日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自律型ランサムウェア対策攻撃検出パラメータの管理

12/19/2023 共同作成者

ONTAP 9.11.1以降では、特定の自律型ランサムウェア対策が有効なボリュームでランサムウェア検出のパラメータを変更し、通常のファイルアクティビティとして既知の急増を報告できます。検出パラメータを調整すると、特定のボリュームワークロードに基づいてレポートの精度が向上します。

攻撃検出の仕組み

Autonomous Ransomware Protection（ARP；自律型ランサムウェア対策）がラーニングモードの場合、ボリューム動作のベースライン値が設定されます。これらはエントロピー、ファイル拡張子、およびONTAP 9.11.1以降のIOPSです。これらのベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの条件の詳細については、を参照してください。 ARPが検出するもの。

ONTAP 9.10.1では、次の両方の条件が検出されると、ARPは警告を発行します。

以前にボリュームで認識されなかったファイル拡張子を持つファイルが20個を超える
高エントロピーデータ

ONTAP 9.11.1以降では、_only_one条件が満たされた場合にARPから脅威警告が発行されます。たとえば、ボリュームで以前に観察されたことがないファイル拡張子を持つ20を超えるファイルが24時間以内に観察された場合、ARPはこれをthreat_expendered_of observed entropyに分類します。（24時間と20ファイルの値はデフォルトであり、変更可能です）。

ONTAP 9.14.1以降では、ARPが新しいファイル拡張子を監視したとき、およびARPがスナップショットを作成したときにアラートを設定できます。詳細については、を参照してください [modify-alerts]

特定のボリュームやワークロードでは、異なる検出パラメータが必要です。たとえば、ARP対応ボリュームで多数の種類のファイル拡張子がホストされている場合、以前に見たことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、以前に見たことのないファイル拡張子に基づいて警告を無効にしたりすることができます。ONTAP 9.11.1以降では、特定のワークロードに適した攻撃検出パラメータを変更できます。

攻撃検出パラメータの変更

ARP対応ボリュームの想定される動作によっては、攻撃検出パラメータを変更することができます。

手順

既存の攻撃検出パラメータを表示します。

security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

表示されているフィールドはすべて、ブール値または整数値で変更できます。フィールドを変更するには、 security anti-ransomware volume attack-detection-parameters modify コマンドを実行します

パラメータの完全なリストについては、を参照してください。 "ONTAP コマンドリファレンス"。

既知のサージを報告

ARPは、アクティブモードでも検出パラメータのベースライン値の変更を継続します。1回限りのサージ、または新しい日常の特徴であるサージのいずれかのボリュームアクティビティのサージを知っている場合は、それを安全として報告する必要があります。これらの急増を安全として手動で報告することは、ARPの脅威評価の精度を向上させるのに役立ちます。

1回限りの急増を報告する

既知の状況で1回限りのサージが発生していて、ARPで将来の状況でも同様のサージを報告する場合は、ワークロードの動作からサージをクリアします。

security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

ベースラインサージの修正

報告されたサージを通常のアプリケーション動作と見なす必要がある場合は、サージを報告してベースラインサージ値を変更します。

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

ARPアラートの設定

ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。

ボリューム上の新しいファイル拡張子の観察
ARPスナップショットの作成

これら2つのイベントのアラートは、個々のボリュームまたはSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベントアラートは、マルチ管理者検証で制御できます。詳細については、を参照してください ARPで保護されたボリュームを使用したマルチ管理者検証。

System Manager の略

ボリュームのアラートの設定

ボリュームに移動します。設定を変更するボリュームを個別に選択します。
セキュリティタブを選択し、イベントセキュリティ設定を選択します。
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
保存を選択します。

SVMのアラートを設定する

[Storage VM]**に移動し、設定を有効にするSVMを選択します。
[ Security*]見出しの下で、[ Anti-ransomware*]カードを探します。選択するオプション次に、ランサムウェアイベントの重大度を編集します。
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
保存を選択します。

CLI の使用