NetApp Ransomware Resilienceにおけるユーザーアクティビティアラートへの対応を自動化します
NetApp Ransomware Resilience は、"ユーザーアクティビティイベント"への自動応答の作成をサポートします。自動応答機能により、Ransomware Resilience は攻撃や警告が検出された際にスナップショットを作成したり、ユーザーをブロックしたりすることができ、ランサムウェアの事象に対してより迅速な対応が可能になります。
暗号化(ユーザーの行動)、データ漏洩、およびデータ破壊イベントに対して、自動応答がサポートされています。自動応答を作成する前に、"ユーザーアクティビティエージェントを設定し、ユーザーアクティビティ検出を含むポリシーを有効にし、ユーザーディレクトリコネクタを作成しました"が必要です。
自動応答を作成する
不審なユーザー行動検出ポリシーで保護されているワークロードが少なくとも1つ存在するストレージVMは、1つしか保護できません。
-
ランサムウェア耐性で、[設定] を選択します。
-
ユーザーアクティビティ監視タイルで、管理を選択します。
-
「自動応答」タブを選択します。
-
動作を作成するには、追加を選択します。
-
自動応答の名前を入力してください。
-
応答をトリガーするイベントの種類を選択してください:攻撃または警告。さまざまな "アラートの種類" の詳細をご確認ください。
-
回答を選択してください:
-
ユーザーアクセスをブロック:アラートがトリガーされると、ユーザーは Ransomware Resilience によって保護されているすべてのストレージ VM へのアクセスをブロックされます。
このオプションを選択する場合は、ブロックの期間も選択する必要があります。間隔は1時間から24時間の間、または永続的に設定することができます。
-
スナップショットを作成する:影響を受けるワークロードのスナップショットを作成し、復旧時に使用します。スナップショットは7日間保存されます。
-
-
自動応答をトリガーするアラートの種類を選択してください:
アラートの種類
説明
暗号化(ユーザーの動作)
ランサムウェア耐性機能は、特定のユーザーによって実行された異常なファイルの読み取り、書き込み、および名前変更アクティビティを特定します。
データ侵害
NetApp Ransomware Resilienceは、特定のユーザーによって実行された異常なファイル読み取りアクセスパターンを検出します。
データ破壊
NetApp Ransomware Resilienceは、特定のユーザーによるファイルの大量削除を検出します。
-
自動応答を適用するストレージVMを選択してください。
-
自動応答を作成するには、追加を選択します。
自動応答を変更する
自動応答を作成した後、応答を一時停止、再開、または変更できます。応答の名前、応答をトリガーするアラートの種類、ストレージVM、および実行されるアクションを変更できます。
-
ランサムウェア耐性で、[設定] を選択します。
-
ユーザーアクティビティ監視タイルで、管理を選択します。
-
「自動応答」タブを選択します。
-
変更する自動応答を選択します。
-
応答を一時停止または削除するには、アクションメニューを選択し、一時停止(または開始)または削除を選択します。
回答を変更するには、編集を選択してください。
-
アラートの深刻度以外の設定はすべて変更できます。
-
変更内容を保存するには、保存を選択してください。