Skip to main content
BlueXP ransomware protection
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

回應偵測到的勒索軟體警示

貢獻者

如果 BlueXP 勒索軟體防護偵測到可能的攻擊、 BlueXP 勒索軟體保護儀表板和右上角的 BlueXP 通知會出現警示、表示可能發生勒索軟體攻擊。服務也會立即啟動 Snapshot 複本。此時、您應該在 BlueXP 勒索軟體保護 * 警示 * 標籤中查看潛在風險。

您可以排除誤報、或決定立即恢復資料。

提示 如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

若要開始恢復資料、請將警示標記為已準備好恢復、以便儲存管理員開始恢復程序。

每個警示可能會在不同磁碟區上有多個狀態不同的事件、因此請務必查看所有事件。

此服務提供的資訊稱為 _ 證據 _ 、說明導致發出警示的原因、例如:

  • 檔案副檔名已建立或變更

  • 檔案建立已完成、並以列出的百分比增加

  • 檔案刪除已發生、並以列出的百分比增加

警示是以下列行為類型為基礎:

  • * 潛在攻擊 * :當自主勒索軟體保護偵測到新的延伸、且在過去 24 小時內重複發生超過 20 次(預設行為)時、就會發出警示。

  • * 警告 * :根據下列行為發出警告:

    • 偵測到新的擴充功能之前並未發現、相同的行為重複時間不足、無法將其宣告為攻擊。

    • 觀察到高 Entropy 。

    • 檔案讀取 / 寫入 / 重新命名 / 刪除作業的活動量超過基準線、達到 100% 激增。

證據是根據 ONTAP 中的自主勒索軟體保護所提供的資訊。如需詳細資訊、請參閱 "自主勒索軟體保護總覽"

警示可能具有下列其中一種狀態:

  • 新增

  • * 非使用中 *

警示事件分為下列其中一種狀態:

  • * 新 * :所有事件在首次識別時都會標示為「新」。

  • * 遭駁回 * :如果您懷疑該活動並非勒索軟體攻擊、您可以將狀態變更為「遭駁回」。

    警告 在您解除攻擊之後、您無法再變更此項。如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。
  • * 失蹤 * :事件正在被駁回。

  • * 已解決 * :事件已減輕。

檢視警示

您可以從 BlueXP 勒索軟體保護儀表板或 * Alerts * 標籤存取警示。

步驟
  1. 在 BlueXP 勒索軟體保護儀表板中、檢閱警示窗格。

  2. 在其中一個雕像下方選取 * 檢視全部 * 。

  3. 按一下警示、即可針對每個警示、檢閱每個磁碟區上的所有事件。

  4. 若要檢閱其他警示、請按一下左上角階層的 * 警示 * 。

  5. 檢閱「警示」頁面上的警示。

    警示頁面

  6. 繼續:

將勒索軟體事件標示為準備好進行恢復(在事件被消除之後)

緩解攻擊並準備好恢復工作負載之後、您應該與儲存管理團隊溝通、告知資料已準備好進行恢復、以便開始恢復程序。

步驟
  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

  3. 檢閱警示中的事件。

    警示事件頁面

  4. 如果您確定事件已準備好進行恢復,請選擇 *Mark restore 需求 * 。

  5. 確認動作、然後選取 * 標示需要還原 * 。

  6. 若要啟動工作負載恢復、請在訊息中選取 * 恢復 * 工作負載、或選取 * 恢復 * 索引標籤。

結果

警示標記為還原後、警示會從警示索引標籤移至恢復索引標籤。

消除非潛在攻擊事件

審查事件之後、您需要判斷事件是否為潛在攻擊。如果沒有、可以將其解僱。

您可以排除誤報、或決定立即恢復資料。如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。

警告 如果您關閉警示、則無法將該狀態變更回任何其他狀態、也無法復原此變更。
步驟
  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

    警示事件頁面

  3. 選取一或多個事件。或者、選取表格左上角的事件 ID 方塊、以選取所有事件。

  4. 如果您確定事件並非威脅、請將其視為假陽性:

    • 如果您選擇了一個事件,請選擇 Actions … 圖示在右側、選取 * 編輯狀態 * 。

    • 如果您選取多個事件、請選取表格上方的 * 編輯狀態 * 按鈕。

      警示編輯狀態頁面

  5. 從「編輯」狀態方塊中、選取 * 「已解除」 * 狀態。

    此時會顯示有關工作負載及將刪除哪些 Snapshot 複本的其他資訊。

  6. 選擇*保存*。

    事件或事件的狀態會變更為「已解僱」。

檢視受影響檔案的清單

在檔案層級還原應用程式工作負載之前、您可以檢視受影響檔案的清單。您可以存取「警示」頁面、下載受影響檔案的清單。然後使用「恢復」頁面上傳清單、並選擇要還原的檔案。

步驟

使用「警示」頁面可擷取受影響檔案的清單。

提示 如果某個磁碟區有多個警示、您可能需要為每個警示下載受影響檔案的 CSV 清單。
  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 在「警示」頁面上、依工作負載排序結果、以顯示您要還原之應用程式工作負載的警示。

  3. 從該工作負載的警示清單中、選取警示。

  4. 針對該警示、請選取單一事件。

    特定警示的受影響檔案清單

  5. 針對該事件、請選取下載圖示、然後下載 CSV 格式的受影響檔案清單。