セキュリティ
ONTAP によるランサムウェア対策との統合
変更を提案
PDF
ONTAP の自律的ランサムウェア対策(ARP)機能は、NAS(NFSおよびSMB)環境におけるワークロード分析を使用して、ランサムウェア攻撃を示す可能性のある異常なインファイルアクティビティをプロアクティブに検出して警告します。
ARPに関する詳細およびライセンス要件については、を参照してください "こちらをご覧ください"。
ワークロードセキュリティは、ONTAP と統合してARPイベントを受信し、追加の分析と自動応答レイヤを提供します。
ワークロードセキュリティは、ONTAP からARPイベントを受信し、次の処理を行います。
-
ボリューム暗号化イベントとユーザアクティビティを関連付けて、破損の原因となっているユーザを特定します。
-
自動応答ポリシーを実装する(定義されている場合)
-
フォレンジック機能を提供:
-
お客様がデータ侵害の調査を実施できるようにします。
-
影響を受けたファイルを特定し、迅速なリカバリとデータ侵害の調査に役立ちます。
-
前提条件
-
最小ONTAP バージョン:9.11.1
-
ARPが有効なボリューム。ARPをイネーブルにする方法の詳細は、を参照してください "こちらをご覧ください"。 ARPは、OnCommand システムマネージャを介して有効にする必要があります。ワークロードセキュリティでARPを有効にすることはできませ
-
ワークロードセキュリティコレクタはクラスタIPを介して追加する必要があります。
-
この機能を使用するには、クラスタレベルのクレデンシャルが必要です。つまり、SVMを追加するときはクラスタレベルのクレデンシャルを使用する必要があります。
ユーザ権限が必要です
クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。
ユーザに付与された権限でカスタムユーザ(_csuser_など)を使用している場合は、次の手順に従ってワークロードセキュリティにアクセス許可を付与し、ONTAP からARP関連情報を収集します。
クラスタクレデンシャルを使用する_csuser_withの場合、ONTAP コマンドラインから次の操作を実行します。
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
その他の設定について詳しくは、こちらをご覧ください "ONTAP 権限"。
アラートの例
ARPイベントにより生成されたアラートの例を次に示します。
信頼性の高いバナーは、攻撃がランサムウェアの挙動とファイル暗号化のアクティビティを示していることを示しています。
暗号化ファイルのグラフには、ARP解決策 によってボリューム暗号化アクティビティが検出されたタイムスタンプが示されます。
制限
SVMがワークロードセキュリティで監視されていないものの、ONTAP によって生成されたARPイベントがある場合、ワークロードセキュリティはイベントを受信して表示します。ただし、アラートに関連するフォレンジック情報およびユーザーマッピングはキャプチャまたは表示されません。
トラブルシューティング
既知の問題とその解決策を次の表に示します。
| 問題 | 解決策: |
|---|---|
電子メールアラートは、攻撃が検出されてから24時間後に受信されます。UIにはアラートが24時間前に表示され、その日にCloud Insights ワークロードセキュリティからEメールが受信されます。 |
ONTAP がCloud Insights ワークロードセキュリティ(ワークロードセキュリティ)に_ランサムウェアDetected _ Eventを送信すると、Eメールが送信されます。イベントには、攻撃のリストとタイムスタンプが含まれます。Workload Security UIには、攻撃を受けた最初のファイルのアラートタイムスタンプが表示されます。ONTAP は、特定の数のファイルがエンコードされたときに、_ランサムウェアDetected _ EventをCloud Insights に送信します。 |