NetApp Ransomware Resilienceでランサムウェア攻撃対策訓練を実施する
変更を提案
PDF
新しいサンプル ワークロードへの攻撃をシミュレートして、ランサムウェア攻撃の準備訓練を実行します。シミュレートされた攻撃を調査し、ワークロードを回復します。この機能を使用して、アラート通知、応答、および回復をテストします。必要に応じて何度でもドリルを実行してください。
|
実際のワークロード データは影響を受けません。 |
NFS および CIFS (SMB) ワークロードで準備ドリルを実行できます。
ランサムウェア攻撃への備えの訓練を構成する
シミュレーションを実行する前に、[設定] ページでドリルを設定します。上部メニューの「アクション」オプションから「設定」ページにアクセスします。
次の状況では、ユーザー名とパスワードを入力する必要があります。
-
以前に選択したストレージVMのユーザー名またはパスワードが変更された場合
-
別のCIFS(SMB)ストレージVMを選択した場合
-
別のテストワークロード名を入力する場合
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
-
NetApp Ransomware Resilience メニューから、右上にある 準備ドリルの実行 ボタンを選択します。
-
[設定] ページの準備ドリル カードで、[構成] を選択します。
コンソールに準備ドリルの構成ページが表示されます。
-
次の手順を実行します。
-
準備ドリルに使用するコンソール エージェントを選択します。
-
テスト システムを選択します。
-
テスト ストレージ SVM を選択します。
-
CIFS (SMB) ストレージ VM を選択した場合は、ユーザー名 フィールドと パスワード フィールドが表示されます。ストレージ VM のユーザー名とパスワードを入力します。
-
作成する新しいテスト ワークロードの名前を入力します。名前にダッシュを含めないでください。
-
-
*保存*を選択します。
|
|
準備ドリルの構成は、後で [設定] ページを使用して編集できます。 |
準備訓練を開始する
準備ドリルを構成したら、ドリルを開始できます。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
準備ドリルを開始すると、Ransomware Resilience は学習モードをスキップし、アクティブ モードでドリルを開始します。ワークロードの検出ステータスはアクティブです。
|
|
検出ポリシーが最近割り当てられ、Ransomware Resilience がワークロードをスキャンすると、ワークロードはランサムウェア検出の 学習モード ステータスになることがあります。 |
-
次のいずれかを実行します。
-
ランサムウェア耐性メニューから、右上にある*準備ドリルを実行*ボタンを選択します。
-
または、[設定] ページの準備ドリル カードで [開始] を選択します。
-
-
準備ドリルをすでに構成している場合は、[開始] を選択すると、準備ドリルが開始されます。
|
ドリルが開始された後は、準備ドリルの構成を編集することはできません。リセットして再度始めることができます。 |
即応訓練警報に応答する
準備訓練アラートに応答して準備状況をテストします。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
-
ランサムウェア耐性メニューから、*アラート*を選択します。
コンソールにアラート ページが表示されます。アラート ID 列の ID の横に「準備ドリル」が表示されます。
-
「準備訓練」の表示があるアラートを選択します。アラートの詳細ページにインシデント アラートのリストが表示されます。
-
アラート インシデントを確認します。
-
アラート インシデントを選択します。
注目すべき点は次のとおりです:
-
潜在的な攻撃タイプを確認します。
タイプにより、ユーザーが悪意のあるアクティビティを行っている疑いがあることが示されている場合は、ユーザー名を確認します。 ワークロード セキュリティで調査 を選択して、 Data Infrastructure Insightsワークロード セキュリティでユーザーをさらに調査する必要がある場合があります。
-
ファイルアクティビティと疑わしいプロセスを確認します。
-
受信した検出されたデータを予想されるデータと比較してみます。
-
検出されたファイルの作成率を予想される率と比較して確認します。
-
検出されたファイル名変更率を予想される率と比較してみます。
-
削除率を予想率と比較してみます。
-
-
影響を受けるファイルのリストを確認します。攻撃の原因となっている可能性のある拡張機能を確認します。
-
影響を受けるファイルとディレクトリの数を確認して、攻撃の影響と範囲を判断します。
テストワークロードを復元する
準備ドリルアラートを確認した後、必要に応じてテストのワークロードを復元します。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
-
アラートの詳細ページに戻ります。
-
テスト ワークロードを復元する必要がある場合は、次の手順を実行します。
-
*復元が必要としてマーク*を選択します。
-
確認内容を確認し、確認ボックスで「復元が必要としてマーク」を選択します。
-
ランサムウェア耐性メニューから、「回復」を選択します。
-
復元する「準備ドリル」とマークされたテスト ワークロードを選択します。
-
*復元*を選択します。
-
「復元」ページで、復元に関する情報を入力します。
-
-
ソース スナップショットのコピーを選択します。
-
宛先ボリュームを選択します。
-
-
復元のレビューページで、[復元] を選択します。
コンソールの [回復] ページに、準備ドリル復元のステータスが「進行中」として表示されます。
復元が完了すると、コンソールはワークロードのステータスを「復元済み」に変更します。
-
復元されたワークロードを確認します。
|
|
復元プロセスの詳細については、"ランサムウェア攻撃からの回復(インシデントが中和された後)" 。 |
準備訓練後にアラートのステータスを変更する
準備ドリルアラートを確認し、ワークロードを復元した後、必要に応じてアラートのステータスを変更します。
コンソールの役割が必要です 組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者。 "すべてのサービスのコンソールアクセスロールについて学習します" 。
-
アラートの詳細ページに戻ります。
-
アラートをもう一度選択します。
-
ステータスの編集 を選択してステータスを指定し、次のいずれかのステータスに変更します。
-
却下: アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「却下」に変更します。
攻撃を却下した後は、元に戻すことはできません。ワークロードを破棄すると、潜在的なランサムウェア攻撃に応じて自動的に作成されたすべてのスナップショット コピーが完全に削除されます。アラートを無視すると、準備訓練は完了したとみなされます。 -
解決済み: インシデントは軽減されました。
-
即応訓練に関する報告書を確認する
準備訓練が完了したら、訓練に関するレポートを確認して保存することをお勧めします。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、ランサムウェア レジリエンス管理者、またはランサムウェア レジリエンス ビューアーのロールが必要です。 "すべてのサービスに対するBlueXPのアクセスロールについて学ぶ" 。
-
ランサムウェア耐性メニューから、*レポート*を選択します。
-
準備ドリルレポートをダウンロードするには、[準備ドリル] と [ダウンロード] を選択します。