NetApp Ransomware Resilienceで検出されたランサムウェアアラートを処理する
変更を提案
PDF
NetApp Ransomware Resilience は、攻撃の可能性を検出すると、ダッシュボードと通知領域にアラートを表示します。 Ransomware Resilience は直ちにスナップショットを作成します。ランサムウェア耐性の アラート タブで潜在的なリスクを確認します。
Ransomware Resilience が攻撃の可能性を検出すると、コンソールの通知設定に通知が表示され、設定されたアドレスに電子メールが送信されます。電子メールには、重大度、影響を受けるワークロード、および Ransomware Resilience の アラート タブのアラートへのリンクに関する情報が含まれます。
誤検知を無視するか、すぐにデータを回復することを決定できます。
|
アラートを無視すると、Ransomware Resilience はこの動作を学習し、通常の操作と関連付けて、再度アラートを開始しなくなります。 |
データの復旧を開始するには、アラートを復旧準備完了としてマークし、ストレージ管理者が復旧プロセスを開始できるようにします。
各アラートには、さまざまなボリュームとステータスの複数のインシデントが含まれる場合があります。すべてのインシデントを確認します。
Ransomware Resilience は、アラートが発行された原因に関する次のような証拠と呼ばれる情報を提供します。
-
ファイル拡張子が作成または変更されました
-
検出されたレートと予想されるレートを比較したファイルの作成
-
検出された率と予想される率の比較によるファイル削除
-
暗号化レベルが高く、ファイル拡張子を変更しない場合
アラートは次のいずれかに分類されます。
-
潜在的な攻撃: Autonomous Ransomware Protection が新しい拡張機能を検出し、その発生が過去 24 時間以内に 20 回以上繰り返された場合にアラートが発生します (デフォルトの動作)。
-
警告: 次の動作に基づいて警告が発生します。
-
新しい拡張機能の検出はこれまで確認されておらず、同じ動作が攻撃として宣言されるほど十分な回数繰り返されていません。
-
高いエントロピーが観測されます。
-
ファイルの読み取り、書き込み、名前変更、または削除アクティビティが、通常のレベルと比較して 2 倍になりました。
-
|
SAN 環境の場合、警告は高エントロピーに基づいてのみ行われます。 |
証拠は、 ONTAPの Autonomous Ransomware Protection の情報に基づいています。詳細については、 "自律型ランサムウェア対策 - 概要" 。
アラートのステータスは次のいずれかになります。
-
新しい
-
非アクティブ
アラート インシデントの状態は次のいずれかになります。
-
新規: すべてのインシデントは、最初に特定されたときに「新規」としてマークされます。
-
無視: アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「無視」に変更できます。
攻撃を却下した後は、元に戻すことはできません。ワークロードを破棄すると、潜在的なランサムウェア攻撃に応じて自動的に作成されたすべてのスナップショット コピーが完全に削除されます。 -
却下中: インシデントは却下中です。
-
解決済み: インシデントは修正されました。
-
自動解決: 優先度の低いアラートの場合、5 日以内に何のアクションも取られなければ、インシデントは自動的に解決されます。
|
|
設定ページで Ransomware Resilience にセキュリティおよびイベント管理システム (SIEM) を構成した場合、Ransomware Resilience はアラートの詳細を SIEM システムに送信します。 |
アラートを表示
アラートには、ランサムウェア耐性ダッシュボードまたは「アラート」タブからアクセスできます。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、ランサムウェア レジリエンス管理者、またはランサムウェア レジリエンス ビューアーのロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
-
ランサムウェア耐性ダッシュボードで、[アラート] ペインを確認します。
-
いずれかのステータスの下にある*すべて表示*を選択します。
-
アラートを選択して、アラートごとに各ボリュームのすべてのインシデントを確認します。
-
追加のアラートを確認するには、左上のパンくずリストで [アラート] を選択します。
-
「アラート」ページでアラートを確認します。
-
次のいずれかに進みます。
アラートメールに返信する
Ransomware Resilience は潜在的な攻撃を検出すると、サブスクリプションの通知設定に基づいて、登録したユーザーに電子メール通知を送信します。電子メールには、重大度や影響を受けるリソースなど、アラートに関する情報が含まれています。
ランサムウェア耐性アラートの電子メール通知を受信できます。この機能を使用すると、アラート、その重大度、影響を受けるリソースに関する情報を常に把握できます。
|
|
メール通知を購読するには、 "メール通知設定を設定する" 。 |
-
Ransomware Resilience で、[設定] ページに移動します。
-
*通知*の下で、電子メール通知設定を見つけます。
-
アラートを受信するメールアドレスを入力します。
-
変更を保存します。
新しいアラートが生成されると、電子メール通知が届くようになります。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、ランサムウェア レジリエンス管理者、またはランサムウェア レジリエンス ビューアーのロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
-
メールを表示します。
-
メールで「アラートを表示」を選択し、Ransomware Resilience にログインします。
アラート ページが表示されます。
-
各アラートについて、各ボリュームのすべてのインシデントを確認します。
-
追加のアラートを確認するには、左上のパンくずリストで「アラート」をクリックします。
-
次のいずれかに進みます。
悪意のあるアクティビティや異常なユーザー行動を検出する
[アラート] タブを見ると、悪意のあるアクティビティや異常なユーザー動作があるかどうかを確認できます。
