Skip to main content
BlueXP ransomware protection
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 BlueXP 勒索軟體保護中進行勒索軟體攻擊準備演習

貢獻者 amgrissino netapp-ahibbard
PDF

透過模擬對新範例工作負載的攻擊來執行勒索軟體攻擊就緒演練。調查模擬攻擊並恢復工作負載。使用此功能測試警報通知、回應和恢復。根據需要定期運行演練。

提示 您的實際工作量資料不會受到影響。

您可以對 NFS 和 CIFS (SMB) 工作負載進行準備情況演練。

設定勒索軟體攻擊準備訓練

在執行模擬之前,請在「設定」頁面上設定演練。從頂部選單中的“操作”選項存取“設定”頁面。

在以下情況下您將需要輸入使用者名稱和密碼:

  • 如果先前選擇的儲存虛擬機器的使用者名稱或密碼發生更改

  • 如果您選擇不同的 CIFS (SMB) 儲存體 VM

  • 如果您輸入不同的測試工作負載名稱

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 從 BlueXP 勒索軟體防護選單中,選擇右上角的 運行準備演練 按鈕。

    顯示「運行準備度演練」按鈕的儀表板頁面

  2. 在「設定」頁面的「就緒」訓練卡中,選取 * 「設定」 * 。

    BlueXP 顯示配置準備演練頁面。

    設定整備訓練頁面

  3. 請執行下列動作:

    1. 選取您要用於準備工作訓練的 BlueXP  Connector 。

    2. 選擇測試工作環境。

    3. 選取測試儲存設備 SVM 。

    4. 如果您選擇了 CIFS (SMB) 儲存虛擬機,則會顯示「使用者名稱」和「密碼」欄位。輸入儲存虛擬機器的使用者名稱和密碼。

    5. 輸入要建立的新測試工作負載名稱。請勿在名稱中包含破折號。

  4. 選擇*保存*。

提示 您可以稍後使用「設定」頁面編輯整備訓練組態。

開始準備訓練

設定就緒訓練之後,您可以開始訓練。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

當您開始準備訓練時, BlueXP  勒索軟體保護會跳過學習模式,並以使用中模式開始訓練。工作負載的偵測狀態為「作用中」。

提示 當最近分配了檢測策略並且服務掃描工作負載時,工作負載可以具有勒索軟體偵測*學習模式*狀態。
步驟

  1. 執行下列其中一項:

    • 從 BlueXP 勒索軟體防護選單中,選擇右上角的 運行準備演練 按鈕。

      顯示「運行準備度演練」按鈕的儀表板頁面

    • 或者,從「設定」頁面的「準備工作」訓練卡中,選取 * 開始 * 。

  2. 如果您已經設定就緒訓練,則在選擇 * 開始 * 之後,準備工作訓練就會開始。

註 訓練開始後,您無法編輯準備就緒訓練組態。您可以將其重設為重新啟動。

回應準備就緒訓練警示

回應準備度訓練警示,以測試您的準備度。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    BlueXP 顯示「警報」頁面。在「警報 ID」欄位中,您會在 ID 旁看到「就緒演練」。

    警示頁面,顯示準備度訓練警示

  2. 選擇具有「準備度訓練」指示的警示。「警示」詳細資料頁面上會顯示事件警示清單。

    警示詳細資料頁面,顯示準備度訓練警示

  3. 檢閱警示事件。

  4. 選取警示事件。

    顯示準備度訓練警示的「事件」頁面

以下是一些要注意的事項:

  • 查看潛在攻擊類型。

    如果「類型」顯示使用者懷疑有惡意活動,請檢閱使用者名稱。您可能想要在 Data Infrastructure Insights Workload Security 中深入調查使用者,請選取 * 調查工作負載安全 * 。

  • 查看檔案活動和可疑程序:

    • 查看傳入偵測到的資料與預期資料的比較結果。

    • 查看偵測到的檔案建立率與預期速度相比較。

    • 請查看偵測到的檔案重新命名率與預期的速率相比較。

    • 查看刪除率與預期的比率。

  • 查看受影響檔案的清單。查看可能導致攻擊的延伸功能。

  • 檢閱受影響檔案和目錄的數量,以判斷攻擊的影響和廣度。

還原測試工作負載

審查準備演習警報後,如有必要,恢復測試工作量。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 返回警示詳細資料頁面。

  2. 如果應還原測試工作負載,請執行下列步驟:

    • 選取 * 需要標記還原 * 。

    • 檢閱確認,然後在確認方塊中選取 * 標示還原為必要 * 。

      • 從 BlueXP 勒索軟體保護功能表中、選取 * 回復 * 。

      • 選取標示為「準備度訓練」的測試工作負載,以供您還原。

      • 選擇*還原*。

      • 在「還原」頁面中,提供還原資訊:

    • 選取來源快照複本。

    • 選取目的地 Volume 。

  3. 在還原檢閱頁面中,選取 * 還原 * 。

    BlueXP 在恢復頁面上將準備演練恢復的狀態顯示為「進行中」。

    恢復完成後,BlueXP 將工作負載的狀態變更為「已恢復」。

  4. 檢閱還原的工作負載。

提示 如需還原程序的詳細資訊,請參閱"從勒索軟體攻擊中恢復(在事件被消除之後)"

在準備就緒訓練之後變更警示狀態

審查準備情況演習警報並恢復工作量後,根據需要變更警報狀態。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 返回警示詳細資料頁面。

  2. 再次選取警示。

  3. 選取 * 編輯狀態 * 並將狀態變更為下列其中一項,以指出狀態:

    • 遭駁回:如果您懷疑該活動並非勒索軟體攻擊,請將狀態變更為「遭解僱」。

      重要 在您消除攻擊之後,您無法將其重新變更。如果您解除工作負載,系統會永久刪除所有自動擷取的快照複本,以因應可能的勒索軟體攻擊。如果您關閉警示,準備度訓練就會視為完成。

    • 已解決:事件已減輕。

檢閱準備度訓練報告

準備工作訓練完成後,您可能會想要檢閱並儲存訓練報告。

必要的 BlueXP 角色 組織管理員、資料夾或專案管理員、勒索軟體保護管理員或勒索軟體檢視器角色。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 報告 * 。

    顯示準備度訓練報告的報告頁面

  2. 選擇 * 整備訓練 * 和 * 下載 * 下載整備訓練報告。