Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilience保護戦略でワークロードを保護する

共同作成者 amgrissino netapp-ahibbard
PDF

NetApp Ransomware Resilienceでワークロード一貫性保護を有効にするか、ランサムウェア保護戦略を作成することにより、ランサムウェア攻撃からワークロードを保護できます。

必要なコンソール ロール このタスクを実行するには、組織管理者、フォルダーまたはプロジェクト管理者、またはランサムウェア耐性管理者のロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

ランサムウェア対策戦略を理解する

ランサムウェア保護戦略には、検出ポリシーと保護ポリシーの両方が含まれます。

  • 検出ポリシー ランサムウェアの脅威を検出します

  • 保護ポリシー には、スナップショット ポリシーとバックアップ ポリシーが含まれます。保護戦略には検出およびスナップショット ポリシーが必要です。バックアップ ポリシーはオプションです。

    ワークロードを保護するために他のNetApp製品を使用している場合、Ransomware Resilience はそれらを検出し、次のいずれかのオプションを提供します。

    • ランサムウェア検出ポリシーを使用し、他のNetAppツールによって作成されたスナップショットおよびバックアップポリシーを引き続き使用するか、

    • Ransomware Resilience を使用して、検出、スナップショット、およびバックアップを管理します。

ヒント データ資産の管理と保護を強化するために、"グループファイル共有" 1 つの戦略の下でボリュームをまとめて保護します。

他のNetAppマネージド サービスとの保護ポリシー

ランサムウェア耐性以外にも、次のサービスを使用して保護を管理できます。

  • ファイル共有、VM ファイル共有向けのNetApp Backup and Recovery

  • VMデータストア用のSnapCenter for VMware

  • Oracle および MySQL 向けSnapCenter

これらのサービスからの保護情報は、Ransomware Resilience に表示されます。 Ransomware Resilience を使用して、これらのサービスに検出ポリシーを追加できます。 Ransomware Resilience を使用して保護ポリシーを追加すると、既存の保護ポリシーが置き換えられます。

ランサムウェア検出ポリシーがONTAPの Autonomous Ransomware Protection( ONTAP のバージョンに応じて ARP または ARP/AI)と FPolicy によって管理されている場合、それらのワークロードは保護され、引き続き ARP と FPolicy によって管理されます。

メモ バックアップ先は、Amazon FSx for NetApp ONTAP のワークロードでは使用できません。 FSx for ONTAPバックアップ サービスを使用してバックアップ操作を実行します。ワークロードのバックアップポリシーは、Ransomware Resilience ではなく、AWS の FSx for ONTAPで設定します。バックアップ ポリシーは Ransomware Resilience に表示され、AWS から変更されません。

NetAppアプリケーションによって保護されていないワークロードの保護ポリシー

ワークロードが Backup and Recovery、Ransomware Resilience、 SnapCenter、またはSnapCenter Plug-in for VMware vSphereによって管理されていない場合は、 ONTAPまたはその他の製品の一部としてスナップショットが取得されている可能性があります。 ONTAP FPolicy 保護が設定されている場合は、 ONTAPを使用して FPolicy 保護を変更できます。

ワークロードのランサムウェア保護を表示する

ワークロードを保護するための最初のステップの 1 つは、現在のワークロードとその保護ステータスを確認することです。次の種類のワークロードを確認できます。

  • アプリケーションワークロード

  • ブロックワークロード

  • ファイル共有ワークロード

  • VMワークロード

手順

  1. コンソールの左側のナビゲーションから、保護 > *ランサムウェア耐性*を選択します。

  2. 次のいずれかを実行します。

    • ダッシュボードの「データ保護」ペインから、「すべて表示」を選択します。

    • メニューから*保護*を選択します。

      保護ページ

  3. このページから、ワークロードの保護の詳細を表示および変更できます。

メモ 見る"ランサムウェア対策戦略を追加する"SnapCenterまたは Backup and Recovery で既存の保護ポリシーがある場合に Ransomware Resilience を使用する方法について学習します。

保護ページを理解する

「保護」ページには、ワークロード保護に関する次の情報が表示されます。

保護ステータス: ワークロードは、ポリシーが適用されているかどうかを示す次のいずれかの保護ステータスを示します。

  • 保護済み: ポリシーが適用されています。ワークロードに関連するすべてのボリュームで ARP (またはONTAPバージョンに応じて ARP/AI) が有効になっています。

  • リスクあり: ポリシーは適用されません。ワークロードでプライマリ検出ポリシーが有効になっていない場合、スナップショットおよびバックアップ ポリシーが有効になっていても、ワークロードは「危険にさらされている」状態になります。

