Skip to main content
BlueXP ransomware protection
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 BlueXP 勒索軟體保護處理偵測到的勒索軟體警報

貢獻者 amgrissino netapp-ahibbard
PDF

當 BlueXP 勒索軟體防護偵測到潛在攻擊時,它會在儀表板和通知區域顯示警報。該服務會立即拍攝快照。請在 BlueXP 勒索軟體防護的「警報」標籤中查看潛在風險。

如果BlueXP ransomware protection偵測到可能的攻擊, BlueXP通知中將顯示一則通知,並向設定的位址發送電子郵件。該電子郵件包含有關嚴重程度、受影響工作負載的信息,以及指向BlueXP ransomware protection「警報」標籤中警報的連結。

您可以排除誤報、或決定立即恢復資料。

提示 如果您關閉警報,服務會了解此行為,將其與正常操作關聯,並且不會再次對其發出警報。

若要開始恢復資料、請將警示標記為已準備好恢復、以便儲存管理員開始恢復程序。

每個警報可能包含不同磁碟區和狀態的多個事件。請查看所有事件。

此服務提供的資訊稱為 _ 證據 _ 、說明導致發出警示的原因、例如:

  • 檔案副檔名已建立或變更

  • 建立檔案時,會比較偵測到的速率與預期的速率

  • 將偵測到的檔案刪除與預期的速率進行比較

  • 當加密速度較高時,沒有檔案副檔名變更

警示歸類為下列其中一項:

  • * 潛在攻擊 * :當自主勒索軟體保護偵測到新的延伸、且在過去 24 小時內重複發生超過 20 次(預設行為)時、就會發出警示。

  • * 警告 * :根據下列行為發出警告:

    • 偵測到新的擴充功能之前並未發現、相同的行為重複時間不足、無法將其宣告為攻擊。

    • 觀察到高 Entropy 。

    • 文件讀取、寫入、重新命名或刪除活動比正常水平增加了一倍。

註 對於 SAN 環境,警告僅基於高熵。

證據是根據 ONTAP 中的自主勒索軟體保護所提供的資訊。如需詳細資訊、請參閱 "自主勒索軟體保護總覽"

警示可能具有下列其中一種狀態:

  • 新增

  • * 非使用中 *

警報事件可以具有以下狀態之一:

  • * 新 * :所有事件在首次識別時都會標示為「新」。

  • * 遭駁回 * :如果您懷疑該活動並非勒索軟體攻擊、您可以將狀態變更為「遭駁回」。

    警告 在您解除攻擊之後、您無法再變更此項。如果您解除工作負載,系統會永久刪除所有自動擷取的快照複本,以因應可能的勒索軟體攻擊。

  • * 失蹤 * :事件正在被駁回。

  • 已解決:該事件已修復。

  • 自動解決:對於低優先級警報,如果五天內沒有採取任何行動,則事件將自動解決。

提示 如果您在「設定」頁面中的BlueXP ransomware protection中設定了安全性和事件管理系統 (SIEM),該服務會向您的 SIEM 系統發送警報詳細資訊。

檢視警示

您可以從 BlueXP  勒索軟體保護儀表板或 * 警示 * 標籤存取警示。

必要的 BlueXP 角色 組織管理員、資料夾或專案管理員、勒索軟體保護管理員或勒索軟體檢視器角色。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 在 BlueXP 勒索軟體保護儀表板中、檢閱警示窗格。

  2. 在其中一個狀態下選擇 * 檢視全部 * 。

  3. 選擇一個警報來查看每個警報的每個磁碟區上的所有事件。

  4. 若要查看其他警報,請選擇左上角麵包屑中的「警報」。

  5. 檢閱「警示」頁面上的警示。

    警示頁面

  6. 繼續下列操作之一:

回覆警報電子郵件

當BlueXP ransomware protection偵測到潛在攻擊時,它會根據訂閱用戶的訂閱通知偏好設定,向其發送電子郵件通知。電子郵件中包含警報訊息,包括嚴重程度和受影響的資源。

您可以接收BlueXP ransomware protection警報的電子郵件通知。此功能可協助您隨時了解警報、警報嚴重程度以及受影響的資源。

提示 若要訂閱電子郵件通知,請參閱 "設定電子郵件通知設定"

  1. 在BlueXP ransomware protection中,前往 設定 頁面。

  2. 在「通知」下,找到電子郵件通知設定。

  3. 輸入您想要接收警報的電子郵件地址。

  4. 儲存您的變更。

當新的警報產生時,您將收到電子郵件通知。

必要的 BlueXP 角色 組織管理員、資料夾或專案管理員、勒索軟體保護管理員或勒索軟體檢視器角色。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 查看電子郵件。

  2. 在電子郵件中,選擇「檢視警報」並登入BlueXP ransomware protection。

    「警示」頁面隨即出現。

  3. 檢視每個磁碟區上每個警報的所有事件。

  4. 若要檢閱其他警示、請按一下左上角階層的 * 警示 * 。

  5. 繼續下列操作之一:

偵測惡意活動和異常的使用者行為

查看「警示」標籤,您可以識別是否有惡意活動。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

*出現了哪些細節? *顯示的詳細資料取決於警示的觸發方式:

  • 觸發於 ONTAP 的自主勒索軟體保護功能。這會根據磁碟區中檔案的行為來偵測惡意活動。

  • 由 Data Infrastructure Insights 工作負載安全性所觸發。這需要資料基礎架構洞見工作負載安全性的授權,而且您必須在 BlueXP  勒索軟體保護中啟用。此功能可偵測儲存工作負載中的異常使用者行為,並可讓您封鎖該使用者,使其無法進一步存取。

