日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Autonomous Ransomware Protectionとの統合

10/14/2025 共同作成者

ONTAP Autonomous Ransomware Protection（ARP）機能は、NAS（NFS および SMB）環境でのワークロード分析を使用して、ランサムウェア攻撃の兆候となる可能性のある異常なファイル内アクティビティをプロアクティブに検出し、警告します。

ARPに関する追加の詳細とライセンス要件については、以下をご覧ください。"ここをクリックしてください。" 。

Workload Security はONTAPと統合して ARP イベントを受信し、追加の分析および自動応答レイヤーを提供します。

Workload Security はONTAPから ARP イベントを受信し、次のアクションを実行します。

ボリューム暗号化イベントとユーザーアクティビティを相関させて、損害の原因を特定します。
自動応答ポリシーを実装する（定義されている場合）
フォレンジック機能を提供します:
- 顧客がデータ侵害の調査を実施できるようにします。
- 影響を受けたファイルを特定し、より迅速な復旧とデータ侵害調査の実施に役立ちます。

前提条件

最小ONTAPバージョン: 9.11.1
ARP 対応ボリューム。 ARPを有効にする方法の詳細については、"ここをクリックしてください。" 。 ARP はOnCommand System Manager経由で有効にする必要があります。 Workload Security では ARP を有効にできません。
Workload Security コレクターは、クラスター IP 経由で追加する必要があります。
この機能が動作するには、クラスターレベルの資格情報が必要です。つまり、SVM を追加するときは、クラスターレベルの認証情報を使用する必要があります。

ユーザー権限が必要です

クラスター管理資格情報を使用している場合は、新しい権限は必要ありません。

ユーザーに権限が付与されたカスタムユーザー (たとえば、csuser) を使用している場合は、以下の手順に従って、Workload Security にONTAPから ARP 関連情報を収集する権限を付与します。

クラスタ認証情報を持つ csuser の場合は、 ONTAPコマンドラインから次の操作を実行します。

security login role create -role csrole -cmddirname "volume" -access readonly
security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly

その他の設定についてはこちら"ONTAP権限"。

サンプルアラート

ARP イベントにより生成されたアラートのサンプルを以下に示します。

ランサムウェアアラートのトップセクション

高信頼バナーは、攻撃がファイル暗号化アクティビティとともにランサムウェアの動作を示していることを示します。暗号化されたファイルのグラフには、ARP ソリューションによってボリューム暗号化アクティビティが検出されたタイムスタンプが示されます。

制限事項

SVM が Workload Security によって監視されていないが、 ONTAPによって ARP イベントが生成されている場合でも、そのイベントは Workload Security によって受信され、表示されます。ただし、アラートに関連するフォレンジック情報やユーザーマッピングは取得または表示されません。

トラブルシューティング

既知の問題とその解決策を次の表に示します。

問題：	解決：
攻撃が検出されてから 24 時間以内に電子メールアラートが受信されます。 UI では、 Data Infrastructure Insights Workload Security が電子メールを受信する 24 時間前にアラートが表示されます。	ONTAP が_Ransomware Detected_ イベントをData Infrastructure Insights Workload Security (Workload Security) に送信すると、電子メールが送信されます。イベントには攻撃のリストとそのタイムスタンプが含まれます。 Workload Security UI には、攻撃を受けた最初のファイルのアラートタイムスタンプが表示されます。 ONTAP は、一定数のファイルがエンコードされると、Ransomware Detected イベントをData Infrastructure Insightsに送信します。したがって、UI にアラートが表示される時間と電子メールが送信される時間には差が生じる可能性があります。

問題：

解決：

攻撃が検出されてから 24 時間以内に電子メールアラートが受信されます。 UI では、 Data Infrastructure Insights Workload Security が電子メールを受信する 24 時間前にアラートが表示されます。

ONTAP が_Ransomware Detected_ イベントをData Infrastructure Insights Workload Security (Workload Security) に送信すると、電子メールが送信されます。イベントには攻撃のリストとそのタイムスタンプが含まれます。 Workload Security UI には、攻撃を受けた最初のファイルのアラートタイムスタンプが表示されます。 ONTAP は、一定数のファイルがエンコードされると、Ransomware Detected イベントをData Infrastructure Insightsに送信します。したがって、UI にアラートが表示される時間と電子メールが送信される時間には差が生じる可能性があります。