Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在NetApp Ransomware Resilience中進行勒索軟體攻擊準備演練

貢獻者 netapp-ahibbard amgrissino

在 NetApp Ransomware Resilience 中執行勒索軟體攻擊準備演練,以測試您應對真實勒索軟體攻擊的準備。透過此演練,Ransomware Resilience 會模擬對新樣本工作負載的攻擊,使您能夠在不影響真實生產資料的情況下調查模擬攻擊並執行復原操作。此演練有助於您熟悉警報通知,並做好回應和復原準備。您可以根據需要多次執行此演練。

提示 您的實際工作量資料不會受到影響。

您可以對 NFS 和 CIFS (SMB) 工作負載進行準備情況演練。

配置勒索軟體攻擊準備演習

所需控制台角色 要執行此任務,您需要擁有 "超級管理員" 或 Ransomware Resilience 管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟
  1. 在勒索軟體恢復功能中,選擇設定

  2. 在「整備演練」圖塊中,選取 Configure

  3. 選擇準備演練類型

    • 自訂復原:此演練會建立警報,然後讓您執行"自訂恢復",以設定復原點。

    • 徹底恢復:此操作會發出警報,然後引導您進入 "徹底恢復" 恢復程序,該程序會引導您找到最佳恢復點。

    • 資料外洩復原:此演練會在使用者啟動資料外洩事件後建立警報。您必須先設定 "使用者活動代理" 才能啟用此演練類型。

  4. 選擇進行戰備演練測試的環境。

    1. 選擇 Console agentSystem

    2. 選擇 System 後,從預先填入清單中選擇 Storage VM

    3. 請為新的測試工作負載命名。測試工作負載的名稱將以「rps_test_」為前綴。

    4. 如果準備演練是為了資料外洩恢復,請為演練環境選擇使用者活動代理

      準備演練配置選項的螢幕截圖。

  5. 選擇*儲存*。

提示 您可以稍後使用「設定」頁面編輯準備演練配置。

開始準備演習

配置準備狀況演練後,即可開始演練。

所需控制台角色 要執行此任務,您需要擁有 "超級管理員" 或 Ransomware Resilience 管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟
  1. 開始演練:

    • 在 Ransomware Resilience 儀表板上,選擇右上角的 Run readiness drill 按鈕。

      顯示「運行準備度演練」按鈕的儀表板頁面

    • 或進入設定。在「準備演練」圖塊中,選擇*開始*。

註 演練進行中無法編輯整備演練配置。若要修改整備演練,請選擇 Reset,然後編輯演練。

響應戰備演習警報

透過回應準備演習警報來測試您的準備。

所需控制台角色 要執行此任務,您需要擁有 "超級管理員" 或 Ransomware Resilience 管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟
  1. 從勒索軟體恢復選單中,選擇*警報*。

    控制台顯示警報頁面。在警報 ID 欄位中,您會在 ID 旁看到「準備好演練」。

    顯示準備演習警報的警報頁面

  2. 選擇帶有「準備演習」指示的警報。

    顯示準備演習警報的警報詳細資訊頁面

  3. 查看警報事件。

  4. 選擇一個警報事件。

    顯示準備演習警報的事件頁面

審查事件時,請考慮以下因素:

  • 潛在攻擊的嚴重程度。

    如果嚴重性表明使用者涉嫌惡意活動,請檢查使用者名稱。您還可以"封鎖該用戶。"

  • 檔案活動與預期速率的比較。這包括讀取/寫入速率、檔案建立、檔案重新命名和檔案刪除。

  • 受影響的檔案清單。請查看可能導致攻擊的檔案副檔名。

  • 透過查看受影響的檔案和目錄的數量來確定攻擊的影響和廣度。

恢復測試工作負載

審查準備情況演習警報後,如有必要,恢復測試工作量。

所需控制台角色 要執行此任務,您需要擁有 "超級管理員" 或 Ransomware Resilience 管理員角色。"了解NetApp Console的勒索軟體復原角色"

步驟
  1. 返回警報詳細資訊頁面。

  2. 如果需要恢復測試工作負載,請選擇標記為需要恢復,然後在確認對話方塊中再次選擇該按鈕。

  3. 從勒索軟體恢復選單中,選擇*恢復*。

  4. 選擇要復原的帶有「Readiness drill」標籤的測試工作負載。

  5. 選擇*恢復*。

  6. 請依照您所設定的恢復模式說明進行操作:

演練結束後更改警報狀態

審查準備情況演習警報並恢復工作量後,根據需要變更警報狀態。

必要的控制台角色 組織管理員、資料夾或專案管理員,或 Ransomware Resilience 管理員 "了解所有服務的控制台存取角色"

步驟
  1. 返回警報詳細資訊頁面。

  2. 再次選擇警報。

  3. 選擇狀態旁的「編輯」按鈕,即可變更狀態。將狀態變更為以下選項之一:

    • 已解除:如果您懷疑該活動不是勒索軟體攻擊,請將狀態變更為已解除。

      重要 攻擊警報解除後,無法撤銷。如果解除工作負載,所有為應對潛在勒索軟體攻擊而自動建立的 Snapshot 副本都將永久刪除。如果解除警報,則視為準備演練完成。
    • 已解決:事件已得到緩解。

審查準備演習報告

演練結束後,您可以產生並儲存演練報告。演練報告是一個 JSON 檔案,其中包含偵測原則、警示類型和時間戳記、攻擊詳情以及恢復狀態等資訊。

所需控制台角色 要執行此任務,您需要擁有 "超級管理員"、Ransomware Resilience admin 或 Ransomware Resilience viewer 角色。"了解NetApp Console的勒索軟體復原角色"

步驟
  1. 從勒索軟體恢復選單中,選擇*報告*。

    顯示準備狀況演練報告的報告頁面

  2. 選擇*準備演習*和*下載*以下載準備演習報告。