    若要在 BlueXP  勒索軟體保護中啟用工作負載安全性,請前往 * 設定 * 頁面,然後選取 * 工作負載安全連線 * 選項。

    有關Data Infrastructure Insights工作負載安全性的概述,請查看 "關於工作負載安全性"

提示 如果您沒有資料基礎架構工作負載安全許可證,並且沒有在BlueXP ransomware protection中啟用它,您將看不到異常使用者行為資訊。

當發生惡意活動時,系統會產生警示並擷取自動快照。

只能檢視自主勒索軟體保護的惡意活動

當 BlueXP  勒索軟體保護觸發警示時,您可以檢視下列詳細資料:

  • 傳入資料的 Entropy

  • 新檔案的預期建立率與偵測到的速度相比較

  • 檔案的預期刪除率與偵測到的速度相比較

  • 與偵測到的速率相比,預期的檔案重新命名速率

  • 受影響的檔案和目錄

註 對於 NAS 工作負載,這些詳細資訊可供查看。對於 SAN 環境,僅提供熵資料。
步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 選取警示。

  3. 檢閱警示中的事件。

    警示事件頁面

  4. 選取事件以檢閱事件的詳細資料。

在 Data Infrastructure Insights 工作負載安全性中檢視異常的使用者行為

當 Data Infrastructure Insights Workload 安全性觸發 BlueXP  勒索軟體保護警示時,您可以在 Data Infrastructure Insights Workload 安全性中檢視可疑使用者,封鎖使用者,並直接調查使用者活動。

提示 這些功能是「僅限自主勒索軟體保護」提供的詳細資料之外的一部分。
開始之前

此選項需要資料基礎架構洞見工作負載安全性的授權,而且您可以在 BlueXP  勒索軟體保護中啟用。

若要在 BlueXP  勒索軟體保護中啟用工作負載安全性,請執行下列步驟:

  1. 前往 * 設定 * 頁面。

  2. 選取 * 工作負載安全連線 * 選項。

    如需詳細資訊、請參閱 "設定 BlueXP 勒索軟體保護設定"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 選取警示。

  3. 檢閱警示中的事件。

    顯示工作負載安全詳細資料的警示事件頁面

  4. 若要封鎖受 BlueXP  監控的可疑使用者,使其無法在您的環境中進一步存取,請選取 * 封鎖使用者 * 連結。

  5. 研究警示中的警示或事件:

    1. 若要在 Data Infrastructure Insights Workload 安全性中進一步研究警示,請選取 * 調查工作負載安全 * 連結。

    2. 選取事件以檢閱事件的詳細資料。

      Data Infrastructure Insights Workload Security 會在新索引標籤中開啟。

    調查工作負載安全性

將勒索軟體事件標示為準備好進行恢復(在事件被消除之後)

阻止攻擊後,通知儲存管理員資料已準備就緒,以便他們可以開始恢復。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

  3. 檢閱警示中的事件。

    警示事件頁面

  4. 如果您確定事件已準備好進行恢復,請選擇 *Mark restore 需求 * 。

  5. 確認動作、然後選取 * 標示需要還原 * 。

  6. 若要啟動工作負載恢復、請在訊息中選取 * 恢復 * 工作負載、或選取 * 恢復 * 索引標籤。

結果

警示標記為還原後、警示會從警示索引標籤移至恢復索引標籤。

消除非潛在攻擊事件

審查事件之後、您需要判斷事件是否為潛在攻擊。如果不滿足前述條件,他們就可以被解僱。

您可以排除誤報、或決定立即恢復資料。如果您關閉警報,服務會了解此行為,將其與正常操作關聯,並且不會再次針對此類行為發出警報。

如果您解除工作負載,則為應對潛在勒索軟體攻擊而自動取得的所有快照副本都將永久刪除。

警告 如果您關閉警示、則無法將該狀態變更回任何其他狀態、也無法復原此變更。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

    警示事件頁面

  3. 選取一或多個事件。或者、選取表格左上角的事件 ID 方塊、以選取所有事件。

  4. 如果您確定事件並非威脅、請將其視為假陽性:

    • 選取事件。

    • 選取表格上方的 * 編輯狀態 * 按鈕。

      警示編輯狀態頁面

  5. 從「編輯」狀態方塊中、選取 * 「已解除」 * 狀態。

    將顯示有關工作負載以及已刪除快照副本的其他資訊。

  6. 選擇*保存*。

    事件或事件的狀態會變更為「已解僱」。

檢視受影響檔案的清單

在檔案層級還原應用程式工作負載之前、您可以檢視受影響檔案的清單。您可以存取「警示」頁面、下載受影響檔案的清單。然後使用「恢復」頁面上傳清單、並選擇要還原的檔案。

所需的 BlueXP 角色 組織管理員、資料夾或專案管理員或勒索軟體防護管理員。 "了解所有服務的 BlueXP 存取角色"

步驟

使用「警示」頁面可擷取受影響檔案的清單。

提示 如果某個磁碟區有多個警示、您可能需要為每個警示下載受影響檔案的 CSV 清單。

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 在「警示」頁面上、依工作負載排序結果、以顯示您要還原之應用程式工作負載的警示。

  3. 從該工作負載的警示清單中、選取警示。

  4. 針對該警示、請選取單一事件。

    特定警示的受影響檔案清單

  5. 針對該事件、請選取下載圖示、然後下載 CSV 格式的受影響檔案清單。