Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 NetApp Ransomware Resilience 中自動回應使用者活動警報

貢獻者 netapp-ahibbard

NetApp Ransomware Resilience 支援建立自動回應"使用者活動事件"。透過自動回應功能,Ransomware Resilience 可在偵測到攻擊或警告時建立快照或封鎖使用者,從而更迅速地回應勒索軟體事件。

支援加密(使用者行為)、資料外洩和資料銷毀事件的自動回應。在建立自動回應之前,您必須具備 "配置了使用者活動代理,啟用了具有使用者活動偵測功能的原則,並建立了使用者目錄連接器。"

建立自動回應

您只能保護一個儲存 VM,且該 VM 至少需要有一個受可疑使用者行為偵測原則保護的工作負載。

步驟
  1. 在勒索軟體恢復功能中,選擇設定

  2. 在「使用者活動監控」磁貼中,選擇 Manage

  3. 選擇 Automated responses 索引標籤。

  4. 選擇 新增 以建立該行為。

  5. 請輸入自動回覆的名稱

  6. 選擇觸發回應的事件類型:攻擊警告。深入瞭解不同的"警報類型"

  7. 請選擇答案:

    • 封鎖使用者存取:當警報觸發時,該使用者將被封鎖,無法存取所有受 Ransomware Resilience 保護的儲存虛擬機器。

      如果您選擇此選項,則也必須選擇鎖定時長。鎖定時長可以是 1 到 24 小時之間的任意時長,也可以是永久鎖定。

    • 建立快照:為受影響的工作負載建立快照,以便在必要時進行復原。快照將保留七天。

  8. 選擇觸發自動回應的警報類型:

    警報類型

    描述

    加密(使用者行為)

    勒索軟體復原能力可識別特定使用者執行的異常檔案讀取、寫入和重新命名活動。

    資料外洩

    Ransomware Resilience 可偵測特定使用者執行的異常檔案讀取存取模式。

    資料銷毀

    Ransomware Resilience 可偵測到特定使用者大量刪除檔案的行為。

  9. 選擇要套用自動回應的儲存虛擬機器。

  10. 選擇新增以建立自動回應。

修改自動回覆

建立自動回應後,您可以暫停、重新啟動或修改該回應。您可以修改回應名稱、觸發回應的警報類型、儲存 VM 以及採取的動作。

步驟
  1. 在勒索軟體恢復功能中,選擇設定

  2. 在「使用者活動監控」磁貼中,選擇 Manage

  3. 選擇 Automated responses 索引標籤。

  4. 選擇您要修改的自動回覆。

  5. 若要暫停或刪除回應,請選擇操作選單,然後選擇暫停(或開始)或刪除

    若要修改回應,請選擇 Edit

  6. 除了警報嚴重程度之外,您可以修改任何設定。

  7. 選擇 Save 以儲存變更。