Alertes pour la détection des menaces de rançongiciel

IBM Storage FlashSystem utilise un moteur d'inférence IA avancé pour détecter les menaces potentielles de ransomware et transmet ces alertes à IBM Storage Insights. Lorsqu'une menace de ransomware est identifiée, IBM Storage Insights déclenche une alerte pour vous informer du risque potentiel.

Vous pouvez activer ou désactiver les alertes de détection des menaces de ransomware dans IBM Storage Insights en suivant les étapes décrites dans la section Activation et désactivation des alertes de détection des menaces de ransomware. Après avoir activé les alertes de ransomware dans IBM Storage Insights, vous recevrez une notification par courrier électronique aux adresses configurées chaque fois qu'une alerte de menace de ransomware est déclenchée. Cet e-mail contient des détails sur l'attaque potentielle de ransomware et fournit un lien vers l'alerte correspondante dans IBM Storage Insights.

Principales fonctionnalités de l'alerte de détection des menaces de ransomware

1. Rationalisation des alertes pour les systèmes IBM Storage Virtualize :

   IBM Storage Insights déclenche désormais une alerte de menace de ransomware ou une alerte d'anomalie de charge de travail pour le système IBM Storage Virtualize en fonction des conditions de micrologiciel et d'unité FCM suivantes :

   Tableau 1. Exigences en matière de FCM et de version du micrologiciel pour la prise en charge des alertes relatives aux ransomwares et à la détection des anomalies de la charge de travail

   Version du microprogramme	Système de stockage avec au moins un lecteur FCM avec la version 4 ou ultérieure	Système de stockage sans disques FCM
   Inférieur à 8.6.0.0	Aucune menace de ransomware et aucune détection d'anomalie de la charge de travail n'est prise en charge	Aucune menace de ransomware et aucune détection d'anomalie de la charge de travail n'est prise en charge
   8. 8.6.0.0 à moins de 8.6.3.0	Seule la détection des anomalies de la charge de travail est prise en charge	Seule la détection des anomalies de la charge de travail est prise en charge
   8. 8.6.3.0 ou version ultérieure	Seule la détection des menaces de ransomware est prise en charge	Seule la détection des anomalies de la charge de travail est prise en charge
   Remarque : La détection des menaces de ransomware pour les groupes de volumes n'est prise en charge que pour les systèmes de stockage dotés de la version 8.7.2.0 du micrologiciel ou d'une version ultérieure et ayant au moins un lecteur FCM avec la version 4.2 ou une version ultérieure. Pour le système de stockage doté de la version 8.6.0.0 du micrologiciel ou d'une version ultérieure et ayant au moins un lecteur FCM d'une version antérieure à 4, seule la détection des anomalies de la charge de travail est prise en charge.

   Pourquoi cette amélioration ? Cette amélioration simplifie le processus d'alerte en définissant clairement les conditions de déclenchement de chaque type d'alerte. Cette amélioration garantit que les alertes correspondent à la configuration matérielle et logicielle du système, ce qui permet de réduire les faux positifs et de se concentrer sur les événements pouvant donner lieu à une action.

2. Détection élargie des menaces liées aux ransomwares :

   La détection des menaces de ransomware englobe les groupes de volumes, en plus des alertes individuelles basées sur les volumes. Lorsqu'un ransomware est détecté au niveau du groupe, IBM Storage FlashSystem envoie une alerte à IBM Storage Insights, ce qui permet d'identifier et de gérer rapidement les groupes de volumes compromis plutôt que de traiter chaque volume individuellement.

3. Interface utilisateur et indicateurs visuels :
   • La colonne État de la page de détails du volume ou du groupe de volumes affiche des valeurs telles que Menace détectée ou Menace détectée - Accusé de réception
   • La colonne Horodatage de la menace détectée dans la page de détails du volume et du groupe de volumes indique quand l'alerte a été générée.
4. Accès aux alertes de menaces de ransomware
   • Interface utilisateur moderne : Vous pouvez accéder aux alertes de ransomware pour les groupes de volumes à partir des emplacements suivants :
     • Cliquez sur Afficher les alertes de menace de la notification de menace de ransomware.
     • Icône de cloche sur la page d'aperçu. Localisez la tuile d'alerte de menace de ransomware.
   • Interface utilisateur classique : Vous pouvez accéder aux alertes de ransomware pour les groupes de volumes à partir des emplacements suivants :
     • Cliquez sur Aller aux alertes à partir de la notification de menace de ransomware.
     • Tableaux de bord > Alertes.
     • Ressources > Systèmes de stockage en bloc > Alertes.
     • Alertes dans la section Général de la page de détails du système de stockage.
     • Groupe de volume dans la section Ressources internes de la page de détails du système de stockage.
5. Détails sur l'alerte
   • Interface classique : Double-cliquez sur l'alerte dans Tableaux de bord > Alertes pour afficher les systèmes de stockage associés, les tableaux de groupes de volumes, les diagrammes de performances (taux d'E/S de lecture, taux d'E/S d'écriture, taux d'E/S total) et les mesures d'atténuation recommandées.
   • Interface utilisateur moderne : Sur la page d'aperçu, cliquez sur l'icône de la cloche et localisez la page de tuiles d'alerte de ransomware pour afficher des détails similaires.
6. Marquage automatique des volumes concernés

