日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

データソースに対するサイバーセキュリティの推奨事項を管理します

寄稿者

Ransomware Protection Dashboardを使用して、BlueXP(旧Cloud Manager)のすべての作業環境とその他のデータソースのサイバー復元力の概要を確認できます。各領域にドリルダウンすると、詳細および考えられる対処方法を確認できます。

BlueXPの左側のナビゲーションメニューから、* Governance > Ransomware Protection *を選択します。

ランサムウェア対策保護ダッシュボードのスクリーンショット

ランサムウェア攻撃からの保護スコアと推奨アクション

ランサムウェア防御スコアパネルでは、データがランサムウェア攻撃に対する耐障害性を簡単に確認できます。これは、データ セキュリティ の姿勢とサイバーの耐障害性を向上させるために実行することを推奨するすべてのアクションを集約したものです。このパネルは、[推奨されるアクション]パネルと連動します。ランサムウェア防御スコアパネルには、次の2つの部分があります。

  • データの全体的な保護スコア(0~100%保護)。

    スコアは、考えられるすべての推奨事項の加重計算に基づいています。

  • 推奨事項を実施する場合、保護を100%に引き上げるために推奨されるアクションの数。

    推奨される3種類の対処方法は、に従っています "サイバーセキュリティに関するNISTフレームワーク"

    • 保護

    • 検出

    • リカバリ

ランサムウェア防御スコアパネルと推奨アクションパネルを示すスクリーンショット。

このページの例では、「保護」カテゴリに7つの推奨アクションがあります。最初の推奨事項は258ファイルに関連しています。

このパネルでは、Cloud Data Senseに追加された作業環境とデータソースをサポートします。

推奨事項はデータソースごとに適用されます。そのため、3つのデータソースに同じ推奨事項が関連している場合は、3つの推奨事項としてカウントされます。

をクリックできます 下矢印ボタン をクリックして、推奨されるそれぞれのアクションを展開します。

推奨される操作パネルのスクリーンショットが展開され、データソースごとの合計操作数が表示されます。

推奨されるアクションがあると特定されたデータの詳細なリストを表示するには、* Investig*ボタンをクリックします。クラウドデータセンス調査ページにリダイレクトされ、推奨されるアクションの条件を満たすすべてのファイルのリストが表示されます。

その後、推奨される処理をすべてのファイルに適用するか、一部のファイルにのみ適用するかを決定できます。

推奨される対処方法を修正すると、次回のランサムウェア防御スコアパネル(5分ごと)の更新でスコアの数値が調整されます。また、「再スキャン*」ボタンをクリックして、今すぐページを更新することもできます。

推奨される対処方法のリスト

これらは、現在追跡されている推奨処置および推奨される解決策です。

推奨される対処方法 説明 解決策 の可能性があります

幅広い権限を持つXの機密項目の権限を減らします

開いている権限を持つ機密ファイルが、Cloud Data Senseによってデータソースに見つかりました。これには、「組織に対して開く」権限または「公開する」権限を持つ機密データ(個人データおよび機密性の高い個人データ)がすべて含まれます。

各データソースの[Investigation]ボタンをクリックすると、[Data Sense Investigation]ページにリダイレクトされます。このページでは、リスクのあるすべての機密ファイルを表示し、リスクを軽減するための追加のアクションを実行できます。これには、これらのファイルに対する幅広い権限を減らす方法も含まれます。

Xの機密項目をYの保護されていないデータソースから安全な場所に移動します

機密データは、保護されていないデータソースでCloud Data Senseによって検出されています。ランサムウェア攻撃から保護されたソフトウェアでデータを保護できない場所です。通常、IT組織には、特定の企業の場所から機密データを制限するポリシーがあります。この推奨処置により、機密データを含むファイルを特定し、安全なデータソースに移動できます。ここで、センシティブ*を格納できます。

データセンスを使用すると、保護が強化されたデータソースにこれらのファイルをすばやく移動できます。データセンス機能を使用して、を実行します "ソースファイルをNFS共有に移動します"