  • 進行中: ポリシーは適用中ですが、まだ完了していません。

  • 失敗: ポリシーは適用されましたが、機能していません。

検出ステータス: ワークロードは、次のいずれかのランサムウェア検出ステータスになります。

  • 学習中: ランサムウェア検出ポリシーが最近ワークロードに割り当てられ、ランサムウェア耐性がワークロードをスキャンしています。

  • アクティブ: ランサムウェア検出保護ポリシーが割り当てられています。

  • 未設定: ランサムウェア検出保護ポリシーが割り当てられていません。

  • エラー: ランサムウェア検出ポリシーが割り当てられましたが、Ransomware Resilience でエラーが発生しました。

    ヒント ランサムウェア耐性で保護が有効になっている場合、ランサムウェア検出ポリシーのステータスが学習モードからアクティブ モードに変更された後に、アラートの検出とレポートが開始されます。

検出ポリシー: ランサムウェア検出ポリシーが割り当てられている場合は、そのポリシーの名前が表示されます。検出ポリシーが割り当てられていない場合は、「N/A」と表示されます。

スナップショットおよびバックアップ ポリシー: この列には、ワークロードに適用されているスナップショットおよびバックアップ ポリシーと、それらのポリシーを管理している製品またはサービスが表示されます。

  • SnapCenterによる管理

  • SnapCenter Plug-in for VMware vSphereによって管理されます

  • バックアップとリカバリによって管理

  • スナップショットとバックアップを管理するランサムウェア保護ポリシーの名前

  • なし

ワークロードの重要度

ランサムウェア耐性は、各ワークロードの分析に基づいて、検出中に各ワークロードに重要度または優先度を割り当てます。ワークロードの重要度は、次のスナップショット頻度によって決まります。

  • 重大: スナップショット コピーが 1 時間あたり 1 回以上作成される (非常に積極的な保護スケジュール)

  • 重要: スナップショット コピーは 1 時間あたり 1 回未満ですが、1 日あたり 1 回以上作成されます

  • 標準: 1日あたり1回以上のスナップショットコピーの取得

定義済み検出ポリシー

ワークロードの重要度に合わせて、次のランサムウェア耐性定義済みポリシーのいずれかを選択できます。

メモ 暗号化ユーザー拡張 ポリシーは、疑わしいユーザーの動作の検出をサポートする唯一の定義済みポリシーです。
ポリシーレベル Snapshot 頻度 保持期間(日数) スナップショットコピーの数 スナップショットコピーの合計最大数

重要なワークロードポリシー

15分ごと

15分ごと

3

288

309

日次

1日ごと

14

14

309

週次

1週間ごと

35

5

309

毎月

30日ごと

60

2

309

重要なワークロードポリシー

15分ごと

30分ごと

3

144

165

日次

1日ごと

14

14

165

週次

1週間ごと

35

5

165

毎月

30日ごと

60

2

165

標準作業負荷ポリシー

15分ごと

30分ごと

3

72

93

日次

1日ごと

14

14

93

週次

1週間ごと

35

5

93

毎月

30日ごと

60

2

93

暗号化ユーザー拡張機能

15分ごと

30分ごと

3

72

93

日次

1日ごと

14

14

93

週次

1週間ごと

35

5

93

毎月

30日ごと

60

2

93

SnapCenterでアプリケーションまたは VM の一貫性のある保護を有効にする

アプリケーションまたは VM の一貫性のある保護を有効にすると、アプリケーションまたは VM のワークロードを一貫した方法で保護し、静止状態と一貫性のある状態を実現して、後で回復が必要になった場合にデータ損失の可能性を回避することができます。

このプロセスは、バックアップとリカバリを使用して、アプリケーション用のSnapCenterソフトウェア サーバまたは VM 用の SnapCenter Plug-in for VMware vSphereの登録を開始します。

ワークロード一貫性保護を有効にした後、Ransomware Resilience で保護戦略を管理できます。保護戦略には、Ransomware Resilience で管理されるランサムウェア検出ポリシーに加えて、他の場所で管理されるスナップショットおよびバックアップ ポリシーが含まれます。

バックアップとリカバリを使用してSnapCenterまたはSnapCenter Plug-in for VMware vSphereを登録する方法については、次の情報を参照してください。

手順

  1. ランサムウェア耐性メニューから、*ダッシュボード*を選択します。

  2. [推奨事項] ペインで、次のいずれかの推奨事項を見つけて、[確認して修正] を選択します。

    • 利用可能なSnapCenter ServerをNetApp Consoleに登録する

    • 利用可能なSnapCenter Plug-in for VMware vSphere (SCV) をNetApp Consoleに登録します。

  3. 情報に従って、バックアップとリカバリを使用してSnapCenterまたはSnapCenter Plug-in for VMware vSphereに登録します。

