在NetApp Ransomware Resilience中管理警報
建議變更
PDF
當 NetApp Ransomware Resilience 偵測到可能的攻擊時,會在儀表板和通知選單中顯示警示。Ransomware Resilience 會立即建立快照。當你收到警示時,請在 Ransomware Resilience 警示 分頁中檢視潛在風險,以評估對資料的影響並防止潛在的勒索軟體攻擊。
如果 Ransomware Resilience 偵測到可能的攻擊,NetApp Console 通知設定中會顯示通知,並且會傳送電子郵件至設定的位址。該電子郵件包含有關嚴重性、受影響工作負載的資訊,以及指向 Ransomware Resilience Alerts 標籤中警示的連結。
您可以忽略誤報或決定立即恢復資料。
|
如果您關閉警報,勒索軟體復原功能會了解此行為,將其與正常操作關聯,並且不會再次對其發出警報。 |
要開始恢復數據,請將警報標記為準備好恢復,以便儲存管理員可以開始恢復程序。
每個警報可能包含不同數量和狀態的多個事件。審查所有事件。
警示的產生方式
Ransomware Resilience 依靠資料熵模式、檔案副檔名類型和加密方式等方面的證據來產生警報。警報基於以下事件:
-
資料外洩
-
資料銷毀
-
文件擴展名已建立或更改
-
建立文件並比較檢測率與預期率
-
文件刪除,並比較檢測率與預期率
-
可疑的使用者行為
-
當加密程度較高時,無需更改檔案副檔名
|
對於資料外洩、資料銷毀和可疑使用者行為警示,您必須設定 "使用者活動偵測"。 |
警示類型和狀態
警示有兩種狀態: New 或 Inactive 。
警示分為以下幾種類型之一:
-
潛在攻擊:當出現以下情況時、警報將被歸類為潛在攻擊:
-
自主勒索軟體防護偵測到新的副檔名,並且在過去 24 小時內重複出現超過 20 次(預設行為)。
-
偵測到資料外洩。
-
偵測到資料銷毀。
-
-
警告:基於以下行為會出現警告:
-
之前沒有發現過新的擴展,並且相同行為沒有重複足夠多次以將其聲明為攻擊。
-
觀察到高熵。
-
文件讀取、寫入、重新命名或刪除活動比正常水平增加了一倍。
-
|
|
對於 SAN 環境,警告僅基於高熵值。 |
證據基於ONTAP中的自主勒索軟體防護資訊。有關詳細信息,請參閱 "自主勒索軟體防護概述"。
警示狀態
警報事件可以具有以下幾種狀態:
狀態 |
描述 |
新的 |
所有事件在首次發現時都會被標記為「新」。 |
* 正在審核中 * |
您可以在評估警示事件時,手動將其標記為「審核中」。 |
已解除 |
如果您懷疑該活動並非勒索軟體攻擊,您可以將狀態變更為「已駁回」。+ 注意:駁回攻擊後,您將無法恢復其狀態。如果您駁回工作負載,則所有為應對潛在勒索軟體攻擊而自動建立的快照副本都將永久刪除。 |
已解決 |
此事件已修復。 |
* 自動解決 * |
對於低優先級警報,如果在五天內沒有對其採取任何行動,則該事件將自動解決。 |
查看警報
您可以從 Ransomware Resilience 儀表板或 Alerts 標籤存取警報。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員、勒索軟體復原管理員或勒索軟體復原檢視器角色。"了解NetApp Console的勒索軟體復原角色" 。
-
在 Ransomware Resilience 儀表板中、檢視「警示」窗格。
-
選擇其中一個狀態下的「查看全部」。
-
選擇一個警報來查看每個警報的每個磁碟區上的所有事件。
-
若要查看其他警報,請選擇左上角麵包屑中的「警報」。
-
查看警報頁面上的警報。
-
繼續執行下列操作之一:
回覆警報電子郵件
當 Ransomware Resilience 偵測到潛在攻擊時,它會根據使用者在 NetApp Console 設定中配置的訂閱通知偏好,向已訂閱使用者發送電子郵件通知。該電子郵件包含有關警示的資訊,包括嚴重程度和受影響的資源。
|
|
若要在 Console 中設定電子郵件通知,請參閱 "設定電子郵件通知設定"。 |
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員、勒索軟體復原管理員或勒索軟體復原檢視器角色。"了解NetApp Console的勒索軟體復原角色" 。
-
查看電子郵件。
-
在電子郵件中、選取 View alert 並登入 NetApp Ransomware Resilience 。
出現「警報」頁面。