Yデータソース全体でXオープンCBEにパッチを適用します

パッチを適用していないCVE(Common Vulnerabilities and Exposures)は、オンプレミスのONTAP システムまたはCloud Volumes ONTAP システムで確認されています。これらの問題は、デジタルアドバイザ製品(旧称Active IQ デジタルアドバイザ)がストレージシステムに統合されている場合にのみ特定されます。これらは、CVEの解決に利用できる修正プログラムを備えたネットアップストレージシステム上の既知の脆弱性です。ネットアップのCSEはに記載されています "製品のセキュリティページ"

各データソースの「* Digital Advisor *」ボタンをクリックすると、Digital Advisorの「セキュリティの脆弱性」ページにリダイレクトされます。ここでは、未解決のCVEの詳細と、各CVEを解決するための推奨処置を確認できます。多くの場合、この問題を解決するには、システムのONTAP ソフトウェアをアップグレードします。 "「セキュリティの脆弱性」ページの詳細をご覧ください"

ビジネスクリティカルなデータを設定

ビジネスクリティカルなデータ設定ページでビジネスクリティカルなデータポリシーを定義していません。重要なのは、ランサムウェアによるデータの問題が深刻化する可能性を判断するために、ビジネスクリティカルなデータとして何を検討しているかを特定することです。

をクリックします 下矢印ボタン 推奨事項を展開し、リンクをクリックして、[Business Critical Data Configuration]ページを開きます。次に、ビジネスクリティカルなデータを定義するポリシーを選択できます。 "ビジネスクリティカルなデータポリシーの設定と選択の詳細については、こちらをご覧ください"

サイバーレジリエンスマップ

レジリエンス・マップは、ダッシュボードのメイン領域です。これにより、すべての作業環境とデータソースを視覚的に表示し、関連するサイバー復元情報を表示できます。

ランサムウェア防御ダッシュボードのサイバーレジリエンスマップのスクリーンショット。

マップは 3 つの部分で構成されています。

左パネル

すべてのデータソースについてサービスが監視しているアラートのリストが表示されます。また、環境内でアクティブになっている個々のアラートの数も示します。アラートの種類を 1 つ多く設定することは、そのアラートを先に解決しようとするよい理由になります。

センターパネル

すべてのデータソース、サービス、および Active Directory がグラフ形式で表示されます。正常な環境では、緑のインジケータが表示され、アラートがある環境では赤色のインジケータが表示されます。

右パネル

赤のインジケータが表示されているデータソースをクリックすると、そのデータソースのアラートが表示され、アラートを解決するための推奨事項が提示されます。アラートはソートされて、最新のアラートが最初に表示されます。多くの推奨事項が、問題 を解決できる別のBlueXPサービスにつながります。

これらは、現在追跡されているアラートおよび推奨される対処方法です。

アラート 説明 修正

高いデータ暗号化レートが検出されました

データソースで暗号化ファイルまたは破損ファイルの割合が異常に増加しています。つまり、過去 7 日間の暗号化ファイルの割合が 20% を超えました。たとえば、ファイルの 50% が暗号化されている場合は、この値が 1 日後に 60% に増えてしまうと、このアラートが表示されます。

リンクをクリックしてを起動します "Data Sense Investigation ページ"。ここでは、特定の _ 作業環境 _ および _ カテゴリ(暗号化および破損) _ のフィルタを選択して、すべての暗号化および破損したファイルのリストを表示できます。

広範囲の権限を持つ機密データが見つかりました

機密データがファイルに見つかりました。データソースのアクセス権限レベルが高すぎます。

リンクをクリックしてを起動します "Data Sense Investigation ページ"。ここでは、特定の _ 作業環境 _ 、 _ 感度レベル(機密性の高い個人) _ 、 _ 許可 _ のフィルタを選択して、この問題 を持つファイルのリストを表示できます。

Cloud Backup を使用してバックアップされていないボリュームがあります

を使用して、作業環境内の一部のボリュームが保護されていません "クラウドバックアップ"

リンクをクリックして Cloud Backup を起動し、作業環境にバックアップされていないボリュームを特定してから、それらのボリュームでバックアップを有効にするかどうかを決定します。

データソース内の 1 つ以上のリポジトリ(ボリューム、バケットなど)がデータセンスでスキャンされていません

データソースの一部のデータがを使用してスキャンされていません "クラウドデータの意味" コンプライアンスやプライバシーに関する懸念を特定し、最適化の機会を見つける。