ユーザー レベルのアラートを表示するには、ユーザー アクティビティ エージェントを構成し、ユーザー動作検出機能を備えた保護ポリシーを有効にする必要があります。ユーザー行動検出が有効になっている場合、アラート ダッシュボードに 不審なユーザー 列が表示されます。ユーザー行動検出が有効になっていない場合は表示されません。不審なユーザーの検出を有効にするには、"不審なユーザーアクティビティ" 。
|
|
NetApp Data Infrastructure Insights (DII) Workload Security を使用している場合は、Ransomware Resilience にも同じ Workload Security エージェントを使用することをお勧めします。Ransomware Resilience 用に個別の Workload Security エージェントを展開する必要はありませんが、同じ Workload Security エージェントを使用するには、Ransomware Resilience Console 組織と DII Storage Workload Security テナント間のペアリング関係が必要です。このペアリングを有効にするには、アカウント担当者にお問い合わせください。 |
悪意のあるアクティビティを表示する
Autonomous Ransomware Protection が Ransomware Resilience でアラートをトリガーすると、次の詳細を表示できます。
-
受信データのエントロピー
-
新規ファイルの予想作成率と検出率の比較
-
ファイルの予想削除率と検出率の比較
-
検出された率と比較したファイルの予想される名前変更率
-
影響を受けるファイルとディレクトリ
|
|
これらの詳細は、NAS ワークロードで表示できます。 SAN 環境では、エントロピー データのみが利用可能です。 |
-
ランサムウェア耐性メニューから、「アラート」を選択します。
-
アラートを選択します。
-
アラート内のインシデントを確認します。
-
インシデントの詳細を確認するには、インシデントを選択します。
異常なユーザー行動を表示する
異常なユーザー行動を表示するように疑わしいユーザー検出を設定している場合は、ユーザーレベルのデータを表示し、特定のユーザーをブロックできます。疑わしいユーザーの設定を有効にするには、"ランサムウェア耐性設定を構成する" 。
-
ランサムウェア耐性メニューから、「アラート」を選択します。
-
アラートを選択します。
-
アラート内のインシデントを確認します。
-
環境内の疑わしいユーザーをブロックするには、ユーザー名の下にある [ブロック] を選択します。
ランサムウェア インシデントを復旧準備完了としてマークする (インシデントが中和された後)
攻撃を阻止した後、データの準備ができたことをストレージ管理者に通知し、リカバリを開始できるようにします。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
-
ランサムウェア耐性メニューから、「アラート」を選択します。
-
「アラート」ページで、アラートを選択します。
-
アラート内のインシデントを確認します。
-
インシデントの回復の準備ができていると判断した場合は、「復元が必要としてマーク」を選択します。
-
アクションを確認し、「復元が必要としてマーク」を選択します。
-
ワークロードの回復を開始するには、メッセージで「ワークロードの回復」を選択するか、「回復」タブを選択します。
アラートが復元対象としてマークされると、アラートは [アラート] タブから [回復] タブに移動します。
潜在的な攻撃ではないインシデントを無視する
インシデントを確認した後、そのインシデントが潜在的な攻撃であるかどうかを判断する必要があります。実際の脅威ではない場合は無視できます。
誤検知を無視するか、すぐにデータを回復することを決定できます。アラートを無視すると、Ransomware Resilience はこの動作を学習し、通常の操作と関連付けて、そのような動作に対して再度アラートを開始しなくなります。
ワークロードを閉じると、潜在的なランサムウェア攻撃に応じて自動的に作成されたすべてのスナップショット コピーが完全に削除されます。
|
|
アラートを無視した場合、そのステータスを変更したり、この変更を元に戻したりすることはできません。 |
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
-
ランサムウェア耐性メニューから、「アラート」を選択します。
-
「アラート」ページで、アラートを選択します。
-
1 つ以上のインシデントを選択します。または、表の左上にあるインシデント ID ボックスを選択して、すべてのインシデントを選択します。
-
インシデントが脅威ではないと判断した場合は、誤検知として無視します。
-
インシデントを選択します。
-
表の上にある*ステータスの編集*ボタンを選択します。
-
-
ステータス編集ボックスから、「却下」ステータスを選択します。
ワークロードに関する追加情報とスナップショット コピーが削除されたことが表示されます。
-
*保存*を選択します。
インシデントのステータスが「却下」に変わります。
影響を受けるファイルの一覧を表示する
アプリケーション ワークロードをファイル レベルで復元する前に、影響を受けるファイルの一覧を表示できます。影響を受けるファイルのリストをダウンロードするには、「アラート」ページにアクセスしてください。次に、「回復」ページを使用してリストをアップロードし、復元するファイルを選択します。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ" 。
影響を受けるファイルのリストを取得するには、「アラート」ページを使用します。
|
|
ボリュームに複数のアラートがある場合は、アラートごとに影響を受けるファイルの CSV リストをダウンロードする必要がある場合があります。 |
-
ランサムウェア耐性メニューから、「アラート」を選択します。
-
[アラート] ページで、結果をワークロード別に並べ替えて、復元するアプリケーション ワークロードのアラートを表示します。
-
そのワークロードのアラートのリストから、アラートを選択します。
-
そのアラートに対して、単一のインシデントを選択します。
-
そのインシデントについては、ダウンロード アイコンを選択して、影響を受けるファイルのリストを CSV 形式でダウンロードします。