アラート
変更を提案
PDF
「ワークロード セキュリティ アラート」ページには、最近の攻撃や警告のタイムラインが表示され、各問題の詳細を表示できます。
アラート
アラート リストには、選択した時間範囲内で発生した潜在的な攻撃および/または警告の合計数を示すグラフと、その時間範囲内で発生した攻撃および/または警告のリストが表示されます。グラフ内の開始時間と終了時間のスライダーを調整することで、時間範囲を変更できます。
各アラートには次の内容が表示されます。
潜在的な攻撃:
-
_潜在的な攻撃_の種類(例:ランサムウェアや妨害行為)
-
潜在的な攻撃が_検出された_日時
-
アラートの_ステータス_:
-
新規: これは新しいアラートのデフォルトです。
-
進行中: アラートはチームメンバーによって調査中です。
-
解決済み: アラートはチーム メンバーによって解決済みとしてマークされました。
-
無視: アラートは誤検知または予期された動作として無視されました。
管理者はアラートのステータスを変更し、調査に役立つメモを追加できます。
-
-
アラートをトリガーした行動をした_ユーザー_
-
攻撃の_証拠_(例えば、大量のファイルが暗号化された)
-
実行されたアクション(例:スナップショットが取得された)
警告:
-
警告を引き起こした異常な行動
-
行動が_検出された_日時
-
アラートのステータス(新規、進行中など)
-
アラートをトリガーした行動をした_ユーザー_
-
変更の説明(例:ファイルアクセスの異常な増加)
-
取られた行動
フィルターオプション
アラートは次のようにフィルタリングできます。
-
アラートのステータス
-
Note 内の特定のテキスト
-
_攻撃/警告_の種類
-
アラート/警告を引き起こしたユーザー
アラートの詳細ページ
アラート リスト ページのアラート リンクをクリックすると、アラートの詳細ページが開きます。アラートの詳細は、攻撃またはアラートの種類によって異なる場合があります。たとえば、ランサムウェア攻撃の詳細ページには次のような情報が表示される場合があります。
概要セクション:
-
攻撃の種類(ランサムウェア、妨害行為)とアラートID(Workload Securityによって割り当てられる)
-
攻撃が検出された日時
-
実行されたアクション (たとえば、自動スナップショットが取得されました)。スナップショットの時刻は、概要セクションのすぐ下に表示されます。
-
ステータス(新規、進行中など)
攻撃結果セクション:
-
影響を受けるボリュームとファイルの数
-
検出結果の要約
-
攻撃中のファイルアクティビティを示すグラフ
関連ユーザーセクション:
このセクションには、ユーザーのトップアクティビティのグラフなど、潜在的な攻撃に関与したユーザーの詳細が表示されます。
アラート ページ (この例では、潜在的なランサムウェア攻撃を示しています):
詳細ページ (この例では、潜在的なランサムウェア攻撃を示しています):
_スナップショットを撮る_アクション
Workload Security は、悪意のあるアクティビティが検出されると自動的にスナップショットを取得してデータを保護し、データが安全にバックアップされることを保証します。
定義できます"自動応答ポリシー"ランサムウェア攻撃やその他の異常なユーザーアクティビティが検出されたときにスナップショットを取得します。アラート ページから手動でスナップショットを取得することもできます。
自動スナップショットが取得されました:
手動スナップショット:
アラート通知
アラートに関するアクションごとに、アラートの電子メール通知がアラート受信者リストに送信されます。アラートの受信者を設定するには、管理 > 通知 をクリックし、各受信者の電子メール アドレスを入力します。
保持ポリシー
アラートと警告は 13 か月間保持されます。 13 か月以上経過したアラートと警告は削除されます。 Workload Security 環境が削除されると、その環境に関連付けられているすべてのデータも削除されます。
トラブルシューティング
| 問題: | これを試してください: |
|---|---|
ONTAP が1 日あたり 1 時間ごとにスナップショットを取得する状況があります。 Workload Security (WS) スナップショットは影響しますか? WS スナップショットは 1 時間ごとのスナップショットの場所を占めますか? デフォルトの 1 時間ごとのスナップショットは停止されますか? |
Workload Security スナップショットは、時間ごとのスナップショットには影響しません。 WS スナップショットは 1 時間ごとのスナップショット スペースを占有しないため、これまでどおり継続されるはずです。デフォルトの 1 時間ごとのスナップショットは停止されません。 |
ONTAPで最大スナップショット数に達するとどうなりますか? |
最大スナップショット数に達すると、後続のスナップショットの取得は失敗し、スナップショットがいっぱいであることを示すエラー メッセージが Workload Security に表示されます。ユーザーは、最も古いスナップショットを削除するようにスナップショット ポリシーを定義する必要があります。そうしないと、スナップショットは作成されません。ONTAP 9.3以前では、ボリュームに格納できるSnapshotコピーは最大255個です。ONTAP 9.4以降では、ボリュームに格納できるSnapshotコピーは最大1023個です。詳細については、 ONTAPのドキュメントを参照してください。"スナップショット削除ポリシーの設定" 。 |
Workload Security ではスナップショットをまったく取得できません。 |
スナップショットの作成に使用されているロールにリンク: 適切な権限が割り当てられていることを確認してください。スナップショットを作成するための適切なアクセス権を持つ_csrole_が作成されていることを確認します: security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all |
Workload Security から削除され、その後再度追加された SVM 上の古いアラートのスナップショットが失敗します。 SVM が再度追加された後に発生する新しいアラートについては、スナップショットが取得されます。 |
これはまれなシナリオです。この問題が発生した場合は、 ONTAPにログインし、古いアラートのスナップショットを手動で取得してください。 |
アラートの詳細 ページで、スナップショットの取得 ボタンの下に「前回の試行が失敗しました」というエラー メッセージが表示されます。エラーの上にマウスを置くと、「ID を持つデータ コレクターの Invoke API コマンドがタイムアウトしました」と表示されます。 |
これは、SVM の LIF がONTAPで disabled 状態の場合に、SVM 管理 IP を介してデータ コレクターが Workload Security に追加されたときに発生する可能性があります。 ONTAPで特定の LIF を有効にし、Workload Security から 手動でスナップショットを取得 をトリガーします。スナップショットアクションは成功します。 |