   Lorsqu'une alerte de ransomware est déclenchée au niveau du groupe de volumes, tous les volumes associés sont automatiquement marqués comme étant une menace détectée. L'acquittement de l'alerte au niveau du groupe de volumes marque tous les volumes liés comme acquittés.

7. Gestion des accusés de réception et des alertes

   Vous pouvez acquitter ou annuler l'acquittement des alertes au niveau du groupe de volume et du volume individuel. Si tous les volumes du groupe de volumes sont acquittés, l'état du groupe de volumes indique Menace détectée - Acquitté. Si un volume appartenant au groupe de volumes reste sans accusé de réception, l'état du groupe de volumes indiquera Menace détectée. Pour plus d'informations, voir Accusé de réception d'une alerte de faux positif

8. Protection des instantanés

   Les instantanés créés après une alerte de ransomware sont marqués comme étant compromis jusqu'à ce que l'alerte soit acquittée, ce qui permet d'identifier les problèmes potentiels liés aux sauvegardes. Une fois l'alerte acquittée, les futurs clichés ne sont pas marqués, ce qui indique un retour à un état sûr.

9. Déclaration de faux positifs

   Un mécanisme de retour d'information sur les faux positifs est également disponible pour les alertes de ransomware au niveau du volume et du groupe de volume, ce qui améliore la précision de l'alerte. Soumettre un retour d'information sur les faux positifs des ransomwares

10. Mesures d'atténuation recommandées pour les alertes

    Lorsqu'une alerte de ransomware ou d'anomalie de charge de travail est déclenchée, vous pouvez désormais voir les actions recommandées pour atténuer les problèmes. Les recommandations comprennent la vérification de l'activation du cryptage, la migration des données ou la prise de contact avec l'équipe de sécurité.

    Pour accéder aux recommandations à partir de l'interface utilisateur moderne, cliquez sur l'icône de la cloche dans la page d'aperçu et double-cliquez sur le nom de l'alerte. Le volet des détails de l'alerte s'ouvre. Cliquez sur l'onglet Recommandations pour afficher les actions recommandées.

    Pour accéder aux recommandations à partir de l'interface utilisateur classique, double-cliquez sur le nom de l'alerte dans Tableaux de bord > Alertes. Le volet des détails de l'alerte s'ouvre. Vous pouvez voir la section Recommandations avec les actions suggérées.

    Le fait de proposer des actions directement dans les détails de l'alerte vous permet de réagir rapidement, ce qui améliore l'efficacité du traitement des risques de sécurité potentiels ou des problèmes de performance.

11. Confirmation de l'annulation d'un faux feedback positif

    Lorsque vous résolvez une alerte en tant que faux positif en fournissant un retour d'information et que vous tentez ensuite d'annuler cette action, une demande de confirmation apparaît désormais pour reconfirmer la demande d'annulation.

    Cette amélioration permet d'éviter l'annulation accidentelle du retour d'information sur les faux positifs, ce qui garantit que des données importantes sur le traitement des alertes sont saisies avec précision.

12. Activez ou désactivez la détection des menaces de ransomware en procédant à une sélection multiple :

    Lorsque plusieurs systèmes de stockage sont sélectionnés sur la page d'aperçu des systèmes de stockage dans l'interface utilisateur moderne, vous pouvez désormais voir l'option d'activation ou de désactivation de la détection des menaces de ransomware dans la barre d'opérations multi-sélection. Toutefois, si certains systèmes sélectionnés sont activés pour la détection des ransomwares alors que d'autres ne le sont pas, cette option ne s'affiche pas. Seuls les administrateurs peuvent activer ou désactiver la détection des menaces de ransomware.

    Cette amélioration apporte de la souplesse dans la gestion de la détection des ransomwares sur plusieurs systèmes. En limitant cette option aux configurations cohérentes et aux utilisateurs administrateurs, on évite les erreurs de configuration accidentelles et on maintient le contrôle de la sécurité.

13. Intégration avec IBM Storage Defender et webhook :

    Les alertes de ransomware des groupes de volumes sont transmises à IBM Storage Defender et aux points d'intégration webhook, ce qui garantit une couverture de sécurité complète. Pour plus d'informations, voir l' intégration d' IBM Storage Defender