在 NetApp Ransomware Resilience 中管理用户拦截和警报
在 NetApp Ransomware Resilience 中创建用户目录连接器后,您可以在遇到勒索软件事件时阻止和解锁用户并对其进行评估。如果您确定用户的行为不是攻击,也可以选择将其从勒索软件警报中排除。
您必须"配置了用户活动代理,启用了具有用户活动检测的策略,并创建了用户目录连接器"才能阻止用户。
|
|
您可以"自动响应"查看用户活动检测事件。 |
管理被屏蔽的用户
当您认为用户应对恶意活动负责时,您可以阻止他们。
-
在勒索软件恢复功能中,选择设置。
-
在设置仪表板中,找到用户活动监控图块,然后选择管理。
-
选择Users选项卡。
-
选择Block users。
-
选择屏蔽持续时间:可以是1小时到24小时,也可以是永久屏蔽。
-
选中要阻止的用户名称旁边的复选框。
-
选择 Block。
-
在勒索软件恢复功能中,选择设置。
-
在设置仪表板中,找到用户活动监控图块,然后选择管理。
-
选择Users选项卡。
-
选择编辑用户屏蔽。
-
选择修改。要修改阻止的持续时间,请选择 被阻止用户的时间段,然后修改持续时间。要从阻止的用户列表中删除用户,请选择 取消阻止用户。
-
选中要更改其状态的被阻止用户的名称旁边的复选框。
-
选择保存。
管理用户警报
如果存在某些受信任的用户,其行为可能会触发用户行为警报,则可以将其从警报中排除。
-
在勒索软件恢复功能中,选择设置。
-
在设置仪表板中,找到用户活动监控图块,然后选择管理。
-
选择 Excluded from monitoring 选项卡。
-
要在 UI 中查看单个用户,请选择手动选择。要上传排除用户的列表,请选择上传。
-
如果选择了手动选择,请选中要排除的特定用户名旁边的复选框。
-
如果您选择 Upload,请下载包含所有用户列表的 CSV 或 JSON 文件。选择 Download 以访问列表。
在本地计算机上,查看文件。删除要为其维护检测的所有用户的名称。当列表仅包含要从检测中排除的用户的名称时,请将其保存。
在 Ransomware Resilience 中,选择上传。找到并上传文件。
-
-
选择添加以完成将用户添加到排除列表。
-
在从监控中排除选项卡中,从用户行为检测警报中删除的用户名称现在显示在仪表板中。
|
|
您还可以直接从警报中排除用户。有关详细信息,请参见 "响应勒索软件警报"。 |
-
在设置仪表板中,找到用户活动监控图块,然后选择管理。
-
选择 Excluded from monitoring 选项卡。
-
选择添加。
-
要从 UI 中排除单个用户,请选择手动选择。
-
找到要从排除用户列表中删除的用户名称。选择用户名所在行的操作菜单 (
…),然后选择删除。 -
在对话框中,选择 Remove 以确认要删除选定用户。