Skip to main content
BlueXP ransomware protection
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

回應偵測到的勒索軟體警示

貢獻者
PDF

如果 BlueXP 勒索軟體防護偵測到可能的攻擊、 BlueXP 勒索軟體保護儀表板和右上角的 BlueXP 通知會出現警示、表示可能發生勒索軟體攻擊。該服務也會立即開始執行快照複本。此時、您應該在 BlueXP 勒索軟體保護 * 警示 * 標籤中查看潛在風險。

您可以排除誤報、或決定立即恢復資料。

提示 如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

若要開始恢復資料、請將警示標記為已準備好恢復、以便儲存管理員開始恢復程序。

每個警示可能會在不同磁碟區上有多個狀態不同的事件、因此請務必查看所有事件。

此服務提供的資訊稱為 _ 證據 _ 、說明導致發出警示的原因、例如:

  • 檔案副檔名已建立或變更

  • 檔案建立已完成、並以列出的百分比增加

  • 檔案刪除已發生、並以列出的百分比增加

警示是以下列行為類型為基礎:

  • * 潛在攻擊 * :當自主勒索軟體保護偵測到新的延伸、且在過去 24 小時內重複發生超過 20 次(預設行為)時、就會發出警示。

  • * 警告 * :根據下列行為發出警告:

    • 偵測到新的擴充功能之前並未發現、相同的行為重複時間不足、無法將其宣告為攻擊。

    • 觀察到高 Entropy 。

    • 檔案讀取 / 寫入 / 重新命名 / 刪除作業的活動量超過基準線、達到 100% 激增。

證據是根據 ONTAP 中的自主勒索軟體保護所提供的資訊。如需詳細資訊、請參閱 "自主勒索軟體保護總覽"

警示可能具有下列其中一種狀態:

  • 新增

  • * 非使用中 *

警示事件分為下列其中一種狀態:

  • * 新 * :所有事件在首次識別時都會標示為「新」。

  • * 遭駁回 * :如果您懷疑該活動並非勒索軟體攻擊、您可以將狀態變更為「遭駁回」。

    警告 在您解除攻擊之後、您無法再變更此項。如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。

  • * 失蹤 * :事件正在被駁回。

  • * 已解決 * :事件已減輕。

檢視警示

您可以從 BlueXP  勒索軟體保護儀表板或 * 警示 * 標籤存取警示。

步驟

  1. 在 BlueXP 勒索軟體保護儀表板中、檢閱警示窗格。

  2. 在其中一個狀態下選擇 * 檢視全部 * 。

  3. 按一下警示、即可針對每個警示、檢閱每個磁碟區上的所有事件。

  4. 若要檢閱其他警示、請按一下左上角階層的 * 警示 * 。

  5. 檢閱「警示」頁面上的警示。

    警示頁面

  6. 繼續:

偵測惡意活動和異常的使用者行為

查看「警示」標籤,您可以識別是否有惡意活動。顯示的詳細資料取決於警示的觸發方式:

  • 觸發於 ONTAP 的自主勒索軟體保護功能。這會根據磁碟區中檔案的行為來偵測惡意活動。

  • 由 Data Infrastructure Insights Workload Security 觸發。這需要資料基礎架構洞見工作負載安全性的授權,而且您必須在 BlueXP  勒索軟體保護中啟用。此功能可偵測儲存工作負載中的異常使用者行為,並可讓您封鎖該使用者,使其無法進一步存取。

    若要在 BlueXP  勒索軟體保護中啟用工作負載安全,請前往 * 設定 * 頁面,然後選取 * 工作負載安全連線 * 選項。

    如需 Data Infrastucure Insights Workload Security 的總覽,請參閱 "關於工作負載安全性"

提示 如果您沒有資料基礎架構工作負載安全性的授權,而且沒有在 BlueXP  勒索軟體保護中啟用,您就不會看到異常的使用者行為資訊。

當發生惡意活動時,系統會產生警示並擷取自動快照。

只能檢視自主勒索軟體保護的惡意活動

當 BlueXP  勒索軟體保護觸發警示時,您可以檢視下列詳細資料:

