Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp勒索软件恢复功能处理检测到的勒索软件警报

贡献者 amgrissino netapp-ahibbard
PDF

当NetApp Ransomware Resilience 检测到可能的攻击时,它会在仪表板和通知区域显示警报。勒索软件恢复能力会立即拍摄快照。查看勒索软件恢复能力*警报*选项卡中的潜在风险。

如果勒索软件恢复功能检测到可能的攻击,控制台通知设置中会出现通知,并且电子邮件会发送到配置的地址。电子邮件包含有关严重性、受影响的工作负载的信息,以及勒索软件恢复力*警报*选项卡中警报的链接。

您可以忽略误报或决定立即恢复数据。

提示 如果您关闭警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次对其发出警报。

要开始恢复数据,请将警报标记为准备好恢复,以便存储管理员可以开始恢复过程。

每个警报可能包含不同数量和状态的多个事件。审查所有事件。

勒索软件恢复能力提供了有关导致发出警报的原因的信息(称为“证据”),例如:

  • 文件扩展名已创建或更改

  • 创建文件并比较检测率与预期率

  • 文件删除,并比较检测率与预期率

  • 当加密程度较高时,无需更改文件扩展名

警报分为以下类型之一:

  • 潜在攻击:当自主勒索软件防护检测到新的扩展并且在过去 24 小时内重复发生 20 次以上时(默认行为),就会发出警报。

  • 警告:基于以下行为会出现警告:

    • 之前没有发现过新的扩展,并且相同行为没有重复足够多次以将其声明为攻击。

    • 观察到高熵。

    • 文件读取、写入、重命名或删除活动比正常水平增加了一倍。

备注 对于 SAN 环境,警告仅基于高熵。

证据基于ONTAP中的自主勒索软件防护信息。有关详细信息,请参阅 "自主勒索软件防护概述"

警报可以具有以下状态之一:

  • 新的

  • 不活跃

警报事件可以具有以下状态之一:

  • :所有事件在首次发现时均标记为“新”。

  • 已解除:如果您怀疑该活动不是勒索软件攻击,您可以将状态更改为“已解除”。

    注意 在您驳回攻击后,您无法将其改回。如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。

  • 正在驳回:该事件正在被驳回。

  • 已解决:该事件已修复。

  • 自动解决:对于低优先级警报,如果五天内未采取任何措施,则事件将自动解决。

提示 如果您在“设置”页面的“勒索软件恢复”中配置了安全和事件管理系统 (SIEM),则“勒索软件恢复”会向您的 SIEM 系统发送警报详细信息。

查看警报

您可以从勒索软件恢复力仪表板或“警报”选项卡访问警报。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。 "了解所有服务的BlueXP访问角色"

步骤

  1. 在勒索软件恢复力仪表板中,查看警报窗格。

  2. 选择其中一个状态下的“查看全部”。

  3. 选择一个警报来查看每个警报的每个卷上的所有事件。

  4. 要查看其他警报,请选择左上角面包屑中的“警报”。

  5. 查看警报页面上的警报。

    警报页面

  6. 继续执行以下操作之一:

回复警报电子邮件

当勒索软件弹性检测到潜在攻击时,它会根据订阅用户的订阅通知偏好向其发送电子邮件通知。电子邮件包含有关警报的信息,包括严重程度和受影响的资源。

您可以接收勒索软件恢复警报的电子邮件通知。此功能可帮助您随时了解警报、警报的严重程度以及受影响的资源。

提示 要订阅电子邮件通知,请参阅 "设置电子邮件通知设置"

  1. 在勒索软件恢复中,转到*设置*页面。

  2. 在“通知”下,找到电子邮件通知设置。

  3. 输入您想要接收警报的电子邮件地址。

  4. 保存更改。

当生成新警报时,您将收到电子邮件通知。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员、勒索软件恢复管理员或勒索软件恢复查看器角色。 "了解所有服务的BlueXP访问角色"

步骤

  1. 查看电子邮件。

  2. 在电子邮件中,选择“查看警报”并登录“勒索软件恢复”。

    出现“警报”页面。

  3. 审查每个卷上每个警报的所有事件。

  4. 要查看其他警报,请单击左上角面包屑中的“警报”。

  5. 继续执行以下操作之一:

检测恶意活动和异常用户行为

查看“警报”选项卡,您可以识别是否存在恶意活动。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

*出现了哪些细节?*显示的详细信息取决于警报的触发方式:

  • 由ONTAP中的自主勒索软件防护功能触发。这可以根据卷中文件的行为检测恶意活动。

  • 由Data Infrastructure Insights工作负载安全触发。这需要Data Infrastructure Insights工作负载安全的许可证,并且您需要在勒索软件恢复中启用它。此功能可检测存储工作负载中的异常用户行为,并允许您阻止该用户进一步访问。

    要在勒索软件恢复中启用工作负载安全,请转到*设置*页面并选择*工作负载安全连接*选项。

    有关Data Infrastructure Insights工作负载安全性的概述,请查看 "关于工作负载安全"