リンクをクリックして Data Sense を起動し、スキャンされていない項目のスキャンとマッピングを有効にします。

組み込みのランサムウェア対策は、ボリュームによってはアクティブにならない場合があります

オンプレミスのONTAP システムにある一部のボリュームにはがありません "ネットアップのランサムウェア対策機能" 有効。

リンクをクリックすると、にリダイレクトされます ONTAP 環境パネルを強化します 問題 を使用して作業環境にアクセスできます。ここで、問題 の修正方法を調査できます。

ONTAP のバージョンが更新されていません

クラスタにインストールされているONTAP ソフトウェアのバージョンが、での推奨事項に従っていません "『 NetApp Security Hardening Guide for ONTAP Systems 』を参照してください"

リンクをクリックすると、にリダイレクトされます ONTAP 環境パネルを強化します 問題 を使用して作業環境にアクセスできます。ここで、問題 の修正方法を調査できます。

一部のボリュームに対してSnapshotが設定されていません

作業環境内の一部のボリュームは、ボリュームSnapshotを作成して保護されていません。

リンクをクリックすると、にリダイレクトされます ONTAP 環境パネルを強化します 問題 を使用して作業環境にアクセスできます。ここで、問題 の修正方法を調査できます。

すべてのSVMでファイル処理の監査が有効になっているわけではありません

作業環境内の一部のStorage VMでファイルシステムの監査が有効になっていません。ファイルに対するユーザのアクションを追跡できるようにすることをお勧めします。

リンクをクリックすると、にリダイレクトされます ONTAP 環境パネルを強化します 問題 を使用して作業環境にアクセスできます。SVMでNASの監査を有効にする必要があるかどうかを調査できます。

ランサムウェアのインシデントがシステムで検出されまし

管理対象システムで検出されたランサムウェアのインシデントは、_Ransomware incidents_panelでアラートとして表示されます。暗号化イベント、疑わしいファイルの拡張子、ランサムウェアのアクティビティ、悪意のあるアクティビティなどが該当します。このパネルには、インシデントのタイプと、問題 を解決するために実行された自動アクションが表示されます。たとえば、ボリュームのSnapshotコピーを生成してクラウドに送信できます。

ランサムウェアインシデントパネルのスクリーンショット。

現在サポートされているのは、Autonomous Ransomware Protection(ARP;自律ランサムウェア保護)を実行しているオンプレミスのONTAP クラスタです。ARPでは、NAS(NFSおよびSMB)環境のワークロード分析を使用して、ランサムウェア攻撃を示す可能性のある異常なアクティビティをプロアクティブに検出し、警告します。 "ONTAP によるランサムウェア対策の詳細をご確認ください"

をクリックできます 下矢印ボタン インシデントを展開して、疑わしいボリュームで識別された暗号化ファイルの数、ファイル拡張子のタイプ、および攻撃が発生した時間を表示します。

ランサムウェアインシデントパネルの展開を示すスクリーンショットには、ボリュームに対する自動アクションが表示されています。

ランサムウェア攻撃からのリカバリを試みる場合は、*[リカバリ]*ボタンをクリックします。これにより、Ransomware Protection Recoveryダッシュボードが表示され、ランサムウェアの影響を受けていない古いSnapshotコピーでボリュームを置き換えることができます。 "リカバリダッシュボードの使用方法を参照してください"

前提条件

  • ONTAP 9.11以降を実行するオンプレミスのONTAP クラスタが必要です。

  • クラスタ内の少なくとも1つのノードに* Anti-Ransomware *ライセンス(ONTAP 9.11.1+)をインストールしておく必要があります。

  • 保護する各ボリュームでARPが有効になっている必要があります。 "『How to enable Autonomous Ransomware Protection』をご覧ください"

  • ネットアップのAutonomous RansProtection(ARP)は、最初の学習期間(「dry run」)を30日間有効にしてから「active mode」に切り替えて、ワークロードの特性を評価し、ランサムウェアによる攻撃の疑いを適切に報告するのに十分な時間を確保しておく必要があります。

