Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在NetApp Ransomware Resilience中進行勒索軟體攻擊準備演練

貢獻者 amgrissino netapp-ahibbard
PDF

透過模擬對新樣本工作負載的攻擊來運行勒索軟體攻擊準備演習。調查模擬攻擊並恢復工作負載。使用此功能來測試警報通知、回應和恢復。根據需要經常進行演練。

提示 您的實際工作量資料不會受到影響。

您可以對 NFS 和 CIFS (SMB) 工作負載進行準備情況演練。

配置勒索軟體攻擊準備演習

在執行模擬之前,請在「設定」頁面上設定演練。從頂部選單中的操作選項存取設定頁面。

以下情況需要輸入使用者名稱和密碼:

  • 如果先前選擇的儲存虛擬機器的使用者名稱或密碼發生更改

  • 如果您選擇不同的 CIFS (SMB) 儲存體 VM

  • 如果您輸入不同的測試工作負載名稱

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟

  1. 從NetApp Ransomware Resilience選單中,選擇右上角的 執行準備演練 按鈕。

    顯示「運行準備度演練」按鈕的儀表板頁面

  2. 在設定頁面的準備練習卡中,選擇*配置*。

    控制台顯示配置準備度演練頁面。

    配置準備狀況演練頁面

  3. 執行以下操作:

    1. 選擇您想要用於準備情境演練的控制台代理程式。

    2. 選擇一個測試系統。

    3. 選擇測試儲存 SVM。

    4. 如果您選擇了 CIFS (SMB) 儲存虛擬機,則會出現使用者名稱密碼欄位。輸入儲存虛擬機器的使用者名稱和密碼。

    5. 選擇準備演習類型。若要從加密資料外洩手動恢復,請選擇自訂恢復。若要從可疑用戶活動中恢復,請選擇資料外洩

    6. 輸入要建立的新測試工作負載的名稱。名稱中不要包含破折號。

  4. 選擇*儲存*。

提示 您可以稍後使用「設定」頁面編輯準備演練配置。

開始準備演習

配置準備狀況演練後,即可開始演練。

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色"

當您開始準備演習時,勒索軟體復原力會跳過學習模式並以主動模式開始演習。工作負載的偵測狀態為「活動」。

提示 當最近分配了檢測策略並且勒索軟體恢復掃描工作負載時,工作負載可以具有勒索軟體檢測*學習模式*狀態。
步驟

  1. 執行下列操作之一:

    • 從勒索軟體復原選單中,選擇右上角的「運行準備演練」按鈕。

      顯示「運行準備度演練」按鈕的儀表板頁面

    • 或者,從「設定」頁面的「準備好練習卡」中選擇「開始」。

註 演練運行時,您無法編輯準備演練配置。您可以重置鑽孔機以停止它並修改配置。

響應戰備演習警報

透過回應準備演習警報來測試您的準備。

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟

  1. 從勒索軟體恢復選單中,選擇*警報*。

    控制台顯示警報頁面。在警報 ID 欄位中,您會在 ID 旁看到「準備好演練」。

    顯示準備演習警報的警報頁面

  2. 選擇帶有「準備演習」指示的警報。事件警報清單出現在警報詳細資訊頁面。

    顯示準備演習警報的警報詳細資訊頁面

  3. 查看警報事件。

  4. 選擇一個警報事件。

    顯示準備演習警報的事件頁面

以下是需要注意的一些事項:

  • 查看潛在攻擊的嚴重性。

    如果嚴重性表明使用者涉嫌惡意活動,請檢查使用者名稱。您還可以"封鎖該用戶。"

  • 查看文件活動和可疑進程:

    • 查看傳入的檢測數據與預期數據的比較。

    • 查看偵測到的文件的建立率與預期率的比較。

    • 查看偵測到的檔案重新命名率與預期率的比較。

    • 查看刪除率與預期刪除率的比較。

  • 查看受影響文件的清單。查看可能導致攻擊的擴展。

  • 透過查看受影響的檔案和目錄的數量來確定攻擊的影響和廣度。

恢復測試工作負載

審查準備情況演習警報後,如有必要,恢復測試工作量。

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟

  1. 返回警報詳細資訊頁面。

  2. 如果需要恢復測試工作負載,請執行下列操作:

    • 選擇*標記需要恢復*。

    • 查看確認訊息,然後在確認框中選擇*標記需要恢復*。

      • 從勒索軟體恢復選單中,選擇*恢復*。

      • 選擇要復原的標示為「準備演練」的測試工作負載。

      • 選擇*恢復*。

      • 在「還原」頁面中,提供還原的資訊:

    • 選擇來源快照副本。

    • 選擇目標磁碟區。

  3. 在恢復審核頁面中,選擇*恢復*。

    控制台在恢復頁面上顯示準備演練恢復的狀態為「進行中」。

    恢復完成後,控制台將工作負載的狀態變更為*已復原*。

  4. 查看恢復的工作負載。

提示 有關恢復過程的詳細信息,請參閱"從勒索軟體攻擊中恢復(事件被消除後)"

準備演練後更改警報狀態

審查準備情況演習警報並恢復工作量後,根據需要變更警報狀態。

需要控制台角色 組織管理員、資料夾或專案管理員或勒索軟體復原管理員。 "了解所有服務的控制台存取角色"

步驟

  1. 返回警報詳細資訊頁面。

  2. 再次選擇警報。

  3. 透過選擇*編輯狀態*來指示狀態,並將狀態變更為以下之一:

    • 已解除:如果您懷疑該活動不是勒索軟體攻擊,請將狀態變更為已解除。

      重要 解除攻擊後,您將無法將其改回。如果您解除工作負載,則為應對潛在勒索軟體攻擊而自動取得的所有快照副本都將永久刪除。如果您解除警報,則準備演習即視為完成。

    • 已解決:事件已得到緩解。

審查準備演習報告

準備演習完成後,您可能需要查看並儲存演習報告。

所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員、勒索軟體復原管理員或勒索軟體復原檢視器角色。"了解NetApp Console的勒索軟體復原角色"

步驟

  1. 從勒索軟體恢復選單中,選擇*報告*。

    顯示準備狀況演練報告的報告頁面

  2. 選擇*準備演習*和*下載*以下載準備演習報告。