅基于高熵。 |
证据基于ONTAP中的自主勒索软件防护信息。有关详细信息,请参阅 "自主勒索软件防护概述"。
警报可以具有以下状态之一:
-
新的
-
不活跃
警报事件可以具有以下状态之一:
-
新:所有事件在首次发现时均标记为“新”。
-
已解除:如果您怀疑该活动不是勒索软件攻击,您可以将状态更改为“已解除”。
在您驳回攻击后,您无法将其改回。如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。 -
正在驳回:该事件正在被驳回。
-
已解决:该事件已修复。
-
自动解决:对于低优先级警报,如果五天内未采取任何措施,则事件将自动解决。
|
|
如果您在“设置”页面的“勒索软件恢复”中配置了安全和事件管理系统 (SIEM),则“勒索软件恢复”会向您的 SIEM 系统发送警报详细信息。 |
查看警报
您可以从勒索软件恢复仪表板或“警报”选项卡访问警报。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
在勒索软件恢复力仪表板中,查看警报窗格。
-
选择其中一个状态下的“查看全部”。
-
选择一个警报来查看每个警报的每个卷上的所有事件。
-
要查看其他警报,请选择左上角面包屑中的“警报”。
-
查看警报页面上的警报。
-
继续执行以下操作之一:
回复警报电子邮件
当勒索软件弹性检测到潜在攻击时,它会根据订阅用户的订阅通知偏好向其发送电子邮件通知。电子邮件包含有关警报的信息,包括严重程度和受影响的资源。
您可以接收勒索软件恢复警报的电子邮件通知。此功能可帮助您随时了解警报、警报的严重程度以及受影响的资源。
|
|
要订阅电子邮件通知,请参阅 "设置电子邮件通知设置"。 |
-
在勒索软件恢复中,转到*设置*页面。
-
在“通知”下,找到电子邮件通知设置。
-
输入您想要接收警报的电子邮件地址。
-
保存更改。
当生成新警报时,您将收到电子邮件通知。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。"了解NetApp Console的勒索软件恢复角色" 。
-
查看电子邮件。
-
在电子邮件中,选择“查看警报”并登录“勒索软件恢复”。
出现“警报”页面。
-
审查每个卷上每个警报的所有事件。
-
要查看其他警报,请单击左上角面包屑中的“警报”。
-
继续执行以下操作之一:
检测恶意活动和异常用户行为
查看“警报”选项卡,您可以识别是否存在恶意活动或异常用户行为。
您必须配置用户活动代理并启用具有用户行为检测的保护策略才能查看用户级警报。启用用户行为检测后,*可疑用户*列会出现在警报仪表板中;未启用用户行为检测时则不会显示。要启用可疑用户检测,请参阅"可疑的用户活动"。
|
|
如果您正在使用NetAppData Infrastructure Insights(DII) 工作负载安全,建议您使用相同的工作负载安全代理来实现勒索软件恢复。您不需要为勒索软件恢复能力部署单独的工作负载安全代理,但是,使用相同的工作负载安全代理需要勒索软件恢复能力控制台组织和 DII 存储工作负载安全租户之间建立配对关系。请联系您的客户代表以启用此配对。 |
查看恶意活动
当自主勒索软件防护在勒索软件恢复中触发警报时,您可以查看以下详细信息:
-
输入数据的熵
-
预期的新文件创建率与检测到的速率的比较
-
预期文件删除率与检测率的比较
-
文件的预期重命名率与检测到的重命名率的比较
-
受影响的文件和目录
|
|
这些详细信息对于 NAS 工作负载是可见的。对于 SAN 环境,只有熵数据可用。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
选择一个事件来查看该事件的详细信息。
查看异常用户行为
如果您已配置可疑用户检测来查看异常用户行为,则可以查看用户级数据并阻止特定用户。要启用可疑用户设置,请参阅"配置勒索软件抵御能力设置"。
-
从勒索软件恢复菜单中,选择*警报*。
-
选择一个警报。
-
查看警报中的事件。
-
要阻止您环境中的可疑用户,请选择该用户名下的“阻止”。
将勒索软件事件标记为准备恢复(事件被消除后)
阻止攻击后,通知存储管理员数据已准备就绪,以便他们可以开始恢复。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
查看警报中的事件。
-
如果您确定事件已准备好恢复,请选择*标记需要恢复*。
-
确认操作并选择*标记需要恢复*。
-
要启动工作负载恢复,请在消息中选择“恢复*工作负载”或选择“*恢复”选项卡。
将警报标记为恢复后,警报将从“警报”选项卡移至“恢复”选项卡。
忽略不属于潜在攻击的事件
审查事件后,您需要确定该事件是否是潜在的攻击。如果它们不是真正的威胁,则可以将其驳回。
您可以忽略误报或决定立即恢复数据。如果您忽略警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次针对此类行为发出警报。
如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。
|
|
如果您关闭警报,则无法更改其状态或撤消此更改。 |
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
-
从勒索软件恢复菜单中,选择*警报*。
-
在警报页面中,选择警报。
-
选择一个或多个事件。或者,通过选择表格左上角的事件 ID 框来选择所有事件。
-
如果您确定该事件不构成威胁,请将其视为误报:
-
选择事件。
-
选择表格上方的*编辑状态*按钮。
-
-
从编辑状态框中,选择“已解除”状态。
将显示有关工作负载和已删除快照副本的其他信息。
-
选择*保存*。
一个或多个事件的状态变为“已解除”。
查看受影响文件的列表
在文件级别恢复应用程序工作负载之前,您可以查看受影响文件的列表。您可以访问警报页面下载受影响文件的列表。然后使用恢复页面上传列表并选择要恢复的文件。
所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解NetApp Console的勒索软件恢复角色" 。
使用“警报”页面检索受影响文件的列表。
|
|
如果某个卷有多个警报,您可能需要下载每个警报的受影响文件的 CSV 列表。 |
-
从勒索软件恢复菜单中,选择*警报*。
-
在“警报”页面上,按工作负载对结果进行排序,以显示要恢复的应用程序工作负载的警报。
-
从该工作负载的警报列表中选择一个警报。
-
对于该警报,选择一个事件。
-
对于该事件,选择下载图标以 CSV 格式下载受影响文件的列表。