  • 傳入資料的 Entropy

  • 新檔案的預期建立率與偵測到的速度相比較

  • 檔案的預期刪除率與偵測到的速度相比較

  • 與偵測到的速率相比,預期的檔案重新命名速率

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 選取警示。

  3. 檢閱警示中的事件。

    警示事件頁面

  4. 選取事件以檢閱事件的詳細資料。

    事件詳細資料頁面

在 Data Infrastructure Insights Workload Security 中檢視異常的使用者行為

當 Data Infrastructure Insights Workload Security 觸發 BlueXP  勒索軟體保護警示時,您可以在 Data Infrastructure Insights Workload Security 中檢視可疑使用者,封鎖使用者,並直接調查使用者活動。

提示 這些功能是「僅限自主勒索軟體保護」提供的詳細資料之外的一部分。
開始之前

此選項需要資料基礎架構洞見工作負載安全性的授權,而且您可以在 BlueXP  勒索軟體保護中啟用。

若要在 BlueXP  勒索軟體保護中啟用工作負載安全,請執行下列步驟:

  1. 前往 * 設定 * 頁面。

  2. 選取 * 工作負載安全連線 * 選項。

    如需詳細資訊、請參閱 "設定 BlueXP 勒索軟體保護設定"

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 選取警示。

  3. 檢閱警示中的事件。

    顯示工作負載安全詳細資料的警示事件頁面

  4. 若要封鎖受 BlueXP  監控的可疑使用者,使其無法在您的環境中進一步存取,請選取 * 封鎖使用者 * 連結。

  5. 研究警示中的警示或事件:

    1. 若要在 Data Infrastructure Insights Workload Security 中進一步研究警示,請選取 * 調查工作負載安全 * 連結。

    2. 選取事件以檢閱事件的詳細資料。

      顯示工作負載安全詳細資料的事件詳細資料頁面

      Data Infrastructure Insights Workload Security 會在新索引標籤中開啟。

    調查工作負載安全性

將勒索軟體事件標示為準備好進行恢復(在事件被消除之後)

緩解攻擊並準備好恢復工作負載之後、您應該與儲存管理團隊溝通、告知資料已準備好進行恢復、以便開始恢復程序。

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

  3. 檢閱警示中的事件。

    警示事件頁面

  4. 如果您確定事件已準備好進行恢復,請選擇 *Mark restore 需求 * 。

  5. 確認動作、然後選取 * 標示需要還原 * 。

  6. 若要啟動工作負載恢復、請在訊息中選取 * 恢復 * 工作負載、或選取 * 恢復 * 索引標籤。

結果

警示標記為還原後、警示會從警示索引標籤移至恢復索引標籤。

消除非潛在攻擊事件

審查事件之後、您需要判斷事件是否為潛在攻擊。如果沒有、可以將其解僱。

您可以排除誤報、或決定立即恢復資料。如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。

警告 如果您關閉警示、則無法將該狀態變更回任何其他狀態、也無法復原此變更。
步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

    警示頁面

  2. 在「警示」頁面中、選取警示。

    警示事件頁面

  3. 選取一或多個事件。或者、選取表格左上角的事件 ID 方塊、以選取所有事件。

  4. 如果您確定事件並非威脅、請將其視為假陽性:

    • 選取事件。

    • 選取表格上方的 * 編輯狀態 * 按鈕。

      警示編輯狀態頁面

  5. 從「編輯」狀態方塊中、選取 * 「已解除」 * 狀態。

    此時會顯示有關工作負載及將刪除哪些 Snapshot 複本的其他資訊。

  6. 選擇*保存*。

    事件或事件的狀態會變更為「已解僱」。

檢視受影響檔案的清單

在檔案層級還原應用程式工作負載之前、您可以檢視受影響檔案的清單。您可以存取「警示」頁面、下載受影響檔案的清單。然後使用「恢復」頁面上傳清單、並選擇要還原的檔案。

步驟

使用「警示」頁面可擷取受影響檔案的清單。

提示 如果某個磁碟區有多個警示、您可能需要為每個警示下載受影響檔案的 CSV 清單。

  1. 從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。

  2. 在「警示」頁面上、依工作負載排序結果、以顯示您要還原之應用程式工作負載的警示。

  3. 從該工作負載的警示清單中、選取警示。

  4. 針對該警示、請選取單一事件。

    特定警示的受影響檔案清單

  5. 針對該事件、請選取下載圖示、然後下載 CSV 格式的受影響檔案清單。