-
檢視每個磁碟區上每個警報的所有事件。
-
若要查看其他警報,請選擇左上角麵包屑中的「警報」。
-
繼續執行下列操作之一:
偵測惡意活動和異常使用者行為
查看「警報」標籤,您可以識別是否有惡意活動或異常使用者行為。
您必須設定使用者活動代理並啟用包含使用者行為偵測的保護策略才能查看使用者層級警報。*可疑使用者*欄位僅在啟用使用者行為偵測後才會顯示在警報儀表板中。若要啟用可疑使用者偵測,請參閱 "可疑的用戶活動"。
查看惡意活動
當 Autonomous Ransomware Protection 在 NetApp Ransomware Resilience 中觸發警示時、您可以檢視下列詳細資料:
-
警示觸發時
-
當存取權限被更改或拒絕時
-
輸入資料的熵
-
預期的新文件創建率與檢測到的速率的比較
-
預期檔案刪除率與偵測率的比較
-
檔案的預期重命名率與偵測到的重命名率的比較
-
受影響的工作負載、磁碟區、檔案和目錄
|
|
這些詳細資訊對於 NAS 工作負載是可見的。對於 SAN 環境,只有熵資料可用。 |
-
從勒索軟體恢復選單中,選擇*警報*。
-
選擇一個警報。
-
查看警報中的事件。
-
選擇一個事件來查看該事件的詳細資訊。
查看異常用戶行為
如果您已設定可疑使用者偵測以查看異常使用者行為,則可以查看使用者級資料並封鎖特定使用者。若要啟用可疑使用者設定,請參閱 "設定代理程式和收集器以偵測使用者活動"。
-
從勒索軟體恢復選單中,選擇*警報*。
-
選擇一個警報。
-
查看警報中的事件。
-
若要封鎖環境中的可疑使用者,請在使用者名稱旁邊選取 Block 。
-
若要停用針對特定使用者的警報(該使用者收到的警報為誤報),請選擇三個點 (
…,然後選擇將此使用者從監控中排除。查看對話框,然後選擇排除進行確認。
-
|
|
若要重新啟用某個使用者的警報,請返回該警報。選擇三個點,然後選擇 Include this user in monitoring。您也可以"排除使用者"從監控。 |
將勒索軟體事件標記為可恢復(事件被消除後)
停止攻擊後,通知您的儲存管理員資料已準備就緒,以便他們可以啟動復原程序。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
-
從勒索軟體恢復選單中,選擇*警報*。
-
在警報頁面中,選擇警報。
-
查看警報中的事件。
-
如果您確定事件已準備好恢復,請選擇*標記需要恢復*。
-
確認操作並選擇*標記需要恢復*。
-
若要啟動工作負載恢復,請在訊息中選擇“恢復*工作負載”或選擇“*恢復”標籤。
將警報標記為恢復後,警報將從「警報」標籤移至「恢復」標籤。
忽略不屬於潛在攻擊的事件
審查事件後,您需要確定該事件是否為潛在的攻擊。如果它們不構成實際威脅,就可以忽略不計。
您可以忽略誤報或決定立即恢復資料。如果您忽略警報,勒索軟體復原能力會學習此行為並將其與正常操作關聯起來,並且不會再次針對此類行為發出警報。
如果您解除工作負載,則為應對潛在勒索軟體攻擊而自動取得的所有快照副本都將永久刪除。
|
如果您關閉警報,則無法變更其狀態或撤銷此變更。 |
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
-
從勒索軟體恢復選單中,選擇*警報*。
-
在警報頁面中,選擇警報。
-
選擇一個或多個事件。或者,選擇表格左上角的「事件 ID」框,選擇所有事件。
-
如果您確定該事件不構成威脅,請將其視為誤報:
-
選擇事件。
-
選擇表格上方的*編輯狀態*按鈕。
-
-
在「編輯狀態」方塊中,選擇「已解僱」狀態。
顯示了有關工作負載和快照副本被刪除的更多資訊。
-
選擇*儲存*。
事件狀態變更為「已駁回」。
查看受影響文件的列表
在檔案層級復原應用程式工作負載之前,您可以查看受影響檔案的清單。您可以造訪警報頁面下載受影響文件的清單。然後使用恢復頁面上傳列表並選擇要恢復的檔案。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
使用「警報」頁面檢索受影響文件的清單。
|
|
如果某個磁碟區有多個警報,您可能需要下載每個警報的受影響檔案的 CSV 清單。 |
-
從勒索軟體恢復選單中,選擇*警報*。
-
在「警報」頁面上,按工作負載對結果進行排序,以顯示要恢復的應用程式工作負載的警報。
-
從該工作負載的警報清單中選擇一個警報。
-
對於該警報,選擇一個事件。
-
對於該事件,選擇下載圖示以 CSV 格式下載受影響文件的清單。