  4. ランサムウェア耐性に戻ります。

  5. ランサムウェア耐性からダッシュボードに移動し、検出プロセスを再度開始します。

  6. ランサムウェア耐性から、保護 を選択して、保護ページを表示します。

  7. [保護] ページのスナップショットおよびバックアップ ポリシー列の詳細を確認し、ポリシーが他の場所で管理されていることを確認します。

ランサムウェア対策戦略を追加する

ランサムウェア保護戦略を追加するには、次の 3 つのアプローチがあります。

  • スナップショットまたはバックアップ ポリシーがない場合は、ランサムウェア保護戦略を作成します。

    ランサムウェア保護戦略には以下が含まれます。

    • スナップショットポリシー

    • ランサムウェア検出ポリシー

    • バックアップ ポリシー

  • SnapCenterまたはバックアップとリカバリ保護の既存のスナップショットまたはバックアップ ポリシーを、Ransomware Resilience によって管理される保護戦略に置き換えます。

    ランサムウェア保護戦略には以下が含まれます。

    • スナップショットポリシー

    • ランサムウェア検出ポリシー

    • バックアップ ポリシー

  • 他のNetApp製品またはサービスで管理されている既存のスナップショットおよびバックアップ ポリシーを使用して、ワークロードの検出ポリシーを作成します。

    検出ポリシーは、他の製品で管理されているポリシーを変更するものではありません。

    検出ポリシーは、他のサービスですでに有効になっている場合、自律ランサムウェア保護と FPolicy 保護を有効にします。詳細はこちら"自律型ランサムウェア対策""バックアップとリカバリ" 、 そして"ONTAP FPolicy"

ランサムウェア対策戦略を作成する(スナップショットやバックアップポリシーがない場合)

ワークロードにスナップショットまたはバックアップ ポリシーが存在しない場合は、ランサムウェア保護戦略を作成できます。これには、Ransomware Resilience で作成する次のポリシーを含めることができます。

  • スナップショットポリシー

  • バックアップ ポリシー

  • ランサムウェア検出ポリシー

ランサムウェア対策戦略を作成する手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

    戦略管理ページ

  2. [保護] ページでワークロードを選択し、[保護] を選択します。

  3. ランサムウェア保護戦略ページで、[追加] を選択します。

    スナップショットセクションを表示する戦略ページを追加します

  4. 新しい戦略名を入力するか、既存の名前を入力してコピーします。既存の名前を入力する場合は、コピーする名前を選択し、「コピー」を選択します。

    メモ 既存の戦略をコピーして変更することを選択した場合、Ransomware Resilience は元の名前に「_copy」を追加します。名前と少なくとも 1 つの設定を変更して、一意の名前にする必要があります。

  5. 各項目について、*下矢印*を選択します。

    • 検出ポリシー:

      • ポリシー: 事前に設計された検出ポリシーの 1 つを選択します。

      • プライマリ検出: ランサムウェア検出を有効にして、ランサムウェア耐性により潜在的なランサムウェア攻撃を検出します。

      • 疑わしいユーザー行動の検出: ユーザー行動の検出を有効にすると、ユーザーアクティビティイベントが Ransomware Resilience に送信され、データ侵害などの疑わしいイベントが検出されます。

      • ファイル拡張子をブロック: これを有効にすると、Ransomware Resilience によって既知の疑わしいファイル拡張子がブロックされます。ランサムウェア耐性は、プライマリ検出が有効になっている場合に自動スナップショット コピーを作成します。

        ブロックされたファイル拡張子を変更する場合は、System Manager で編集します。

    • スナップショットポリシー:

      • スナップショット ポリシー ベース名: ポリシーを選択するか、作成 を選択してスナップショット ポリシーの名前を入力します。

      • スナップショットのロック: これを有効にすると、プライマリ ストレージ上のスナップショット コピーがロックされ、ランサムウェア攻撃がバックアップ ストレージの保存先に侵入した場合でも、一定期間スナップショット コピーを変更または削除できなくなります。これは、_不変ストレージ_とも呼ばれます。これにより、復元時間が短縮されます。

        スナップショットがロックされている場合、ボリュームの有効期限はスナップショット コピーの有効期限に設定されます。

      スナップショット コピー ロックは、 ONTAP 9.12.1 以降で使用できます。 SnapLockの詳細については、以下を参照してください。 "ONTAPのSnapLock"

