Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilienceのユーザーアクティビティ検出について学ぶ

共同作成者 netapp-ahibbard
PDF

ユーザーアクティビティ検出機能により、NetApp Ransomware Resilienceにより、ユーザー レベルでランサムウェア イベントに対処し、データ侵害や大規模な削除などのイベントを阻止できます。

NetApp Ransomware Resilienceは、AIを活用した検出機能と、不審なユーザー行動の監視機能を提供します。読み取り活動の急激な増加や異常なアクセスパターンは、悪意のある意図を判断するために用いられます。検出されると、Ransomware Resilienceは自動的にNetApp Console、Eメール、および設定済みのセキュリティエコシステム(例:SIEM)でアラートを生成します。

ユーザー行動の検出とアラート機能により、NetApp Ransomware Resilienceは、データ侵害やデータ破壊の試み、および不審なパターンを検知してアラートを発します。NetApp Ransomware Resilienceは、各アラートにおいて、ブロック可能なユーザーを特定します。

Ransomware Resilience は、 ONTAPの FPolicy によって生成されたユーザー アクティビティ イベントを分析して、疑わしいユーザー アクティビティを検出します。ユーザー アクティビティ データを収集するには、1 つ以上のユーザー アクティビティ エージェントを展開する必要があります。エージェントは、テナント上のデバイスに接続できる Linux サーバーまたは VM です。

重要 ユーザーアクティビティの検出は現在、SANワークロードではサポートされていません。Amazon FSxN for ONTAP、Cloud Volumes ONTAP、ONTAPのNASワークロードでユーザーアクティビティ検出を使用できます。

ユーザーアクティビティのフォレンジック

Ransomware Resilience は、ユーザーの行動に関するフォレンジックを提供します(疑わしいアクティビティが発生したときや通知が送信されたときを示すリストとグラフ)。これらは、ファイル、ディレクトリ、ボリューム、ワークロードにおける疑わしいアクティビティの頻度を経時的に詳細に示し、イベントのグラフ化に役立ちます。新しいファイル拡張子の出現も確認できます。

すべてのファイルアクティビティビューのスクリーンショット

疑わしいアクティビティをすべてのアクティビティのビューと比較できます。すべてのアクティビティビューでは、アクセスの変更やアクセス拒否のイベントに加えて、読み取り、書き込み、名前の変更、移動、作成、削除のイベントを観察できます。

すべてのファイルアクティビティビューのスクリーンショット

コンポーネント

NetApp Ransomware Resilienceのユーザー行動検出には、3つの主要なコンポーネントがあります。

  • ユーザーアクティビティエージェントは、データコレクター用の実行可能環境です。ユーザーアクティビティエージェントを設定する必要があります。

  • データコレクタは、ユーザーアクティビティイベントをRansomware Resilienceと共有します。データコレクタは、"ユーザー行動検出機能を備えたランサムウェア対策戦略を有効にする"ときに自動的に作成されます。

  • ユーザーディレクトリコネクタを使用すると、ユーザー名とユーザーID間のマッピングが可能になり、疑わしいユーザーの行動への対応がより明確になります。ユーザーディレクトリコネクタを設定する必要があります。

ランサムウェア耐性とData Infrastructure Insights

Ransomware Resilienceのユーザー行動検出は、Data Infrastructure Insights(DII)Workload Securityとの統合であり、"DIIエンドポイント"を使用します。Ransomware Resilienceでユーザー行動検出を有効にするために、DIIの設定は一切必要ありません。ユーザー行動検出を有効にするには、"必要なエージェントとコレクターを作成し、適切なランサムウェア保護戦略を有効にする"

すでにNetApp Data Infrastructure Insights(DII)Workload Security を使用している場合は、Ransomware Resilience に同じ Workload Security エージェントを使用することをお勧めします。Ransomware Resilience 用に個別の Workload Security エージェントを展開する必要はありませんが、同じ Workload Security エージェントを使用するには、Ransomware Resilience Console 組織と DII Storage Workload Security テナント間のペアリング関係が必要です。このペアリングを有効にするには、アカウント担当者にお問い合わせください。

次の手順