使用NetApp Ransomware Resilience處理偵測到的勒索軟體警報
建議變更
PDF
當NetApp Ransomware Resilience偵測到可能的攻擊時,它會在儀表板和通知區域顯示警報。勒索軟體復原能力會立即拍攝快照。查看勒索軟體復原能力*警報*標籤中的潛在風險。
如果勒索軟體復原功能偵測到可能的攻擊,控制台通知設定中會出現通知,並且電子郵件會傳送到設定的位址。電子郵件包含有關嚴重性、受影響的工作負載的信息,以及勒索軟體復原力*警報*標籤中警報的連結。
您可以忽略誤報或決定立即恢復資料。
|
如果您關閉警報,勒索軟體復原功能會了解此行為,將其與正常操作關聯,並且不會再次對其發出警報。 |
要開始恢復數據,請將警報標記為準備好恢復,以便儲存管理員可以開始恢復程序。
每個警報可能包含不同數量和狀態的多個事件。審查所有事件。
勒索軟體復原能力提供了有關導致警報的原因發出的資訊(稱為「證據」),例如:
-
文件擴展名已建立或更改
-
建立文件並比較檢測率與預期率
-
文件刪除,並比較檢測率與預期率
-
當加密程度較高時,無需更改檔案副檔名
警報分為以下類型之一:
-
潛在攻擊:當自主勒索軟體防護偵測到新的擴充功能並且在過去 24 小時內重複發生 20 次以上(預設行為),就會發出警報。
-
警告:基於以下行為會出現警告:
-
之前沒有發現過新的擴展,並且相同行為沒有重複足夠多次以將其聲明為攻擊。
-
觀察到高熵。
-
文件讀取、寫入、重新命名或刪除活動比正常水平增加了一倍。
-
|
對於 SAN 環境,警告僅基於高熵。 |
證據基於ONTAP中的自主勒索軟體防護資訊。有關詳細信息,請參閱 "自主勒索軟體防護概述"。
警報可以具有以下狀態之一:
-
新的
-
不活躍
警報事件可以具有以下狀態之一:
-
新:所有事件在首次發現時均標示為「新」。
-
已解除:如果您懷疑該活動不是勒索軟體攻擊,您可以將狀態變更為「已解除」。
在您駁回攻擊後,您無法將其改回。如果您解除工作負載,則為應對潛在勒索軟體攻擊而自動取得的所有快照副本都將永久刪除。 -
正在駁回:該事件正在被駁回。
-
已解決:該事件已修復。
-
自動解決:對於低優先級警報,如果五天內未採取任何措施,則事件將自動解決。
|
|
如果您在「設定」頁面的「勒索軟體復原」中設定了安全性和事件管理系統 (SIEM),則「勒索軟體復原」會向您的 SIEM 系統發送警報詳細資訊。 |
查看警報
您可以從勒索軟體復原力儀表板或「警報」標籤存取警報。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員、勒索軟體復原管理員或勒索軟體復原檢視器角色。"了解NetApp Console的勒索軟體復原角色" 。
-
在勒索軟體復原力儀表板中,檢視警示窗格。
-
選擇其中一個狀態下的「查看全部」。
-
選擇一個警報來查看每個警報的每個磁碟區上的所有事件。
-
若要查看其他警報,請選擇左上角麵包屑中的「警報」。
-
查看警報頁面上的警報。
-
繼續執行下列操作之一:
回覆警報電子郵件
當勒索軟體彈性偵測到潛在攻擊時,它會根據訂閱用戶的訂閱通知偏好向其發送電子郵件通知。電子郵件包含有關警報的信息,包括嚴重程度和受影響的資源。
您可以接收勒索軟體復原警報的電子郵件通知。此功能可協助您隨時了解警報、警報的嚴重程度以及受影響的資源。
|
|
若要訂閱電子郵件通知,請參閱 "設定電子郵件通知設定"。 |
-
在勒索軟體復原中,前往*設定*頁面。
-
在「通知」下,找到電子郵件通知設定。
-
輸入您想要接收警報的電子郵件地址。
-
儲存更改。
當產生新警報時,您將收到電子郵件通知。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員、勒索軟體復原管理員或勒索軟體復原檢視器角色。"了解NetApp Console的勒索軟體復原角色" 。
-
查看電子郵件。
-
在電子郵件中,選擇「檢視警報」並登入「勒索軟體復原」。
出現「警報」頁面。
-
檢視每個磁碟區上每個警報的所有事件。
-
若要查看其他警報,請點選左上角麵包屑中的「警報」。
-
繼續執行下列操作之一:
偵測惡意活動和異常使用者行為