      • スナップショット スケジュール: スケジュール オプション、保持するスナップショット コピーの数を選択し、スケジュールを有効にするかどうかを選択します。

    • バックアップポリシー:

      • バックアップ ポリシーのベース名: 新しい名前を入力するか、既存の名前を選択します。

      • バックアップ スケジュール: セカンダリ ストレージのスケジュール オプションを選択し、スケジュールを有効にします。

    ヒント セカンダリ ストレージでバックアップ ロックを有効にするには、[設定] オプションを使用してバックアップの保存先を構成します。詳細については、 "設定を構成する"

  6. *追加*を選択します。

SnapCenterまたは Backup and Recovery によって管理されている既存のスナップショットおよびバックアップ ポリシーを使用して、ワークロードに検出ポリシーを追加します。

ランサムウェア耐性により、他のNetApp製品またはサービスで管理されている既存のスナップショットおよびバックアップ保護を使用して、ワークロードに検出ポリシーまたは保護ポリシーのいずれかを割り当てることができます。 Backup and Recovery やSnapCenterなどの他のサービスでは、スナップショット、セカンダリ ストレージへのレプリケーション、またはオブジェクト ストレージへのバックアップを管理するポリシーを使用します。

既存のバックアップまたはスナップショット ポリシーを持つワークロードに検出ポリシーを追加する

Backup and Recovery またはSnapCenterで既存のスナップショットまたはバックアップ ポリシーがある場合は、ランサムウェア攻撃を検出するポリシーを追加できます。ランサムウェア耐性による保護と検出を管理するには、以下を参照してください。ランサムウェア耐性で保護

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

    戦略管理ページ

  2. [保護] ページでワークロードを選択し、[保護] を選択します。

  3. Ransomware Resilience は、アクティブなSnapCenterまたはバックアップとリカバリ ポリシーが存在しているかどうかを検出します。

  4. 既存のバックアップとリカバリまたはSnapCenterポリシーをそのままにして、検出 ポリシーのみを適用するには、[既存のポリシーを置き換える] ボックスをオフのままにします。

  5. SnapCenterポリシーの詳細を表示するには、*下矢印*を選択します。

  6. 必要な検出設定を選択してください: 暗号化検出 疑わしいユーザー行動の検出 疑わしいファイル拡張子のブロック

  7. 次へを選択します。

  8. 検出設定として*不審なユーザー行動の検出*を選択した場合は、ユーザーアクティビティエージェントまたは"または作成する"

    ユーザー アクティビティ エージェントは新しいデータ コレクターをホストします。Ransomware Resilience は、データ コレクターを自動的に作成し、ユーザー アクティビティ イベントを Ransomware Resilience に送信して、異常なユーザー動作を検出します。

  9. 次へを選択します。

  10. 選択内容を確認します。検出を有効にするには、[作成] を選択します。

  11. [保護] ページで、検出ステータス を確認して、検出がアクティブであることを確認します。

既存のバックアップまたはスナップショットポリシーをランサムウェア保護戦略に置き換える

既存のバックアップまたはスナップショット ポリシーをランサムウェア保護戦略に置き換えることができます。このアプローチでは、外部で管理されている保護を削除し、Ransomware Resilience で検出と保護を構成します。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

    戦略管理ページ

  2. [保護] ページでワークロードを選択し、[保護] を選択します。

  3. Ransomware Resilience は、アクティブなバックアップとリカバリ、またはSnapCenterポリシーが既に存在するかどうかを検出します。既存のバックアップとリカバリまたはSnapCenterポリシーを置き換えるには、[既存のポリシーを置き換える] ボックスを選択します。ボックスを選択すると、Ransomware Resilience によって検出ポリシーのリストが検出ポリシーに置き換えられます。

  4. 保護ポリシーを選択します。保護ポリシーが存在しない場合は、[追加] を選択して新しいポリシーを作成します。ポリシーの作成方法については、以下を参照してください。保護ポリシーを作成する次へを選択します。

  5. バックアップ先を選択するか、新しいバックアップ先を作成します。次へを選択します。

    1. 保護戦略にユーザー行動の検出が含まれている場合は、環境内でユーザー アクティビティ エージェントを選択して、新しいデータ コレクターをホストします。Ransomware Resilience は、データ コレクターを自動的に作成し、ユーザー アクティビティ イベントを Ransomware Resilience に送信して、異常なユーザー動作を検出します。

  6. 新しい保護戦略を確認し、[保護] を選択して適用します。

  7. [保護] ページで、検出ステータス を確認して、検出がアクティブであることを確認します。

別のポリシーを割り当てる

既存のポリシーを別のポリシーに置き換えることができます。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページのワークロード行で、[保護の編集] を選択します。

