Entdecken Sie die neuesten Verbesserungen bei der Anomalieerkennung mit Dell PowerProtect Data Manager 19.22. Mit dieser Version wird eine dedizierte Seite zur Erkennung von Anomalien für die rationalisierte Untersuchung von Ransomware und die zentralisierte Bedrohungsanalyse eingeführt. Erfahren Sie, wie Sie Berichte erzeugen, Kopien unter Quarantäne stellen und Ausschlüsse über eine Oberfläche konfigurieren. Wir behandeln auch die neue Standardregel für die Erkennung von Anomalien, die globale Ausschlüsse ermöglicht, um falsch positive Ergebnisse in Ihrer gesamten Umgebung zu reduzieren. Sehen Sie sich an, wie diese Funktionen die Sicherheit verbessern und das Management vereinfachen.
Hallo und herzlich willkommen. Ich bin Sonali vom technischen Marketing-Engineering-Team. In diesem Video sprechen wir über die Verbesserung der Anomalieerkennung in Dell PowerProtect Data Manager 19.22. Die Voraussetzungen für die Anomalieerkennung in PowerProtect Data Manager bleiben also gleich.
Das heißt, der Suchcluster sollte konfiguriert und aktiv sein. Und die Indexierung muss in der Schutz-Policy aktiviert sein. Wir unterstützen auch in dieser neuen Version weiterhin virtuelle Maschinen, Dateisysteme und NAS-Workloads. Sprechen wir nun über die Neuerungen in Version 19.22. Das erste, was wir in dieser Version einführen, ist die dedizierte Seite für die Erkennung von Anomalien, die auf der Benutzeroberfläche unter "Administration" > "Anomaly detection" verfügbar sein wird, wie hier zu sehen ist. Außerdem führen wir globale Ausschlüsse über die Standardregel für die Erkennung von Anomalien ein. Dies ist auch auf derselben Seite unter der Registerkarte "Settings" verfügbar. Sehen wir uns nun die einzelnen Verbesserungen im Detail an. Beginnen wir mit der dedizierten Seite für die Erkennung von Anomalien.
Mit der speziellen Seite für die Erkennung von Anomalien werden die Ransomwareuntersuchung und die intelligente Reaktion auf Bedrohungen durch ein zentrales Anomaliemanagement optimiert. Jetzt können wir die Analyse von Anomalien durchführen, indem wir einen Bericht erzeugen und herunterladen und die Korrekturmaßnahmen ergreifen, z. B. die Kopie als verifiziert gespeichert oder unter Quarantäne gestellt kennzeichnen oder falsch positive Ergebnisse melden, indem wir Ausschlüsse über eine zentrale Schnittstelle konfigurieren. Damit würde die Backupumgebung in eine Plattform für Security Intelligence umgewandelt. Sehen wir uns nun an, wo sich diese dedizierte Seite auf der grafischen Benutzeroberfläche von PowerProtect Data Manager befindet. Melden wir uns also bei PowerProtect Data Manager an und rufen die Seite "Administration" zur Erkennung von Anomalien auf. Das ist unsere dedizierte Seite für die Anomalieerkennung, auf der wir die Registerkarte "Analyse" und "Einstellungen" haben. Unter "Analysis" finden wir unter "Assets" alle Ressourcen, bei denen die Anomalieerkennung gemäß der Policy aktiviert ist. Um eine Ressource auszuwählen, können wir auf View Copy klicken, um die Kopien für diese bestimmte Ressource anzuzeigen. Wir können eine Kopie als sicher oder isoliert markieren, je nachdem, welche Analyse wir durchführen, indem wir den Bericht erzeugen und dann herunterladen. Hier sehen wir auch den Anomalieschweregrad, der durch jede dieser Kopien ausgelöst wird, und der letzte Anomalienschweregrad der Kopie ist das, was Sie sogar in der Ressource sehen. Hier analysieren wir also den Bericht, den wir gerade heruntergeladen haben. Sobald die Analyse abgeschlossen ist, können wir zurückgehen und diese Kopie als sicher in Quarantäne markieren. Nehmen wir also an, wir markieren die Kopie und möchten sie weiter untersuchen. Wir geben auch einen Hinweis an, wenn wir eine Kopie als für die Quarantäne gespeichert markieren, um all dies unter Audit zu erfassen. Hier kennzeichnen wir es als Quarantäne für weitere Untersuchungen. Also werden wir das notieren. Und jetzt kann dieselbe Kopie auch über dieselbe zentralisierte Seite wiederhergestellt werden. So kann sogar die Restaurierung von hier aus durchgeführt werden. Sie würden also sehen, dass der "Restore"-Assistent gleich bleibt.
