Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

自动响应 NetApp Ransomware Resilience 中的用户活动警报

贡献者 netapp-ahibbard

NetApp Ransomware Resilience 支持创建对 "用户活动事件" 的自动响应。通过自动响应,Ransomware Resilience 可以在检测到攻击或警告时创建快照或阻止用户,从而更快速地响应勒索软件事件。

加密(用户行为)、数据泄露和数据销毁事件均支持自动响应。在创建自动响应之前,您必须具有 "配置了用户活动代理,启用了具有用户活动检测的策略,并创建了用户目录连接器"

创建自动响应

您只能保护一个存储 VM,且该存储 VM 至少有一个工作负载受可疑用户行为检测策略保护。

步骤
  1. 在勒索软件恢复功能中,选择设置

  2. 在用户活动监控图块中,选择管理

  3. 选择Automated responses选项卡。

  4. 选择添加以创建此行为。

  5. 为自动响应输入名称

  6. 选择要触发响应的事件类型:攻击警告。详细了解不同的 "警报类型"

  7. 选择响应:

    • 阻止用户访问:触发警报时,用户将被阻止访问所有受 Ransomware Resilience 保护的存储 VM。

      如果选择此选项,则还必须选择阻止的持续时间。它可以是 1 到 24 小时之间的间隔,也可以是永久性的。

    • 拍摄快照:为受影响的工作负载创建快照,以用于潜在的恢复。快照保留七天。

  8. 选择触发自动响应的警报类型:

    警报类型

    描述

    加密(用户行为)

    Ransomware Resilience 可识别特定用户执行的异常文件读取、写入和重命名活动。

    数据泄露

    NetApp Ransomware Resilience 检测特定用户执行的异常文件读取访问模式。

    数据销毁

    Ransomware Resilience 可发现特定用户对文件的大规模删除。

  9. 选择要应用自动响应的Storage VM。

  10. 选择添加以创建自动响应。

修改自动响应

创建自动响应后,您可以暂停、重新启动或修改响应。您可以修改响应的名称、触发响应的警报类型、存储 VM 和采取的操作。

步骤
  1. 在勒索软件恢复功能中,选择设置

  2. 在用户活动监控图块中,选择管理

  3. 选择Automated responses选项卡。

  4. 选择要修改的自动回复。

  5. 要暂停或删除响应,请选择操作菜单,然后选择暂停(或开始)或删除

    要修改回复,请选择编辑

  6. 您可以修改警报严重性以外的任何设置。

  7. 选择保存以保存更改。