Cybersecurity in AIOps Observability giám sát và so sánh cấu hình của hệ thống PowerMax với một tập hợp các bài kiểm tra đánh giá liên quan đến bảo mật do người dùng lựa chọn. Khi xác định được sự sai lệch giữa cài đặt cấu hình thực tế và mong muốn, CloudIQ chủ động thông báo cho người dùng về vi phạm và cung cấp các bước khắc phục để sửa lỗi. Dựa trên các tiêu chuẩn NIST 800-53 R5 và các biện pháp thực hành tốt nhất của Dell, Cybersecurity in AIOps Observability nhanh chóng và tự động đảm bảo rằng cơ sở hạ tầng lưu trữ được an toàn, để tuân thủ các biện pháp thực hành tốt nhất của ngành.

Cybersecurity trong AIOps Observability có thể được thiết lập để cung cấp thông báo chủ động cho người dùng trong trường hợp có rủi ro về bảo mật cơ sở hạ tầng. Phần Security Advisories của tính năng Cybersecurity thông báo cho người dùng về Dell và Security Advisors có liên quan. Người dùng nhanh chóng thấy tóm tắt về các lỗ hổng cụ thể cho hệ thống và phiên bản của họ cùng với các liên kết đến thông tin chi tiết về biện pháp khắc phục.

AIOps Observability sử dụng công nghệ học máy và phân tích dự đoán để xác định mọi bất thường.

• Các số liệu hiệu suất được so sánh với các giá trị lịch sử để xác định bất kỳ độ lệch nào nằm ngoài phạm vi bình thường.
• Tác động về hiệu suất cũng được phân tích để xác định bất kỳ sự gia tăng nào về độ trễ so với các số liệu khác, chẳng hạn như IOPS và băng thông. Phân tích được thiết kế để xác định xem sự gia tăng độ trễ có phải do đặc điểm khối lượng công việc hay bất kỳ tài nguyên cạnh tranh nào khác gây ra hay không và để xác định nguồn gốc của tác động.
• Phát hiện bất thường về công suất sử dụng bằng cách phân tích mức sử dụng hàng giờ để xác định bất kỳ sự gia tăng đột biến nào về công suất sử dụng.

Hình sau đây cho thấy một ví dụ về phát hiện dị thường độ trễ.

Hình 3.       Độ trễ quan sát AIOps bất thường

Rủi ro hệ thống

System Risk là chế độ xem đa hệ thống cho an ninh mạng. Trang này hiển thị tất cả các hệ thống được bật cho an ninh mạng cùng với mức độ rủi ro, tỷ lệ các bài kiểm tra được bật trong Kế hoạch đánh giá và tóm tắt các vấn đề. Đối với các hệ thống có sự cố ransomware đang hoạt động, Observability sẽ hiển thị biểu ngữ sự cố ransomware màu đỏ trong chế độ xem thẻ. Mức độ rủi ro cung cấp đánh giá tổng thể cho hệ thống dựa trên các bài kiểm tra đánh giá được bật và có một trong các giá trị sau:

• Bình thường

• Không có vấn đề an ninh mạng nào đang diễn ra.

• Thấp

• Một hoặc hai sự cố an ninh mạng mức độ nghiêm trọng thấp đang diễn ra.
• Có ít nhất năm bài kiểm tra được bật và số lượng bài kiểm tra được bật lớn hơn 70%.

• Trung bình

• Một đến năm sự cố an ninh mạng không nghiêm trọng ở mức Cao đang hoạt động, trong đó ít nhất một sự cố ở mức Trung bình và số lượng các cuộc kiểm tra được bật lớn hơn năm.
• Có hơn hai sự cố an ninh mạng mức độ nghiêm trọng thấp đang hoạt động và số lượng các bài kiểm tra được bật lớn hơn năm.

• Cao

• Một hoặc nhiều sự cố An ninh mạng nghiêm trọng đang hoạt động và số lượng các bài kiểm tra được bật lớn hơn năm.
• Hơn năm sự cố không hoạt động ở mức Cao trong đó ít nhất một sự cố có mức độ nghiêm trọng Trung bình và số lượng bài kiểm tra được bật lớn hơn năm.

