为什么 AIQUM 会同时针对相同卷的 Ransomware Activity Detected 事件触发多个具有 NEW 和 OBSOLETE 状态的邮件警报?
适用于
- ActiveIQ Unified Manager (AIQUM) 9.x
- 所有平台
- 检测到勒索软件活动事件
问题解答
- 这是
Ransomware Activities Detected事件的设计 Ransomware Activities Detected事件是 AIQUM 中的特殊事件,不是本机事件,而是来自 ONTAP EMS 事件callhome.arw.activity.seen- 通常,本机 AIQUM 事件的行为不同,当一个事件已经处于 NEW 状态时,AIQUM 不会多次触发同一事件,除非先前的警报已 obsolete/marked as resolved,即使情况再次发生
- 这是为了避免向警报收件人的邮箱发送相同事件的垃圾邮件。
- 对于 subscribed EMS events (automatic/manual),其行为与本机 AIQUM 事件不同,AIQUM 只要在 ONTAP 中触发相应的 EMS 事件就会触发事件
- 事件在变为 OBSOLETE 之前的保留时间对于自动和手动订阅是不同的
- 对于自动订阅的 EMS,AIQUM 会保留它直到有事件提到较早的情况已被逆转
- 对于手动订阅的 EMS,AIQUM 会在特定时间后将其标记为过时,无论情况状态如何
- 但是
Ransomware Activity Detected是一种特殊情况。它与 EMS 相关,因此每当触发callhome.arw.activity.seen时,我们都会生成一个事件,但由于它既不是自动订阅也不是手动订阅的,并且没有表明活动已结束的计数器事件,AIQUM 将其视为特殊事件,在有新事件后,自动废弃以前的事件,仅保留最新发生的事件 - 在此设置了警报的客户环境将收到两封邮件:第一封说明 NEW(作为
callhome.arw.activity.seen事件的最新发生),第二封说明 OBSOLETE(因为较早的事件由于有新事件而自动过时),这可能会令人困惑,因为看起来 AIQUM 错误地发送Ransomware ActivityDetected getting OBSOLETE 的警报,而事件页面仍然显示为 NEW - 以下屏幕截图解释了该行为:
- 第一个事件发生在 11 月 12 日 17:46,并一直持续到 11 月 13 日 10:23,此时触发了下一个事件:
- 第二个事件发生在 11 月 13 日 10:23,并一直持续到 11 月 13 日 15:14,此时下一个事件触发:
- 第三个事件发生在 11 月 13 日 15:14,一直持续到 11 月 14 日 07:57,此时最新事件触发:
- 最新事件发生在 11 月 14 日 07:57,并且该事件在未来下一个事件发生之前一直保持 NEW 状态:
追加信息
additionalInformation_text