暗号化されたファイル別にリストされたデータ

_encrypted Files_panel には ' 暗号化されたファイルの割合が時間の経過に伴う上位 4 つのデータ・ソースが表示されます通常、これらはパスワードで保護されている項目です。過去 7 日間の暗号化率を比較して、 20% を超える増加のデータソースを特定することで、この比較が行われます。この量が増えると、ランサムウェアがすでにシステムに攻撃されている可能性があります。

ランサムウェア対策ダッシュボードの暗号化されたファイルチャートのスクリーンショット。

いずれかのデータソースの行をクリックすると、フィルタリングされた結果が [ データ検出の調査 ] ページに表示され、さらに調査できます。

データの感度が高い上位のデータリポジトリ

Top Data Repositories by Sensitivity Level パネルには、最も機密性の高い項目を含む上位 4 つのデータリポジトリ(作業環境およびデータソース)が表示されます。各作業環境の棒グラフは、次のように分割されています。

  • 機密性のないデータ

  • 個人データ

  • 機密性の高い個人データ

ランサムウェア防御ダッシュボードのデータ感度チャートのスクリーンショット。

各セクションにカーソルを合わせると、各カテゴリの項目の総数を確認できます。

各領域をクリックすると、フィルタリングされた結果が [ データセンス調査 ] ページに表示され、さらに調査できます。

ドメイン管理グループ制御

_Domain Administrative Group control_panelには、ドメイン管理者グループに追加された最新のユーザを表示します。これにより、すべてのユーザがこれらのグループで許可されるかどうかを確認できます。が必要です "グローバル Active Directory を統合" クラウドデータセンスに移行して、このパネルをアクティブにします。

ランサムウェア対策保護ダッシュボードにドメイン管理者として追加されたユーザのスクリーンショット

デフォルトの管理者グループには、「 Administrators 」、「 Domain Admins 」、「 Enterprise Admins 」、「 Enterprise Key Admins 」、および「 Key Admins 」があります。

オープンアクセス権のタイプ別に一覧表示されるデータ

[ アクセス権を開く ] パネルには ' スキャンするすべてのファイルに存在するアクセス権の種類ごとの割合が表示されますこのグラフは Data Sense で提供されており、次の種類の権限が表示されています。

  • オープンアクセスがありません

  • 組織に開く( Open to Organization )

  • [ パブリック ] に移動します

  • 不明なアクセスです

ランサムウェア対策ダッシュボードの暗号化されたファイルチャートのスクリーンショット。

各セクションにカーソルを合わせると、各カテゴリのファイルの割合と合計数を確認できます。

各領域をクリックすると、フィルタリングされた結果が [ データセンス調査 ] ページに表示され、さらに調査できます。

ストレージシステムの脆弱性

_Storage system vulnerabilities _panelには、Active IQ デジタルアドバイザツールが各ONTAP クラスタで検出した高、中、低のセキュリティ脆弱性の総数を示します。システムが攻撃を受けて開かないように、すぐに高脆弱性を確認する必要があります。

前提条件

  • BlueXPコネクタは、クラウドプロバイダではなく、オンプレミスにインストールする必要があります。

  • オンプレミスのONTAP クラスタが必要です

  • クラスタはActive IQ で設定されます

  • クラスタを表示し、Active IQ デジタルアドバイザUIを表示するには、BlueXPで既存のNSSアカウントを登録しておく必要があります。

Active IQ デジタルアドバイザを直接表示するには、BlueXPメニューから* Health > Digital Advisor *を選択します。

ONTAP ストレージシステムのセキュリティの脆弱性の数を示すスクリーンショット。

いずれかのクラスタについて表示する脆弱性のタイプ(高、中、低)をクリックすると、Active IQ デジタルアドバイザのセキュリティの脆弱性ページにリダイレクトされます。(このページの詳細については、を参照してください "Active IQ デジタルアドバイザのドキュメント".) 脆弱性を確認し、推奨される対処方法に従って問題 を解決できます。解決策としては、ポイントリリースまたはフルリリースでONTAP ソフトウェアをアップグレードすることで、この脆弱性が解決される場合があります。

