NetApp Ransomware Resilience で検出されたランサムウェアアラートを処理する
NetApp Ransomware Resilience は、攻撃の可能性を検出すると、ダッシュボードと通知領域にアラートを表示します。 Ransomware Resilience は直ちにスナップショットを作成します。ランサムウェア耐性の アラート タブで潜在的なリスクを確認します。
Ransomware Resilience が攻撃の可能性を検出すると、コンソールの通知設定に通知が表示され、設定されたアドレスに電子メールが送信されます。電子メールには、重大度、影響を受けるワークロード、および Ransomware Resilience の アラート タブのアラートへのリンクに関する情報が含まれます。
誤検知を無視するか、すぐにデータを回復することを決定できます。
|
アラートを無視すると、Ransomware Resilience はこの動作を学習し、通常の操作と関連付けて、再度アラートを開始しなくなります。 |
データの復旧を開始するには、アラートを復旧準備完了としてマークし、ストレージ管理者が復旧プロセスを開始できるようにします。
各アラートには、さまざまなボリュームとステータスの複数のインシデントが含まれる場合があります。すべてのインシデントを確認します。
Ransomware Resilience は、アラートが発行された原因に関する次のような証拠と呼ばれる情報を提供します。
-
ファイル拡張子が作成または変更されました
-
検出されたレートと予想されるレートを比較したファイルの作成
-
検出された率と予想される率の比較によるファイル削除
-
暗号化レベルが高く、ファイル拡張子を変更しない場合
アラートは次のいずれかに分類されます。
-
潜在的な攻撃: Autonomous Ransomware Protection が新しい拡張機能を検出し、その発生が過去 24 時間以内に 20 回以上繰り返された場合にアラートが発生します (デフォルトの動作)。
-
警告: 次の動作に基づいて警告が発生します。
-
新しい拡張機能の検出はこれまで確認されておらず、同じ動作が攻撃として宣言されるほど十分な回数繰り返されていません。
-
高いエントロピーが観測されます。
-
ファイルの読み取り、書き込み、名前変更、または削除アクティビティが、通常のレベルと比較して 2 倍になりました。
-
|
SAN 環境の場合、警告は高エントロピーに基づいてのみ行われます。 |
証拠は、 ONTAPの Autonomous Ransomware Protection の情報に基づいています。詳細については、 "自律型ランサムウェア対策 - 概要" 。
アラートのステータスは次のいずれかになります。
-
新しい
-
非アクティブ
アラート インシデントの状態は次のいずれかになります。
-
新規: すべてのインシデントは、最初に特定されたときに「新規」としてマークされます。
-
無視: アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「無視」に変更できます。
攻撃を却下した後は、元に戻すことはできません。ワークロードを破棄すると、潜在的なランサムウェア攻撃に応じて自動的に作成されたすべてのスナップショット コピーが完全に削除されます。 -
却下中: インシデントは却下中です。
-
解決済み: インシデントは修正されました。
-
自動解決: 優先度の低いアラートの場合、5 日以内に何のアクションも取られなければ、インシデントは自動的に解決されます。
|
設定ページで Ransomware Resilience にセキュリティおよびイベント管理システム (SIEM) を構成した場合、Ransomware Resilience はアラートの詳細を SIEM システムに送信します。 |
アラートを表示
アラートには、ランサムウェア耐性ダッシュボードまたは「アラート」タブからアクセスできます。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、ランサムウェア レジリエンス管理者、またはランサムウェア レジリエンス ビューアーのロールが必要です。 "すべてのサービスに対するBlueXPのアクセスロールについて学ぶ" 。
-
ランサムウェア耐性ダッシュボードで、[アラート] ペインを確認します。
-
いずれかのステータスの下にある*すべて表示*を選択します。
-
アラートを選択して、アラートごとに各ボリュームのすべてのインシデントを確認します。
-
追加のアラートを確認するには、左上のパンくずリストで [アラート] を選択します。
-
「アラート」ページでアラートを確認します。
-
次のいずれかに進みます。
アラートメールに返信する
Ransomware Resilience は潜在的な攻撃を検出すると、サブスクリプションの通知設定に基づいて、登録したユーザーに電子メール通知を送信します。電子メールには、重大度や影響を受けるリソースなど、アラートに関する情報が含まれています。
