Alertes pour la détection des menaces de rançongiciel

IBM Storage FlashSystem utilise un moteur d'inférence IA avancé pour détecter les menaces potentielles de ransomware et transmet ces alertes à IBM Storage Insights. Lorsqu'une menace de ransomware est identifiée, IBM Storage Insights déclenche une alerte pour vous informer du risque potentiel.

La détection des menaces de ransomware est activée par défaut dans IBM Storage Insights. Lorsqu'une alerte de menace de ransomware est déclenchée, une bannière de notification rouge apparaît sur toutes les pages de l'interface graphique. Une notification par e-mail est également envoyée aux adresses e-mail configurées. L'e-mail contient des informations détaillées sur l'activité potentielle du ransomware et un lien vers l'alerte correspondante dans IBM Storage Insights. Vous pouvez activer ou désactiver les alertes de détection des menaces de ransomware en suivant les étapes décrites dans la section Activation et désactivation des alertes de détection des menaces de ransomware.

Remarque :
  • La détection des menaces de ransomware au niveau du volume n'est prise en charge que pour les systèmes IBM Storage Virtualize qui remplissent toutes les conditions suivantes :
    • Les ressources sont contrôlées par Call Home avec des services en nuage.
    • Disponible pour la version 4 ou ultérieure du FCM, pour les systèmes de stockage à base de disques.
    • Requiert la version 8.6.3.0 du micrologiciel ou une version ultérieure.
  • La détection des menaces de ransomware pour les groupes de volumes n'est prise en charge que pour les systèmes IBM Storage Virtualize qui remplissent toutes les conditions suivantes :
    • Les ressources sont contrôlées par Call Home avec des services en nuage.
    • Disponible pour FCM4 version 4.2 ou ultérieure, pour les systèmes de stockage à base de disques.
    • Requiert la version 8.7.2.0 du micrologiciel ou une version ultérieure.
    • Exclusif à IBM Storage Insights Pro Non disponible pour la version gratuite d' IBM Storage Insights.

Détection des menaces de ransomware pour les DS8000 systèmes

IBM Storage Insights a commencé à prendre en charge les alertes de détection des menaces de ransomware pour les systèmes (version du micrologiciel ou ultérieure) DS8000 pour les systèmes (version du micrologiciel R10.1 ou ultérieure).
  1. Phase 1 (actuelle) : IBM Storage Insights reçoit des alertes de détection de menaces de ransomware de la part des systèmes et les affiche dans l'interface graphique DS8000 des systèmes et les affiche dans l'interface graphique. Ces alertes ne sont visibles que par le service d'assistance IBM à des fins d'apprentissage et de validation. Vous ne recevez pas d'alertes de détection de menaces de ransomware au cours de cette phase.
  2. Phase 2 (future) : IBM Storage Insights continue de recevoir des alertes de détection de menaces de ransomware de la part des systèmes de l'entreprise et vous les affiche DS8000 et affiche les alertes.

Principales fonctionnalités de l'alerte de détection des menaces de ransomware

  • Rationalisation des alertes pour les systèmes IBM Storage Virtualize :

    IBM Storage Insights déclenchera soit une alerte de détection de menace par ransomware, soit une alerte d'anomalie de charge de travail pour IBM Storage Virtualize le système en fonction des conditions suivantes du micrologiciel et du lecteur FCM :

    Tableau 1. Exigences en matière de FCM et de version du micrologiciel pour la prise en charge des alertes relatives aux ransomwares et à la détection des anomalies de la charge de travail
    Version du microprogramme Système de stockage avec tous les lecteurs FCM fonctionnant avec la version 4 ou ultérieure Système de stockage sans disques FCM
    Inférieur à 8.6.0.0 Aucune menace de ransomware et aucune détection d'anomalie de la charge de travail n'est prise en charge Aucune menace de ransomware et aucune détection d'anomalie de la charge de travail n'est prise en charge
    8. 8.6.0.0 à moins de 8.6.3.0 Seule la détection des anomalies de la charge de travail est prise en charge Seule la détection des anomalies de la charge de travail est prise en charge
    8. 8.6.3.0 ou version ultérieure Seule la détection des menaces de ransomware est prise en charge Seule la détection des anomalies de la charge de travail est prise en charge
    Remarque :
    1. La détection des menaces de ransomware pour les groupes de volumes n'est prise en charge que sur les systèmes de stockage exécutant la version 8.7.2.0 ou ultérieure du micrologiciel. Les volumes doivent être créés dans un pool de stockage qui utilise des disques FCM de version 4.2 ou ultérieure, et les MDisks sous-jacents doivent être configurés en RAID 1 ou RAID 6.
    2. Pour les systèmes de stockage dotés de la version du micrologiciel 8.6.0.0 ou d'une version ultérieure, et dont tous les lecteurs FCM ont une version antérieure à 4, seule la détection des anomalies de la charge de travail est prise en charge.
  • Détection élargie des menaces liées aux ransomwares :

    La détection des menaces de ransomware englobe les groupes de volumes, en plus des alertes individuelles basées sur les volumes. Lorsqu'un ransomware est détecté au niveau du groupe, IBM Storage FlashSystem envoie une alerte à IBM Storage Insights, ce qui permet d'identifier et de gérer rapidement les groupes de volumes compromis plutôt que de traiter chaque volume individuellement.

  • Interface utilisateur et indicateurs visuels :
    • La colonne État de la page de détails du volume ou du groupe de volumes affiche des valeurs telles que Menace détectée ou Menace détectée - Accusé de réception
    • La colonne Horodatage de la menace détectée dans la page de détails du volume et du groupe de volumes indique quand l'alerte a été générée.
  • Marquage automatique des volumes concernés

    Lorsqu'une alerte de ransomware est déclenchée au niveau du groupe de volumes, tous les volumes associés sont automatiquement marqués comme étant une menace détectée. L'acquittement de l'alerte au niveau du groupe de volumes marque tous les volumes liés comme acquittés.

  • Gestion des accusés de réception et des alertes

    Vous pouvez acquitter ou annuler l'acquittement des alertes au niveau du groupe de volume et du volume individuel. Si tous les volumes du groupe de volumes sont acquittés, l'état du groupe de volumes indique Menace détectée - Acquitté. Si un volume appartenant au groupe de volumes reste sans accusé de réception, l'état du groupe de volumes indiquera Menace détectée. Pour plus d'informations, consultez la section Reconnaître une alerte faussement positive.

  • Protection des instantanés

    Les instantanés créés après une alerte de ransomware sont marqués comme étant compromis jusqu'à ce que l'alerte soit acquittée, ce qui permet d'identifier les problèmes potentiels liés aux sauvegardes. Une fois l'alerte acquittée, les futurs clichés ne sont pas marqués, ce qui indique un retour à un état sûr.

  • Déclaration de faux positifs

    Un mécanisme de retour d'information sur les faux positifs est également disponible pour les alertes de ransomware au niveau du volume et du groupe de volume, ce qui améliore la précision de l'alerte. Soumettre un retour d'information sur les faux positifs des ransomwares

  • Intégration avec IBM Storage Defender et webhook :

    Les alertes de ransomware des groupes de volumes sont transmises à IBM Storage Defender et aux points d'intégration webhook, ce qui garantit une couverture de sécurité complète. Pour plus d'informations, voir IBMStorage Defender intégration