• Không rõ

• Kế hoạch đánh giá đã bị vô hiệu hóa.
• Số lượng bài kiểm tra được bật nhỏ hơn hoặc bằng năm.
• Không có vấn đề An ninh mạng nào đang diễn ra và số lượng các bài kiểm tra được bật là dưới 70%.
• Có một hoặc hai sự cố An ninh mạng mức độ nghiêm trọng thấp đang diễn ra và số lượng các cuộc kiểm tra được bật ít hơn 70%.

Hình sau đây hiển thị trang Rủi ro hệ thống :

Hình 4.       Trang Rủi ro hệ thống an ninh mạng trong AIOps Observability

Cấu hình sai

Misconfigurations cung cấp danh sách tổng thể các vấn đề an ninh mạng đã được xác định trong môi trường. Tab Active liệt kê tất cả các vấn đề đang hoạt động và cung cấp mức độ nghiêm trọng, tên vấn đề, hệ thống liên quan và thời điểm tạo vấn đề. Mở rộng vấn đề sẽ cung cấp mô tả vấn đề và biện pháp khắc phục được đề xuất, dấu thời gian tạo, họ kiểm soát bảo mật và bài kiểm tra đánh giá. Tab Resolved liệt kê tất cả các vấn đề đã được sửa và dấu thời gian khi vấn đề được giải quyết.

Hình sau đây hiển thị trang Cấu hình sai :

Hình 5.       Trang Cấu hình sai an ninh mạng trong AIOps Observability

Chính sách

Chính sách là nơi người dùng bật, tắt và cấu hình các bài kiểm tra trong Kế hoạch đánh giá. Điều này có thể được thực hiện bằng cách tạo các kế hoạch đánh giá riêng cho từng hệ thống hoặc bằng cách tạo một mẫu và áp dụng cho nhiều hệ thống.

Trang Chính sách liệt kê các hệ thống được hỗ trợ an ninh mạng. Trang này cũng bao gồm thông tin như mẫu liên quan, trạng thái đánh giá, số lượng bài kiểm tra đã chọn, thẻ tùy chỉnh và lần cuối cùng cập nhật kế hoạch đánh giá. Quản trị viên an ninh mạng có thể chỉ định hoặc hủy chỉ định mẫu cho các hệ thống, bật hoặc tắt kế hoạch đánh giá cho các hệ thống hoặc chỉnh sửa kế hoạch đánh giá cho từng hệ thống.

Hình sau đây hiển thị trang Chính sách

Hình 6.       Trang chính sách về An ninh mạng trong AIOps Observability

Có thể chỉnh sửa chính sách để thêm và xóa các bài kiểm tra khỏi kế hoạch đánh giá để thiết lập chính sách cho từng hệ thống riêng lẻ. Các bài kiểm tra đánh giá khả thi được liệt kê và nhóm theo Họ kiểm soát bảo mật (dựa trên NIST 800-53 R5). Mỗi bài kiểm tra có thể được chọn hoặc xóa để đưa vào Kế hoạch đánh giá. Việc chọn biểu tượng Chi tiết sẽ cung cấp mô tả chi tiết về bài kiểm tra.

Hình sau đây hiển thị màn hình chỉnh sửa Kế hoạch đánh giá :

Hình 7.       Kế hoạch đánh giá chính sách an ninh mạng

Tư vấn bảo mật

Security Advisories cung cấp danh sách đầy đủ các khuyến cáo bảo mật áp dụng cùng với tác động của chúng, tóm tắt, thành phần, số lượng hệ thống bị ảnh hưởng và ngày công bố. Nhấp vào siêu liên kết View Article sẽ mở chi tiết bài viết trên trang hỗ trợ của Dell.

Nhấp vào siêu liên kết Advisory ID sẽ mở ra một cửa sổ cung cấp danh sách tất cả các hệ thống bị ảnh hưởng, thành phần bị ảnh hưởng và phiên bản hiện tại của thành phần đó. Cửa sổ này cũng hiển thị thông tin bổ sung về khuyến cáo bảo mật bao gồm danh sách các lỗ hổng và sự cố phổ biến (CVE) được khuyến cáo bảo mật giải quyết. Ngoài ra còn có khả năng xuất các khuyến cáo bảo mật sang tệp CSV.

Hình sau đây hiển thị các Cảnh báo bảo mật:

Hình 8.       Tư vấn bảo mật trong an ninh mạng của AIOps Observability

Sự cố Ransomware

Ransomware Incidents cho phép người dùng PowerMax xác định các sự cố ransomware an ninh mạng gần như theo thời gian thực.

