Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilienceでランサムウェア攻撃対策訓練を実施する

共同作成者 netapp-ahibbard amgrissino

NetApp Ransomware Resilienceでランサムウェア攻撃対策の訓練を実行し、実際のランサムウェア攻撃への備えをテストします。この対策訓練では、Ransomware Resilienceが新しいサンプル ワークロードに対する攻撃をシミュレートするため、実際の本番データに影響を与えることなく、シミュレートされた攻撃を調査してリカバリを実行できます。対策訓練は、アラート通知に慣れ、対応とリカバリの準備を整えるのに役立ちます。訓練は必要なときにいつでも何回でも実行できます。

ヒント 実際のワークロード データは影響を受けません。

NFS および CIFS (SMB) ワークロードで準備ドリルを実行できます。

ランサムウェア攻撃への備えの訓練を構成する

必須コンソールロール:このタスクを実行するには、"スーパー管理者"またはRansomware Resilience管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

手順
  1. ランサムウェア耐性で、[設定] を選択します。

  2. 準備訓練タイルで、「構成」を選択します。

  3. 準備訓練の種類を選択してください。

    • カスタムリカバリ: このドリルはアラートを作成し、リカバリポイントを設定する"カスタム復元"を実行できるようにします。

    • クリーン復元:この手順ではアラートが作成され、その後、最適な復旧ポイントへと案内する復旧プロセスである"クリーン復元"に移動します。

    • データ侵害からの復旧:この訓練では、ユーザーが開始したデータ侵害イベントに対するアラートを作成します。このドリルタイプを有効にする前に、"ユーザーアクティビティエージェント"を設定しておく必要があります。

  4. レディネスドリルテストを作成する環境を選択してください。

    1. コンソールエージェントシステムを選択します。

    2. システムを選択した後、あらかじめ表示されたリストからストレージVMを選択してください。

    3. 新しいテストワークロードに名前を付けてください。テストワークロードの先頭に「rps_test_」が付加されます。

    4. 準備訓練がデータ侵害からの復旧に関するものである場合は、訓練環境のユーザーアクティビティエージェントを選択してください。

      準備訓練の設定オプションのスクリーンショット。

  5. *保存*を選択します。

ヒント 準備ドリルの構成は、後で設定ページを使用して編集できます。

準備訓練を開始する

準備ドリルを構成したら、ドリルを開始できます。

必須コンソールロール:このタスクを実行するには、"スーパー管理者"またはRansomware Resilience管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

手順
  1. 訓練を開始するには:

    • Ransomware Resilience ダッシュボードから、右上の「準備訓練を実行」ボタンを選択します。

      準備ドリル実行ボタンが表示されているダッシュボードページ

    • または、設定に移動します。準備訓練タイルで、*開始*を選択します。

メモ 訓練実行中は、準備訓練の設定を編集することはできません。準備訓練を変更するには、リセットを選択してから訓練を編集してください。

即応訓練の警報に応答する

準備訓練アラートに応答して準備状況をテストします。

必須コンソールロール:このタスクを実行するには、"スーパー管理者"またはRansomware Resilience管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

手順
  1. ランサムウェア耐性メニューから、「アラート」を選択します。

    コンソールにアラート ページが表示されます。アラート ID 列の ID の横に「準備ドリル」が表示されます。

    準備訓練の警告を表示するアラートページ

  2. 「Readiness drill」の表示があるアラートを選択してください。

    準備訓練アラートを表示するアラートの詳細ページ

  3. アラート インシデントを確認します。

  4. アラート インシデントを選択します。

    準備訓練の警告を表示するインシデントページ

インシデントを確認する際には、以下の点を考慮してください。

  • 潜在的な攻撃の深刻度。

    重大度により、ユーザーが悪意のあるアクティビティを行っている疑いがあることが示されている場合は、ユーザー名を確認します。また、"ユーザーをブロックします。"

  • ファイルアクティビティと予想レートの比較。これには、読み取り / 書き込みレート、ファイル作成、ファイル名変更、および削除が含まれます。

  • 影響を受けるファイルのリスト。攻撃の原因となっている可能性のある拡張子を確認してください。

  • 影響を受けるファイルとディレクトリの数を確認して、攻撃の影響と範囲を判断します。

テストワークロードを復元する

準備ドリルアラートを確認した後、必要に応じてテストのワークロードを復元します。

必須コンソールロール:このタスクを実行するには、"スーパー管理者"またはRansomware Resilience管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

手順
  1. アラートの詳細ページに戻ります。

  2. テストワークロードを復元する必要がある場合は、「復元が必要」を選択し、確認ダイアログでそのボタンをもう一度選択してください。

  3. ランサムウェア耐性メニューから、「回復」を選択します。

  4. 復元するテストワークロードに「Readiness drill」タグが付いていることを確認し、そのワークロードを選択します。

  5. *復元*を選択します。

  6. 設定した復旧方法に応じた手順に従ってください。

準備訓練後にアラートステータスを変更する

準備ドリルアラートを確認し、ワークロードを復元した後、必要に応じてアラートのステータスを変更します。

必要なコンソールロール 組織管理者、フォルダまたはプロジェクト管理者、または Ransomware Resilience 管理者。 "すべてのサービスのコンソールアクセスロールについて学習します"

手順
  1. アラートの詳細ページに戻ります。

  2. アラートをもう一度選択します。

  3. ステータスの横にある「編集」を選択して、ステータスを指定します。ステータスを以下のいずれかに変更します。

    • 却下: アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「却下」に変更します。

      重要 攻撃を却下した後は、元に戻すことはできません。ワークロードを却下すると、ランサムウェア攻撃の可能性に対応して自動的に作成されたすべてのSnapshotコピーが完全に削除されます。アラートを却下すれば、準備訓練は完了とみなされます。
    • 解決済み: インシデントは軽減されました。

即応訓練に関する報告書を確認する

準備訓練が完了したら、訓練に関するレポートを作成して保存できます。ドリルレポートは、検出ポリシー、アラートの種類とタイムスタンプ、攻撃の詳細、復旧状況などの情報を記録する JSON ファイルです。

必須コンソールロール このタスクを実行するには、"スーパー管理者"、Ransomware Resilience admin、またはRansomware Resilience viewerロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

手順
  1. ランサムウェア耐性メニューから、*レポート*を選択します。

    準備訓練レポートを表示するレポートページ

  2. 準備ドリルレポートをダウンロードするには、[準備ドリル] と [ダウンロード] を選択します。