ランサムウェア耐性アラートの電子メール通知を受信できます。この機能を使用すると、アラート、その重大度、影響を受けるリソースに関する情報を常に把握できます。
|
メール通知を購読するには、 "メール通知設定を設定する" 。 |
-
Ransomware Resilience で、[設定] ページに移動します。
-
*通知*の下で、電子メール通知設定を見つけます。
-
アラートを受信するメールアドレスを入力します。
-
変更を保存します。
新しいアラートが生成されると、電子メール通知が届くようになります。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、ランサムウェア レジリエンス管理者、またはランサムウェア レジリエンス ビューアーのロールが必要です。 "すべてのサービスに対するBlueXPのアクセスロールについて学ぶ" 。
-
メールを表示します。
-
メールで「アラートを表示」を選択し、Ransomware Resilience にログインします。
アラート ページが表示されます。
-
各アラートについて、各ボリュームのすべてのインシデントを確認します。
-
追加のアラートを確認するには、左上のパンくずリストで「アラート」をクリックします。
-
次のいずれかに進みます。
悪意のあるアクティビティや異常なユーザー行動を検出する
「アラート」タブを見ると、悪意のあるアクティビティがあるかどうかを確認できます。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
*どのような詳細が表示されますか?*表示される詳細は、アラートがどのようにトリガーされたかによって異なります。
-
ONTAPの Autonomous Ransomware Protection 機能によってトリガーされます。これは、ボリューム内のファイルの動作に基づいて悪意のあるアクティビティを検出します。
-
Data Infrastructure Insightsワークロード セキュリティによってトリガーされます。これには、Data Infrastructure Insights Workload security のライセンスが必要であり、Ransomware Resilience でそれを有効にする必要があります。この機能は、ストレージ ワークロード内での異常なユーザー行動を検出し、そのユーザーによる今後のアクセスをブロックできるようにします。
Ransomware Resilience でワークロード セキュリティを有効にするには、[設定] ページに移動し、[ワークロード セキュリティ接続] オプションを選択します。
Data Infrastructure Insightsワークロードセキュリティの概要については、 "ワークロードセキュリティについて" 。
|
Data Infrastructure Workload Security のライセンスを所有しておらず、Ransomware Resilience で有効にしていない場合、異常なユーザー動作の情報は表示されません。 |
悪意のあるアクティビティが発生すると、アラートが生成され、自動スナップショットが取得されます。
Autonomous Ransomware Protection からの悪意のあるアクティビティのみを表示します
Autonomous Ransomware Protection が Ransomware Resilience でアラートをトリガーすると、次の詳細を表示できます。
-
受信データのエントロピー
-
新規ファイルの予想作成率と検出率の比較
-
ファイルの予想削除率と検出率の比較
-
検出された率と比較したファイルの予想される名前変更率
-
影響を受けるファイルとディレクトリ
|
これらの詳細は、NAS ワークロードで表示できます。 SAN 環境では、エントロピー データのみが利用可能です。 |
-
ランサムウェア耐性メニューから、*アラート*を選択します。
-
アラートを選択します。
-
アラート内のインシデントを確認します。
-
インシデントの詳細を確認するには、インシデントを選択します。
Data Infrastructure Insightsワークロード セキュリティで異常なユーザー行動を表示する
Data Infrastructure Insights Workload security が Ransomware Resilience でアラートをトリガーした場合、疑わしいユーザーを表示し、ユーザーをブロックし、 Data Infrastructure Insights Workload security で直接ユーザー アクティビティを調査できます。
|
これらの機能は、Autonomous Ransomware Protection からのみ利用できる詳細情報に追加されるものです。 |
このオプションには、 Data Infrastructure Insights Workload security のライセンスが必要であり、Ransomware Resilience でそれを有効にする必要があります。
