本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

警示

11/13/2024 貢獻者

PDF

工作負載安全警示頁面會顯示最近攻擊和/或警告的時間表、並可讓您檢視每個問題的詳細資料。

警示清單

警示

警示清單會顯示圖表、顯示在所選時間範圍內提出的潛在攻擊和/或警告總數、然後顯示該時間範圍內發生的攻擊和/或警告清單。您可以調整圖表中的開始時間和結束時間滑桿、以變更時間範圍。

每個警示都會顯示下列項目：

潛在攻擊：

_Potential攻擊_類型（例如勒索軟體或破壞）
可能遭受攻擊的日期和時間_偵測_
警示的_Status：
- 新增：這是新警示的預設值。
- 進行中：警示正在由團隊成員或成員進行調查。
- 已解決：警示已由團隊成員標記為「已解決」。
- 已遭解僱：警示已遭解僱為誤判或預期行為。
  
  系統管理員可以變更警示狀態、並新增附註以協助調查。
行為觸發警示的_User_
_證據_攻擊（例如、大量檔案已加密）
採取的動作_（例如、已建立快照）

警告：

觸發警告的_異常行為_
偵測到行為的日期和時間_
警示的_Status（新增、進行中等）
行為觸發警示的_User_
_Chang__的說明（例如檔案存取異常增加）
採取的行動_

篩選選項

您可以依下列項目篩選警示：

警示的_Status
註釋_中的特定文字
_攻擊/警告_的類型
動作觸發警示/警告的_User_

「警示詳細資料」頁面

您可以按一下警示清單頁面上的警示連結、開啟警示的詳細資料頁面。警示詳細資料可能會因攻擊類型或警示而異。例如、勒索軟體攻擊詳細資料頁面可能會顯示下列資訊：

摘要區段：

攻擊類型（勒索軟體、破壞）和警示ID（由工作負載安全指派）
偵測到攻擊的日期和時間
已採取的行動（例如、已執行自動快照。快照時間會立即顯示在摘要區段下方）
狀態（新增、進行中等）

攻擊結果區段：

受影響的磁碟區和檔案計數
偵測的隨附摘要
顯示攻擊期間檔案活動的圖表

_執行Snapshot動作

工作負載安全功能可在偵測到惡意活動時自動擷取快照、確保資料安全備份、進而保護資料安全。

您可以定義"自動化回應原則"在偵測到勒索軟體攻擊或其他異常使用者活動時，拍攝快照。您也可以從警示頁面手動擷取快照。

自動拍攝快照：警示行動畫面、1000

手動快照：警示行動畫面、1000

警示通知

警示的電子郵件通知會針對警示上的每個動作傳送至警示收件者清單。若要設定警示收件者、請按一下*管理>通知*、然後輸入每個收件者的電子郵件地址。

保留政策

警示與警告會保留13個月。超過13個月的警示和警告將會刪除。如果刪除工作負載安全環境、則與環境相關的所有資料也會一併刪除。

疑難排解

問題：	試用：
在這種情況ONTAP 下、每小時執行一次快照。工作負載安全性（ WS ）快照是否會影響它？WS 快照是否會採用每小時快照的位置？預設的每小時快照是否會停止？	工作負載安全快照不會影響每小時快照。WS 快照不會佔用每小時的快照空間、因此應該像以前一樣繼續。預設的每小時快照不會停止。
如果在不確定的情況下達到最大快照數、會發生什麼情況ONTAP ？	如果快照數量達到上限、後續的快照拍攝將會失敗、而工作負載安全性會顯示錯誤訊息、指出快照已滿。使用者需要定義Snapshot原則來刪除最舊的快照、否則將無法擷取快照。在不含更新版本的版本中、Volume最多可包含255個Snapshot複本。ONTAP在NetApp 9.4及更新版本中、Volume最多可包含1023個Snapshot複本。ONTAP有關的信息，請參閱 ONTAP 文檔"設定Snapshot刪除原則"。
工作負載安全功能完全無法擷取快照。	請確定用於建立快照的角色具有下列連結： https://docs 。 NetApp 。 com/us-en/cloudimses/task_add_collector 。 svm.html#a-note about 權限 [ 已指派適當權限 ] 。請確定已建立具有適當存取權限的_csrole_、以供拍攝快照：安全登入角色create -vserver <vservername>-role csrole -cmd dirname "volume snapshot"-access all
在SVM上的舊警示（從工作負載安全性中移除後又重新新增）、快照失敗。對於再次新增SVM之後發生的新警示、會擷取快照。	這是罕見的情況。如果您遇到這種情況、請登入ONTAP 到「介紹」、然後手動擷取舊警示的快照。
在_警示詳細資料_頁面中、「上次嘗試失敗」錯誤訊息會顯示在_「拍攝Snapshot」按鈕下方。將游標停留在錯誤上會顯示「Invoke API command has timed out for the data collector with id」。	如果SVM的LIF處於_disabled_狀態ONTAP 、則透過SVM管理IP將資料收集器新增至工作負載安全性時、就可能發生這種情況。啟用ONTAP 支援功能中的特定LIF、並從工作負載安全性觸發_手動拍攝Snapshot _。然後Snapshot行動就會成功。

問題：

試用：

在這種情況ONTAP 下、每小時執行一次快照。工作負載安全性（ WS ）快照是否會影響它？WS 快照是否會採用每小時快照的位置？預設的每小時快照是否會停止？

工作負載安全快照不會影響每小時快照。WS 快照不會佔用每小時的快照空間、因此應該像以前一樣繼續。預設的每小時快照不會停止。

如果在不確定的情況下達到最大快照數、會發生什麼情況ONTAP ？

如果快照數量達到上限、後續的快照拍攝將會失敗、而工作負載安全性會顯示錯誤訊息、指出快照已滿。使用者需要定義Snapshot原則來刪除最舊的快照、否則將無法擷取快照。在不含更新版本的版本中、Volume最多可包含255個Snapshot複本。ONTAP在NetApp 9.4及更新版本中、Volume最多可包含1023個Snapshot複本。ONTAP有關的信息，請參閱 ONTAP 文檔"設定Snapshot刪除原則"。

工作負載安全功能完全無法擷取快照。

請確定用於建立快照的角色具有下列連結： https://docs 。 NetApp 。 com/us-en/cloudimses/task_add_collector 。 svm.html#a-note about 權限 [ 已指派適當權限 ] 。請確定已建立具有適當存取權限的_csrole_、以供拍攝快照：安全登入角色create -vserver <vservername>-role csrole -cmd dirname "volume snapshot"-access all

在SVM上的舊警示（從工作負載安全性中移除後又重新新增）、快照失敗。對於再次新增SVM之後發生的新警示、會擷取快照。

這是罕見的情況。如果您遇到這種情況、請登入ONTAP 到「介紹」、然後手動擷取舊警示的快照。

在_警示詳細資料_頁面中、「上次嘗試失敗」錯誤訊息會顯示在_「拍攝Snapshot」按鈕下方。將游標停留在錯誤上會顯示「Invoke API command has timed out for the data collector with id」。

如果SVM的LIF處於_disabled_狀態ONTAP 、則透過SVM管理IP將資料收集器新增至工作負載安全性時、就可能發生這種情況。啟用ONTAP 支援功能中的特定LIF、並從工作負載安全性觸發_手動拍攝Snapshot _。然後Snapshot行動就會成功。

警示

Creating your file...

警示