  3. ワークロードに、維持する既存のバックアップとリカバリまたはSnapCenterポリシーがある場合は、[既存のポリシーを置き換える] のチェックを外します。既存のポリシーを置き換えるには、[既存のポリシーを置き換える] をオンにします。

  4. 「ポリシー」ページで、割り当てるポリシーの下矢印を選択して詳細を確認します。

  5. 割り当てるポリシーを選択します。

  6. 変更を完了するには、[保護] を選択します。

保護グループを作成する

保護グループ内のファイル共有をグループ化すると、データ資産の保護が容易になります。 Ransomware Resilience では、各ボリュームを個別に保護するのではなく、グループ内のすべてのボリュームを同時に保護できます。

保護ステータスに関係なく (つまり、保護されていないグループと保護されているグループ)、グループを作成できます。保護グループに保護ポリシーを追加すると、 SnapCenterおよびNetApp Backup and Recoveryによって管理されるポリシーを含む既存のポリシーが新しい保護ポリシーに置き換えられます。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

    戦略管理ページ

  2. [保護] ページで、[保護グループ] タブを選択します。

    保護グループのページ

  3. *追加*を選択します。

    保護グループの追加ページ

  4. 保護グループの名前を入力します。

  5. グループに追加するワークロードを選択します。

    ヒント ワークロードの詳細を表示するには、右にスクロールします。

  6. *次へ*を選択します。

    保護グループの追加 - ポリシーページ

  7. このグループの保護を管理するポリシーを選択します。確認するには、[次へ] を選択します。

    1. バックアップ ポリシーを構成する必要がある場合は、いずれかを選択して [次へ] を選択します。

    2. 検出ポリシーにユーザー行動の検出が含まれている場合は、使用するデータ コレクターを選択し、[次へ] をクリックします。

  8. 保護グループの選択内容を確認します。

  9. 保護グループの作成を完了するには、[追加] を選択します。

グループ保護を編集

既存のグループの検出ポリシーを変更できます。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページで [保護グループ] タブを選択し、ポリシーを変更するグループを選択します。

  3. 保護グループの概要ページで、*保護の編集*を選択します。

  4. 適用する既存の保護ポリシーを選択するか、[追加] を選択して新しい保護ポリシーを作成します。保護ポリシーの追加の詳細については、以下を参照してください。保護ポリシーを作成する 。次に、[保存] を選択します。

  5. バックアップ先の概要で、既存のバックアップ先を選択するか、新しいバックアップ先を追加します。

  6. 変更内容を確認するには、[次へ] を選択します。

グループからワークロードを削除する

後で既存のグループからワークロードを削除する必要がある場合があります。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページで、[保護グループ] タブを選択します。

  3. 1 つ以上のワークロードを削除するグループを選択します。

    保護グループの詳細ページ

  4. 選択した保護グループのページで、グループから削除するワークロードを選択し、*アクション*を選択します。アクションボタンオプション。

  5. [アクション] メニューから、[ワークロードの削除] を選択します。

  6. ワークロードを削除することを確認し、[削除] を選択します。

保護グループを削除する

保護グループを削除すると、グループとその保護は削除されますが、個々のワークロードは削除されません。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページで、[保護グループ] タブを選択します。

  3. 1 つ以上のワークロードを削除するグループを選択します。

    保護グループの詳細ページ

  4. 選択した保護グループのページの右上にある [保護グループの削除] を選択します。

  5. グループを削除することを確認し、[削除] を選択します。

ランサムウェア対策戦略の管理

ランサムウェア戦略を削除することができます。

ランサムウェア保護戦略によって保護されているワークロードを表示する

ランサムウェア保護戦略を削除する前に、その戦略によって保護されているワークロードを確認することをお勧めします。

ワークロードは、戦略のリストから、または特定の戦略を編集しているときに表示できます。

戦略を表示する手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページで、[保護戦略の管理] を選択します。

    ランサムウェア保護戦略ページには、戦略のリストが表示されます。

    ランサムウェア保護戦略画面に戦略のリストが表示されている

  3. 「ランサムウェア保護戦略」ページの「保護されたワークロード」列で、行の末尾にある下矢印を選択します。

ランサムウェア対策戦略を削除する

現在どのワークロードにも関連付けられていない保護戦略を削除できます。

手順

  1. ランサムウェア耐性メニューから、*保護*を選択します。

  2. [保護] ページで、[保護戦略の管理] を選択します。

  3. 戦略管理ページで*アクション*を選択しますアクションボタン削除する戦略のオプションを選択します。

  4. [アクション] メニューから、[ポリシーの削除] を選択します。