日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Secure :攻撃のシミュレーション

このページの手順を使用して、付属の Cloud Secure ランサムウェアシミュレーションスクリプトを使用して、 Cloud Secure のテストまたはデモを行う攻撃をシミュレートできます。

始める前に注意してください

  • ランサムウェアシミュレーションスクリプトは Linux でのみ動作します。

  • このスクリプトは、 Cloud Secure エージェントのインストールファイルに付属しています。Cloud Secure エージェントがインストールされているすべてのマシンで使用できます。

  • このスクリプトは、 Cloud Secure エージェントマシン自体で実行できます。他の Linux マシンを準備する必要はありません。ただし、スクリプトを別のシステムで実行する場合は、スクリプトをコピーしてそこで実行するだけです。

サンプルファイルを 1 、 000 個以上用意してください

このスクリプトは、暗号化するファイルが格納されたフォルダを含む SVM で実行する必要があります。フォルダとサブフォルダには、少なくとも 1 、 000 個のファイルを含めることをお勧めします。ファイルは空にできません。ファイルを作成したり、同じユーザを使用して暗号化したりしないでください。Cloud Secure では、これはリスクの低いアクティビティとみなされるため、アラートは生成されません(つまり、同じユーザが作成したファイルを変更した場合)。

手順については、以下を参照してください "プログラムによって空でないファイルを作成します"

システムを準備

まず、ターゲットボリュームをマシンにマウントします。NFS マウントまたは CIFS エクスポートをマウントできます。

Linux で NFS エクスポートをマウントするには、次の手順を実行

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

NFS バージョン 4.1 はマウントしないでください。 FPolicy ではサポートされていません。

Linux で CIFS をマウントするには、次の手順を

 mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
次に、 Data Collector をセットアップします。
  1. Cloud Secure エージェントがまだ設定されていない場合は設定します。

  2. SVM データコレクタが設定されていない場合は設定します。

ランサムウェアシミュレータスクリプトを実行します

  1. Cloud Secure エージェント・マシンにログイン( ssh )します。

  2. /opt/NetApp/cloudsecure/agent/install_に 移動します

  3. パラメータを指定せずにシミュレータスクリプトを呼び出し、使用状況を確認します。

    # pwd
    /opt/netapp/cloudsecure/agent/install
    # ./ransomware_simulator.sh
    Error: Invalid directory  provided.
    Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>]
           -e to encrypt files (default)
           -d to restore files
           -i <input_directory> - Files under the directory to be encrypted
    Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/
    Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/

テストファイルを暗号化します

ファイルを暗号化するには、次のコマンドを実行します。

# ./ransomware_simulator.sh -e -i /root/for/
Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key,
which can be used for restoring the files.
Encrypted /root/for/File000.txt
Encrypted /root/for/File001.txt
Encrypted /root/for/File002.txt
...

ファイルをリストアします

復号化するには、次のコマンドを実行します。

[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/
File /root/for/File000.txt is restored.
File /root/for/File001.txt is restored.
File /root/for/File002.txt is restored.
...

スクリプトを複数回実行します

ユーザがランサムウェア攻撃を受けた場合は、別のユーザに切り替えて攻撃を受けます。Cloud Secure はユーザの行動を学習し、ランサムウェア攻撃が繰り返された場合に同じユーザにアラートを送信しません。

プログラムでファイルを作成します

ファイルを作成する前に、データコレクタの処理を停止する必要があります。データコレクタをエージェントに追加する前に、次の手順を実行します。データコレクタをすでに追加している場合は、データコレクタを編集し、無効なパスワードを入力して保存します。これにより、データコレクタが一時的にエラー状態になります。注意:元のパスワードを必ずメモしてください。

シミュレーションを実行する前に、暗号化するファイルを追加する必要があります。暗号化するファイルを手動でターゲットフォルダにコピーするか、スクリプト(以下の例を参照)を使用してプログラムでファイルを作成することができます。どちらの方法を使用した場合も、 1 、 000 個以上のファイルをコピーしてください。

プログラムでファイルを作成する場合は、次の手順を実行します。

  1. [ エージェント ] ボックスにログインします。

  2. Filer の SVM から Agent マシンに NFS エクスポートをマウントします。CD をそのフォルダに移動します。

  3. このフォルダに、 createfiles.sh という名前のファイルを作成します

  4. 次の行をそのファイルにコピーします。

    for i in {000..1000}
    do
       echo hello > "File${i}.txt"
    done
    echo 3 > /proc/sys/vm/drop_caches ; sync
  5. ファイルを保存します。

  6. ファイルに対する実行権限を確認します。

     chmod 777 ./createfiles.sh
    . スクリプトを実行します。
    ./createfiles.sh

    現在のフォルダには 1000 個のファイルが作成されます。

  7. データコレクタを再度有効にします

    手順 1 でデータコレクタを無効にした場合は、データコレクタを編集し、正しいパスワードを入力して保存します。データコレクタが running 状態であることを確認します。