本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

回應偵測到的勒索軟體警示

07/01/2024 貢獻者

如果 BlueXP 勒索軟體防護偵測到可能的攻擊、 BlueXP 勒索軟體保護儀表板和右上角的 BlueXP 通知會出現警示、表示可能發生勒索軟體攻擊。服務也會立即啟動 Snapshot 複本。此時、您應該在 BlueXP 勒索軟體保護 * 警示 * 標籤中查看潛在風險。

您可以排除誤報、或決定立即恢復資料。

如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

若要開始恢復資料、請將警示標記為已準備好恢復、以便儲存管理員開始恢復程序。

每個警示可能會在不同磁碟區上有多個狀態不同的事件、因此請務必查看所有事件。

此服務提供的資訊稱為 _ 證據 _ 、說明導致發出警示的原因、例如：

警示是以下列行為類型為基礎：

* 潛在攻擊 * ：當自主勒索軟體保護偵測到新的延伸、且在過去 24 小時內重複發生超過 20 次（預設行為）時、就會發出警示。
* 警告 * ：根據下列行為發出警告：
- 偵測到新的擴充功能之前並未發現、相同的行為重複時間不足、無法將其宣告為攻擊。
- 觀察到高 Entropy 。
- 檔案讀取 / 寫入 / 重新命名 / 刪除作業的活動量超過基準線、達到 100% 激增。

證據是根據 ONTAP 中的自主勒索軟體保護所提供的資訊。如需詳細資訊、請參閱 "自主勒索軟體保護總覽"。

警示可能具有下列其中一種狀態：

警示事件分為下列其中一種狀態：

* 新 * ：所有事件在首次識別時都會標示為「新」。
* 遭駁回 * ：如果您懷疑該活動並非勒索軟體攻擊、您可以將狀態變更為「遭駁回」。

在您解除攻擊之後、您無法再變更此項。如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。
* 失蹤 * ：事件正在被駁回。
* 已解決 * ：事件已減輕。

檢視警示

您可以從 BlueXP 勒索軟體保護儀表板或 * Alerts * 標籤存取警示。

步驟

緩解攻擊並準備好恢復工作負載之後、您應該與儲存管理團隊溝通、告知資料已準備好進行恢復、以便開始恢復程序。

步驟

結果

警示標記為還原後、警示會從警示索引標籤移至恢復索引標籤。

審查事件之後、您需要判斷事件是否為潛在攻擊。如果沒有、可以將其解僱。

您可以排除誤報、或決定立即恢復資料。如果您決定關閉警示、服務將會學習此行為、並將其與正常作業相關聯、而不會再次針對此類行為發出警示。

如果您解除工作負載、系統會永久刪除所有自動取得的 Snapshot 複本、以因應可能的勒索軟體攻擊。

如果您關閉警示、則無法將該狀態變更回任何其他狀態、也無法復原此變更。

步驟

從 BlueXP 勒索軟體保護功能表中、選取 * 警示 * 。
在「警示」頁面中、選取警示。
選取一或多個事件。或者、選取表格左上角的事件 ID 方塊、以選取所有事件。
如果您確定事件並非威脅、請將其視為假陽性：
- 如果您選擇了一個事件，請選擇 Actions … 圖示在右側、選取 * 編輯狀態 * 。
- 如果您選取多個事件、請選取表格上方的 * 編輯狀態 * 按鈕。
從「編輯」狀態方塊中、選取 * 「已解除」 * 狀態。

此時會顯示有關工作負載及將刪除哪些 Snapshot 複本的其他資訊。
選擇*保存*。

事件或事件的狀態會變更為「已解僱」。

在檔案層級還原應用程式工作負載之前、您可以檢視受影響檔案的清單。您可以存取「警示」頁面、下載受影響檔案的清單。然後使用「恢復」頁面上傳清單、並選擇要還原的檔案。

步驟

使用「警示」頁面可擷取受影響檔案的清單。

如果某個磁碟區有多個警示、您可能需要為每個警示下載受影響檔案的 CSV 清單。