为什么WS会阻止用户在WS攻击策略中排除的设备上执行活动?
适用场景
- 工作负载安全性(WS)
- Cloud Insight服务(CI)
- 针对反勒索软件的自动响应攻击策略
问题解答
- 自动响应攻击策略中的设备列表仅适用于在SVM设备上创建受影响卷的快照、具体取决于这些卷是否包含在内。 无论源设备是否包含在设备列表中、都将执行用户阻止以防止进一步的攻击
- 例如:
- 假设有3个SVM数据收集器-使用WS监控xxx、yyy和zzz
- 已实施自动化响应勒索软件攻击策略、其中设备下拉列表仅包含xxx、
Take SnapshotBlock User File Access并同时选择&作为操作 - 在此处、如果WS发现任何来自xxx的攻击、它将在受攻击的受影响卷上创建快照(受影响的卷可在警报页面中查看)
- 如果攻击源自yyy或zzz、则不会在任何卷上创建任何快照
- 但是、只要这3个设备位于WS数据收集器列表中、就会对其执行阻止用户的操作、这样、攻击就无法继续对新设备/卷进行
追加信息
如果不希望从特定Vserver设备中阻止用户、则需要将其从WS中的数据收集器列表中删除