查看「警報」標籤,您可以識別是否有惡意活動或異常使用者行為。
您必須設定使用者活動代理並啟用具有使用者行為偵測的保護策略才能查看使用者級警報。啟用使用者行為偵測後,*可疑使用者*欄位會出現在警報儀表板中;未啟用使用者行為偵測時則不會顯示。若要啟用可疑使用者偵測,請參閱"可疑的用戶活動"。
|
|
如果您正在使用NetAppData Infrastructure Insights(DII) 工作負載安全,建議您使用相同的工作負載安全代理程式來實現勒索軟體復原。您不需要為勒索軟體復原能力部署單獨的工作負載安全代理,但是,使用相同的工作負載安全代理需要勒索軟體復原能力控制台組織和 DII 儲存工作負載安全租戶之間建立配對關係。請聯絡您的客戶代表以啟用此配對。 |
查看惡意活動
當自主勒索軟體防護在勒索軟體復原中觸發警報時,您可以查看以下詳細資訊:
-
輸入資料的熵
-
預期的新文件創建率與檢測到的速率的比較
-
預期檔案刪除率與偵測率的比較
-
檔案的預期重命名率與偵測到的重命名率的比較
-
受影響的檔案和目錄
|
|
這些詳細資訊對於 NAS 工作負載是可見的。對於 SAN 環境,只有熵資料可用。 |
-
從勒索軟體恢復選單中,選擇*警報*。
-
選擇一個警報。
-
查看警報中的事件。
-
選擇一個事件來查看該事件的詳細資訊。
查看異常用戶行為
如果您已配置可疑使用者偵測來查看異常使用者行為,則可以查看使用者級資料並封鎖特定使用者。若要啟用可疑用戶設置,請參閱"配置勒索軟體抵禦能力設置"。
-
從勒索軟體恢復選單中,選擇*警報*。
-
選擇一個警報。
-
查看警報中的事件。
-
若要封鎖您環境中的可疑用戶,請選擇該用戶名下的「封鎖」。
將勒索軟體事件標記為可恢復(事件被消除後)
阻止攻擊後,通知儲存管理員資料已準備就緒,以便他們可以開始恢復。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
-
從勒索軟體恢復選單中,選擇*警報*。
-
在警報頁面中,選擇警報。
-
查看警報中的事件。
-
如果您確定事件已準備好恢復,請選擇*標記需要恢復*。
-
確認操作並選擇*標記需要恢復*。
-
若要啟動工作負載恢復,請在訊息中選擇“恢復*工作負載”或選擇“*恢復”標籤。
將警報標記為恢復後,警報將從「警報」標籤移至「恢復」標籤。
忽略不屬於潛在攻擊的事件
審查事件後,您需要確定該事件是否為潛在的攻擊。如果它們不是真正的威脅,則可以將其駁回。
您可以忽略誤報或決定立即恢復資料。如果您忽略警報,勒索軟體復原功能會了解此行為,將其與正常操作關聯,並且不會再次針對此類行為發出警報。
如果您解除工作負載,則為應對潛在勒索軟體攻擊而自動取得的所有快照副本都將永久刪除。
|
|
如果您關閉警報,則無法變更其狀態或撤銷此變更。 |
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
-
從勒索軟體恢復選單中,選擇*警報*。
-
在警報頁面中,選擇警報。
-
選擇一個或多個事件。或者,透過選擇表格左上角的事件 ID 方塊來選擇所有事件。
-
如果您確定該事件不構成威脅,請將其視為誤報:
-
選擇事件。
-
選擇表格上方的*編輯狀態*按鈕。
-
-
從編輯狀態方塊中,選擇「已解除」狀態。
將顯示有關工作負載和已刪除快照副本的其他資訊。
-
選擇*儲存*。
一個或多個事件的狀態變為「已解除」。
查看受影響文件的列表
在檔案層級復原應用程式工作負載之前,您可以查看受影響檔案的清單。您可以造訪警報頁面下載受影響文件的清單。然後使用恢復頁面上傳列表並選擇要恢復的檔案。
所需的控制台角色 要執行此任務,您需要組織管理員、資料夾或專案管理員或勒索軟體復原管理員角色。"了解NetApp Console的勒索軟體復原角色" 。
使用「警報」頁面檢索受影響文件的清單。
|
|
如果某個磁碟區有多個警報,您可能需要下載每個警報的受影響檔案的 CSV 清單。 |
-
從勒索軟體恢復選單中,選擇*警報*。
-
在「警報」頁面上,按工作負載對結果進行排序,以顯示要恢復的應用程式工作負載的警報。
-
從該工作負載的警報清單中選擇一個警報。
-
對於該警報,選擇一個事件。
-
對於該事件,選擇下載圖示以 CSV 格式下載受影響文件的清單。