Ransomware Resilience でワークロード セキュリティを有効にするには、次の手順を実行します。
-
*設定*ページに移動します。
-
Workload Security 接続 オプションを選択します。
詳細については、 "ランサムウェア耐性設定を構成する" 。
-
ランサムウェア耐性メニューから、*アラート*を選択します。
-
アラートを選択します。
-
アラート内のインシデントを確認します。
-
コンソールによって監視されている環境内で、疑わしいユーザーによるさらなるアクセスをブロックするには、[ユーザーをブロック] リンクを選択します。
-
アラートまたはアラート内のインシデントを調査します。
-
Data Infrastructure Insights のワークロード セキュリティでアラートをさらに調査するには、ワークロード セキュリティで調査 リンクを選択します。
-
インシデントの詳細を確認するには、インシデントを選択します。
-
Data Infrastructure Insights Workload Security が新しいタブで開きます。
+
ランサムウェア インシデントを復旧準備完了としてマークする (インシデントが中和された後)
攻撃を阻止した後、データの準備ができたことをストレージ管理者に通知し、リカバリを開始できるようにします。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
-
ランサムウェア耐性メニューから、*アラート*を選択します。
-
「アラート」ページでアラートを選択します。
-
アラート内のインシデントを確認します。
-
インシデントの回復の準備ができていると判断した場合は、「復元が必要としてマーク」を選択します。
-
アクションを確認し、「復元が必要としてマーク」を選択します。
-
ワークロードの回復を開始するには、メッセージで「ワークロードの回復」を選択するか、「回復」タブを選択します。
アラートが復元対象としてマークされると、アラートは [アラート] タブから [回復] タブに移動します。
潜在的な攻撃ではないインシデントを無視する
インシデントを確認した後、そのインシデントが潜在的な攻撃であるかどうかを判断する必要があります。前述の条件が満たされない場合は、却下される可能性があります。
誤検知を無視するか、すぐにデータを回復することを決定できます。アラートを無視すると、Ransomware Resilience はこの動作を学習し、通常の操作と関連付けて、そのような動作に対して再度アラートを開始しなくなります。
ワークロードを閉じると、潜在的なランサムウェア攻撃に応じて自動的に作成されたすべてのスナップショット コピーが完全に削除されます。
|
アラートを無視した場合、そのステータスを他のステータスに戻すことはできず、この変更を元に戻すこともできません。 |
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
-
ランサムウェア耐性メニューから、*アラート*を選択します。
-
「アラート」ページでアラートを選択します。
-
1 つ以上のインシデントを選択します。または、表の左上にあるインシデント ID ボックスを選択して、すべてのインシデントを選択します。
-
インシデントが脅威ではないと判断した場合は、誤検知として無視します。
-
インシデントを選択します。
-
表の上にある*ステータスの編集*ボタンを選択します。
-
-
ステータス編集ボックスから、「却下」ステータスを選択します。
ワークロードに関する追加情報とスナップショット コピーが削除されたことが表示されます。
-
*保存*を選択します。
インシデントのステータスが「却下」に変わります。
影響を受けるファイルの一覧を表示する
アプリケーション ワークロードをファイル レベルで復元する前に、影響を受けるファイルの一覧を表示できます。影響を受けるファイルのリストをダウンロードするには、「アラート」ページにアクセスしてください。次に、「回復」ページを使用してリストをアップロードし、復元するファイルを選択します。
必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"すべてのサービスのコンソールアクセスロールについて学習します" 。
影響を受けるファイルのリストを取得するには、「アラート」ページを使用します。
|
ボリュームに複数のアラートがある場合は、アラートごとに影響を受けるファイルの CSV リストをダウンロードする必要がある場合があります。 |
-
ランサムウェア耐性メニューから、*アラート*を選択します。
-
[アラート] ページで、結果をワークロード別に並べ替えて、復元するアプリケーション ワークロードのアラートを表示します。
-
そのワークロードのアラートのリストから、アラートを選択します。
-
そのアラートに対して、単一のインシデントを選択します。
-
そのインシデントについては、ダウンロード アイコンを選択し、影響を受けるファイルのリストを CSV 形式でダウンロードします。