ONTAP システムのセキュリティ設定のステータス

_harden your ONTAP environment_panel では、 ONTAP システムの特定の設定のステータスが提供され、に応じた導入の安全性を追跡します "『 NetApp Security Hardening Guide for ONTAP Systems 』を参照してください" およびを参照してください "ONTAP ランサムウェア対策機能" これにより、異常なアクティビティをプロアクティブに検出して警告します。

推奨事項を確認し、潜在的な問題への対処方法を決定できます。次の手順に従って、クラスタの設定を変更したり、変更を別の時間に延期したり、推奨された設定を無視したりできます。

このパネルは、現時点で、NetApp ONTAP システム用のオンプレミスONTAP 、Cloud Volumes ONTAP 、Amazon FSXをサポートしています。

ランサムウェア防御ダッシュボードでの ONTAP 強化のステータスを示すスクリーンショット。

追跡される設定は次のとおりです。

硬化目標( Hardening Objective ) 説明 修正

ONTAP ランサムウェア対策

組み込みのアンチランサムウェアがアクティブ化されているボリュームの割合。オンプレミスの ONTAP システムにのみ有効です。緑のステータスアイコンは、ボリュームの 85% 以上が有効であることを示しています。黄色は、 40 ~ 85% が有効であることを示します。赤は 40% 未満が有効であることを示します。

"ボリュームでアンチランサムウェアを有効にする方法をご確認ください" System Manager を使用

NAS監査

ファイルシステムの監査が有効になっているStorage VMの数。緑のステータスアイコンは、SVMの85%以上でNASファイルシステムの監査が有効になっていることを示しています。黄色は、 40 ~ 85% が有効であることを示します。赤は 40% 未満が有効であることを示します。

"SVMでNASの監査を有効にする方法を参照してください" CLIを使用する。

ONTAP バージョン

クラスタにインストールされている ONTAP ソフトウェアのバージョン。緑のステータスアイコンは、バージョンが最新であることを示します。黄色のアイコンは、クラスタの更新元がオンプレミスシステムの場合は1つ、2つ、または1つのマイナーバージョンであることを示し、Cloud Volumes ONTAP の場合は1つのメジャーバージョンであることを示しています。赤のアイコンは、クラスタのパッチのバージョンが3つ、マイナーバージョンが2つ、オンプレミスシステムの場合は1つ、Cloud Volumes ONTAP の場合は2つのメジャーバージョンまでであることを示します。

"オンプレミスクラスタをアップグレードする最善の方法をご確認ください" または "Cloud Volumes ONTAP システム"

Snapshot

データボリュームでアクティブ化されている Snapshot 機能であり、ボリュームの何パーセントに Snapshot コピーがあるか。緑のステータスアイコンは、ボリュームの 85% 以上で Snapshot が有効であることを示しています。黄色は、 40 ~ 85% が有効であることを示します。赤は 40% 未満が有効であることを示します。

"オンプレミスクラスタでボリュームSnapshotを有効にする方法をご覧ください"または "Cloud Volumes ONTAP システムで実行します"または "ONTAP システム用のFSX"

重要なビジネスデータに対する権限のステータス

ビジネスクリティカルなデータアクセス権分析パネルには ' ビジネスに不可欠なデータのアクセス権ステータスが表示されますこれにより、ビジネスクリティカルなデータの保護状況を迅速に評価できます。

Ransomware Protection ダッシュボードで管理しているデータの権限ステータスのスクリーンショット

このパネルには、[Business Critical Data Configuration]ページで選択したポリシーに基づいてデータが表示されます。ファイル総数が最も多い2つのビジネスクリティカルポリシーのデータが表示されます。リンクをクリックして、追加のポリシーを表示または定義します。 "ビジネスクリティカルなデータポリシーの設定と選択の詳細については、こちらをご覧ください"

このグラフには、ポリシーの条件を満たすすべてのデータの権限分析が表示されます。次の項目の数が表示されます。

  • 公開アクセス権-データが公開されているとみなす項目

  • 組織へのアクセス権を開く-データが組織に対してオープンであるとみなす項目

  • オープンアクセス権なし-データがオープンアクセス権を持たないと判断する項目

  • 不明な権限-データが不明な権限とみなす項目

グラフの各バーにカーソルを合わせると、各カテゴリの結果の数が表示されます。バーをクリックすると、 [ データセンスの調査 ] ページが表示されます。このページでは、どのアイテムにオープンなアクセス許可があるか、およびファイルのアクセス許可を調整する必要があるかどうかを詳細に調べることができます。