Alle "Zwecke" bleiben gleich. Beim Wiederherstellen des Wiederherstellungsspeicherorts bleibt im Fensterbereich "Restore" alles gleich. Hier sehen wir, dass wir es auf einer neuen VM wiederherstellen, die als "Restore_VM_Quarantine_Copy" bezeichnet wird, und wir werden auch einen Hinweis bereitstellen, dass wir dies für weitere Untersuchungen tun. Daher werden wir diese Wiederherstellung ab sofort abbrechen. Es war nur zum Präsentieren. Und dann zeigen wir Ihnen, dass wir die Analyse auch auf der Bestandsebene oder der Registerkarte "Asset" durchführen können, indem wir auf den Bericht klicken. Von hier aus kann auch ein Generieren oder Herunterladen durchgeführt werden. Außerdem können wir hier auf dieser Seite filtern und sowohl den Ressourcentyp als auch den Schweregrad der Anomalie verwenden. All das kann getan und angewendet werden, und wir werden hier sehen. Daher habe ich ab sofort alle Assets der VM gefiltert. Ich möchte Ihnen hier die Auditprotokolle zeigen.
Alles, was wir auf unserer zentralisierten Seite tun, wird auch geprüft und in den Auditprotokollen von PowerProtect Data Manager aufgezeichnet, sodass wir eine aufgezeichnete Kopie unter Quarantäne gestellt und notiert haben. Sehen wir uns nun die zweite Verbesserung an, die "Default Anomaly Detection Rule". Standardmäßig kann der Nutzer der Anomalieerkennungsregel also die standardmäßige globale Ausschluss-Policy für die Anomalieerkennung für alle Ressourcen erstellen, die in einer Policy vorhanden sind, in der die Anomalieerkennung aktiviert ist. Auf diese Weise werden falsch positive Ergebnisse in der gesamten Umgebung mit diesen Ausschlüssen auf Policy-Ebene reduziert. Gehen wir nun einen Schritt zurück, um zu erklären, was im Hintergrund geschieht, wenn die Standardregel für die Erkennung von Anomalien initiiert oder erstellt wird. In der Regel für die Erkennung von Anomalien werden alle eindeutigen Muster und der als Anomalien erkannte Systemkontext zusammengefasst und in einer einzigen Gruppe zusammengefasst. Dadurch wird eine globale Standardregel für die Anomalieerkennung erstellt. Abgesehen davon bietet es auch Flexibilität für Änderungen auf Bestandsebene. Das bedeutet, dass vorhandene Nutzer selbst mit der Standardregel bei Bedarf später noch Ausschlüsse auf Asset-Ebene hinzufügen können. Sehen wir uns nun an, wie diese Regel für die Erkennung von Anomalien erstellt wird und wo sie sich tatsächlich befindet. Wir rufen die dedizierte Seite "Anomaly Detection" unter "Administration" und "Anomaly Detection" auf. Auf der Registerkarte "Settings" können wir unsere Regel zur Erkennung von Anomalien erstellen. Sobald wir darauf klicken, wird der Initiierungsprozess gestartet, in dem alle bereits auf Bestandsebene vorhandenen Konfigurationen zusammengefasst werden. Und wenn wir das tun, bedeutet das nicht, dass wir nicht auch Ausschlüsse auf der Ebene der Vermögenswerte durchführen können.
Wir können dies jederzeit zu einem späteren Zeitpunkt tun, wenn dies für jede Ressource erforderlich ist. Wir können die erstellte Regel jederzeit bearbeiten, indem wir sie ändern. Standardmäßig wird also eine Empfindlichkeit als niedrig verwendet. Und das sind all die einzigartigen Muster, die es erkannt hat. Wenn wir also Änderungen daran vornehmen müssen, können wir sie gemäß den Anforderungen der Umgebung modifizieren. Speichern wir diese Regel. Wir können diese Anomalieerkennung auch über die Ressource konfigurieren, wie wir zu einem späteren Zeitpunkt für die von uns vorgenommenen Ausschlüsse gesagt haben. Wir können also in einem Pop-up-Fenster angeben, ob wir die Regel "Anomaly Detection" verwenden oder einen bestimmten Ausschluss für diese bestimmte Ressource vornehmen möchten.
Wenn wir also den bestandsspezifischen Ausschluss vornehmen, werden wir aufgefordert, die gleichen Ausschlüsse, die Systembeständigkeit und die Dateimustereinschlüsse zu verwenden, und wir können die Änderung entsprechend vornehmen. Wir haben also die Wahl, ob wir Ausschlüsse auf Bestandsebene oder die Standardregel "globale Ausschlüsse" verwenden möchten. Alles, was wir tun, auch auf unserer dedizierten Seite für die Standardregel "Anomalie Erkennung", wird im Auditprotokoll aufgezeichnet. Wenn wir also eine Regel erstellen oder wenn wir die Regel aktualisieren oder ändern, wird alles in diesem Auditprotokoll aufgezeichnet. Das war also die Standardregel für die Anomalieerkennung, die wieder auf der dedizierten Seite verfügbar ist. Vielen Dank für Ihre Aufmerksamkeit.