提示 如果您没有数据基础设施工作负载安全的许可证,并且没有在勒索软件恢复中启用它,那么您将看不到异常用户行为信息。

当发生恶意活动时,会生成警报并自动拍摄快照。

仅查看来自 Autonomous Ransomware Protection 的恶意活动

当自主勒索软件防护在勒索软件恢复中触发警报时,您可以查看以下详细信息:

  • 输入数据的熵

  • 预期的新文件创建率与检测到的速率的比较

  • 预期文件删除率与检测率的比较

  • 文件的预期重命名率与检测到的重命名率的比较

  • 受影响的文件和目录

备注 这些详细信息对于 NAS 工作负载是可见的。对于 SAN 环境,只有熵数据可用。
步骤

  1. 从勒索软件恢复菜单中,选择*警报*。

  2. 选择一个警报。

  3. 查看警报中的事件。

    警报事件页面

  4. 选择一个事件来查看该事件的详细信息。

在Data Infrastructure Insights中查看异常用户行为工作负载安全

当Data Infrastructure Insights工作负载安全在勒索软件恢复中触发警报时,您可以直接在Data Infrastructure Insights工作负载安全中查看可疑用户、阻止用户并调查用户活动。

提示 这些功能是对自主勒索软件防护所提供的详细信息的补充。
开始之前

此选项需要Data Infrastructure Insights工作负载安全的许可证,并且您需要在勒索软件恢复中启用它。

要在 Ransomware Resilience 中启用工作负载安全,请执行以下操作:

  1. 转到*设置*页面。

  2. 选择*工作负载安全连接*选项。

    有关详细信息,请参阅"配置勒索软件抵御能力设置"

步骤

  1. 从勒索软件恢复菜单中,选择*警报*。

  2. 选择一个警报。

  3. 查看警报中的事件。

    警报页面的屏幕截图。

  4. 要阻止可疑用户进一步访问控制台监控的环境,请选择“阻止用户”链接。

  5. 研究警报或警报中的事件:

    1. 要在Data Infrastructure Insights工作负载安全中进一步研究警报,请选择*调查工作负载安全*链接。

    2. 选择一个事件来查看该事件的详细信息。

Data Infrastructure Insights工作负载安全在新选项卡中打开。

+调查工作负载安全性

将勒索软件事件标记为可恢复(事件被消除后)

阻止攻击后,通知存储管理员数据已准备就绪,以便他们可以开始恢复。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

  1. 从勒索软件恢复菜单中,选择*警报*。

    警报页面

  2. 在警报页面中,选择警报。

  3. 查看警报中的事件。

    警报事件页面

  4. 如果您确定事件已准备好恢复,请选择*标记需要恢复*。

  5. 确认操作并选择*标记需要恢复*。

  6. 要启动工作负载恢复,请在消息中选择“恢复*工作负载”或选择“*恢复”选项卡。

结果

将警报标记为恢复后,警报将从“警报”选项卡移至“恢复”选项卡。

忽略不属于潜在攻击的事件

审查事件后,您需要确定该事件是否是潜在的攻击。如果不满足前述条件,他们就可以被解雇。

您可以忽略误报或决定立即恢复数据。如果您忽略警报,勒索软件恢复功能会了解此行为,将其与正常操作关联,并且不会再次针对此类行为发出警报。

如果您解除工作负载,则为应对潜在勒索软件攻击而自动获取的所有快照副本都将被永久删除。

注意 如果您关闭警报,则无法将该状态改回任何其他状态,也无法撤消此更改。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

  1. 从勒索软件恢复菜单中,选择*警报*。

    警报页面

  2. 在警报页面中,选择警报。

    警报事件页面

  3. 选择一个或多个事件。或者,通过选择表格左上角的事件 ID 框来选择所有事件。

  4. 如果您确定该事件不构成威胁,请将其视为误报:

    • 选择事件。

    • 选择表格上方的*编辑状态*按钮。

      警报编辑状态页面

  5. 从编辑状态框中,选择“已解除”状态。

    将显示有关工作负载和已删除快照副本的其他信息。

  6. 选择*保存*。

    一个或多个事件的状态变为“已解除”。

查看受影响文件的列表

在文件级别恢复应用程序工作负载之前,您可以查看受影响文件的列表。您可以访问警报页面下载受影响文件的列表。然后使用恢复页面上传列表并选择要恢复的文件。

所需的控制台角色 要执行此任务,您需要组织管理员、文件夹或项目管理员或勒索软件恢复管理员角色。"了解所有服务的控制台访问角色"

步骤

使用“警报”页面检索受影响文件的列表。

提示 如果某个卷有多个警报,您可能需要下载每个警报的受影响文件的 CSV 列表。

  1. 从勒索软件恢复菜单中,选择*警报*。

  2. 在“警报”页面上,按工作负载对结果进行排序,以显示要恢复的应用程序工作负载的警报。

  3. 从该工作负载的警报列表中选择一个警报。

  4. 对于该警报,选择一个事件。

    特定警报的受影响文件列表

  5. 对于该事件,选择下载图标并以 CSV 格式下载受影响文件的列表。