重要なビジネスデータのバックアップステータス

_Backup Status_panelには、Cloud Backupを使用して保護されているデータのカテゴリが表示されます。これにより、ランサムウェア攻撃によってリカバリが必要になった場合に、最も重要なカテゴリのデータを包括的にバックアップする方法がわかります。このデータは、作業環境内の特定のカテゴリの項目数を視覚的に表したものです。

このパネルに表示されるのは、Cloud Backup_アンド_Scannedを使用してすでにバックアップされているオンプレミスONTAP とCloud Volumes ONTAP の作業環境だけです。

Ransomware Protectionダッシュボードで管理しているデータのバックアップステータスのスクリーンショット

最初に、このパネルには、選択したデフォルトのカテゴリに基づいたデータが表示されます。ただし、追跡するデータのカテゴリ(コードファイル、契約など)を選択することもできます。詳細については、のリストを参照してください "カテゴリ" これは、作業環境に適したCloud Data Senseで入手できます。次に、最大4つのカテゴリを選択します。

データが入力されたら、グラフの各四角形の上にカーソルを置くと、作業環境内の同じカテゴリにあるすべてのファイルからバックアップされたファイルの数が表示されます。緑色の四角は、ファイルの85%以上がバックアップされていることを示します。黄色の四角は、ファイルの40%~85%がバックアップされていることを意味します。赤色の四角は、バックアップされるファイルが40%以下であることを意味します。

行の末尾にある* Cloud Backup *ボタンをクリックすると、Cloud Backupインターフェイスに移動して、各作業環境のより多くのボリュームでバックアップを有効にできます。

SnapLock を使用して保護しているボリューム内のデータ

ONTAP ボリュームでNetApp SnapLock テクノロジを使用すると、規制やガバナンスに準拠するために変更不可能な状態でファイルを保管できます。ファイルやSnapshotコピーを「Write Once、Read Many」(WORM)ストレージにコミットし、WORM方式で保護されたデータの保持期間を設定できます。 "SnapLock の詳細については、こちらをご覧ください"

_Criticalデータの不変性_パネルは、ONTAP SnapLock テクノロジを使用してWORMストレージの変更および削除から保護されている作業環境内の項目数を示します。これにより、書き換え不可のコピーがどの程度あるかを確認できるため、ランサムウェアに対するバックアップとリカバリの計画をより詳しく把握できます。

前提条件

  • BlueXPコネクタは、クラウドプロバイダではなく、オンプレミスにインストールする必要があります。

  • オンプレミスのONTAP クラスタが必要です

  • クラスタ内の少なくとも1つのノードに* SnapLock *ライセンスがインストールされている必要があります

ONTAP ストレージシステムの「重要なデータの不変性」パネルのスクリーンショット。

このパネルには、[Business Critical Data Configuration]ページで選択したポリシーに基づいてデータが表示されます。リンクをクリックして、追加のポリシーを表示または定義します。 "ビジネスクリティカルなデータポリシーの設定と選択の詳細については、こちらをご覧ください"

このパネルには、選択したポリシーに一致するデータに関する次の情報が表示されます。

  • SnapLock を使用するように設定されている、スキャンされたすべての作業環境内のビジネスクリティカルファイルの数。

  • スキャンされたすべての作業環境でのビジネスクリティカルファイルの数。ただし、SnapLock 用に設定されたファイルは除きます。これらのファイルには、SnapLock 以外のメカニズムを使用して保護できるものもあります。

以下のフィルタを含むデータセンスポリシーは、重要な検索領域を除外するため、選択したポリシーのドロップダウンには表示されません。

  • 作業環境の名前

  • 作業環境のタイプ

  • ストレージリポジトリ

  • ファイルパス

そのため、_Criticalデータの不変性_パネルで重要なビジネスデータを表示するポリシーを作成する場合は、この点を考慮してください。