Các cuộc tấn công ransomware thường được mã hóa dữ liệu người dùng bằng mã hóa bất đối xứng. Vì dữ liệu được mã hóa không thể rút gọn, nên các hệ thống PowerMax có thể sử dụng AIOps Observability để giám sát và phân tích dữ liệu rút gọn dữ liệu. Khi được bật trên nhóm lưu trữ, các sự cố ransomware sẽ bước vào giai đoạn học tập, trong đó nó sẽ phân tích các mẫu dữ liệu và thiết lập phạm vi dữ liệu rút gọn/không thể rút gọn dự kiến. Khi giai đoạn học tập hoàn tất, nhóm lưu trữ sẽ chuyển sang giai đoạn phát hiện. Khi Sự gia tăng về lượng dữ liệu không thể rút gọn có thể biểu thị hoạt động đáng ngờ hoặc mối đe dọa ransomware tiềm ẩn. Có thể thiết lập cảnh báo chủ động để thông báo cho người dùng về dữ liệu không thể rút gọn tăng lên có thể biểu thị dữ liệu đang được mã hóa, điều này sẽ cung cấp khả năng phát hiện sớm có thể giảm thiểu khả năng bị lộ.

Trang Ransomware Incidents hiển thị tất cả các sự cố đã xác định và xếp chúng vào một trong ba danh mục: Mới, Điều tra hoặc Đã đóng. Khi một sự cố được xác định lần đầu, nó sẽ xuất hiện trong tab Mới . Mỗi sự cố có ID sự cố, mức độ tin cậy, mã định danh hệ thống, vị trí, số lượng nhóm lưu trữ bị ảnh hưởng và thời gian tạo và cập nhật. Ngoài ra còn có khả năng thêm ghi chú vào từng sự cố. Khi sự cố đã sẵn sàng để phân tích, người dùng có thể chọn sự cố đó và nhấp vào Xác nhận & Điều tra .

Hình sau đây hiển thị trang Sự cố Ransomware :

Hình 9.       Trang chủ Sự cố Ransomware

Lưu ý: Tại thời điểm xuất bản này, tính năng Ransomware Incidents được coi là Beta. Hỗ trợ và phản hồi được thực hiện thông qua liên kết biểu mẫu phản hồi ở trang chính.

Khi sự cố đang được điều tra, bất kỳ bất thường mới nào cũng sẽ kích hoạt một sự cố mới. Trong khi ở trạng thái điều tra, người dùng có thể xem các máy chủ và ứng dụng có khả năng bị ảnh hưởng để xác định xem sự cố có phải là cuộc tấn công ransomware thực sự hay không.

Để hỗ trợ điều tra, người dùng có thể nhấp vào liên kết ID sự cố và xem thông tin chi tiết về nhóm lưu trữ nào gặp phải bất thường cũng như thời điểm tạo và cập nhật lần cuối các bất thường đó.

Hình sau đây cho thấy một sự cố đang được điều tra:

Hình 10.   Sự cố đang được điều tra

Trong màn hình điều tra, người dùng có thể xem số liệu nhóm lưu trữ. Số liệu bao gồm biểu đồ dữ liệu có thể giảm, tính theo mùa trong lịch sử và các bất thường. Có thể xem tối đa ba nhóm lưu trữ cùng một lúc.

Hình sau đây hiển thị số liệu của nhóm lưu trữ:

Hình 11.   Số liệu nhóm lưu trữ

Tab Bất thường cung cấp danh sách từng bất thường dữ liệu có thể giảm thiểu được đã xác định kèm theo dấu thời gian.

Hình sau đây cho thấy những bất thường về dữ liệu có thể giảm thiểu:

Hình 12.   Tab bất thường trong sự cố ransomware

Sau khi quá trình điều tra hoàn tất, người dùng sẽ xác định xem sự cố có phải là cuộc tấn công ransomware hợp lệ đã được giải quyết hay là sự cố giả mạo. Chọn một sự cố rồi nhấp vào Đóng sẽ cung cấp cho người dùng tùy chọn đóng sự cố đó bằng một trong hai tùy chọn.

Hình sau đây cho thấy cách đóng một sự cố:

Hình 13.   Đóng sự cố ransomware.

Xem Phụ lục B: Hướng dẫn khắc phục sự cố quản lý phần mềm tống tiền để biết thêm thông tin hoặc trong trường hợp nghi ngờ có sự cố phần mềm tống tiền.