日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Autonomous Ransomware Protection攻撃検出パラメータを管理する

01/23/2026 共同作成者

PDF

ONTAP 9.11.1以降では、Autonomous Ransomware Protectionが有効になっている特定のボリュームにおけるランサムウェア検出パラメータを変更し、既知の急増を通常のファイルアクティビティとして報告できるようになりました。検出パラメータを調整することで、特定のボリュームのワークロードに基づいたレポートの精度を向上させることができます。

攻撃検出の仕組み

Autonomous Ransomware Protection（ARP）が学習モードまたは評価モードにある場合、ボリュームの動作に関するベースライン値を作成します。これには、エントロピー、ファイル拡張子、そしてONTAP 9.11.1以降ではIOPSが含まれます。これらのベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの基準の詳細については、"ARPが検出するもの"を参照してください。

ボリュームやワークロードによっては、異なる検出パラメータが必要です。例えば、ARP対応ボリュームには多種多様なファイル拡張子がホストされている可能性があります。そのような場合、未知のファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、未知のファイル拡張子に基づく警告を無効にしたりすることを検討してください。ONTAP 9.11.1以降では、攻撃検出パラメータを変更して、特定のワークロードに適した設定にすることができます。

ONTAP 9.14.1以降では、ARPが新しいファイル拡張子を検出したとき、およびARPがスナップショットを作成したときにアラートを設定できます。詳細については、[modify-alerts]を参照してください。

NAS環境における攻撃検出

ONTAP 9.10.1では、次の2つの条件が同時に検出されると、ARPから警告が発せられます。

これまでボリュームで観測されたことのないファイル拡張子が付いたファイルが20件以上
高エントロピーのデータ

ONTAP 9.11.1以降、ARPは_1つの_条件が満たされた場合にのみ脅威警告を発行します。例えば、ボリューム内でこれまで確認されていないファイル拡張子を持つファイルが24時間以内に20個以上確認された場合、ARPはエントロピーの測定値に_関わらず_、これを脅威として分類します。24時間と20ファイルの値はデフォルト値であり、変更可能です。

誤検知アラートの数を減らすには、*ストレージ > ボリューム > セキュリティ > ワークロード特性の設定*に移動し、*新しいファイルタイプの監視*を無効にしてください。この設定は、ONTAP 9.14.1 P7、9.15.1 P1、9.16.1以降ではデフォルトで無効になっています。

SAN環境における攻撃検出

ONTAP 9.17.1以降、ARPは自動的に学習されたしきい値を超える高い暗号化レートを検出すると警告を発します。このしきい値は"評価期間"後に設定されますが、変更可能です。

攻撃検出パラメータの変更

ARP 対応ボリュームの予想される動作に応じて、攻撃検出パラメータを変更する必要がある場合があります。

手順

既存の攻撃検出パラメータを表示します。

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 5
       Never Seen before File Extensions Duration in Hour : 48

表示されているすべてのフィールドは、ブール値または整数値で変更できます。フィールドを変更するには、 security anti-ransomware volume attack-detection-parameters modify コマンドを使用してください。

`security anti-ransomware volume attack-detection-parameters modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-detection-parameters-modify.html["ONTAPコマンド リファレンス"^]をご覧ください。

既知のアクティビティ急増の報告

ARPは、アクティブな状態であっても、検出パラメータのベースライン値を変更し続けます。一時的な急増、あるいは新たな常態に特徴的な急増など、ボリュームアクティビティの急増が判明した場合は、安全であると報告してください。これらの急増を手動で安全であると報告することで、ARPによる脅威評価の精度向上につながります。

1回限りの急増の報告

既知の状況で1回限りの急増が発生していて、ARPに今後の状況でも同様の急増を報告させる場合は、ワークロードの動作から急増をクリアします。

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

`security anti-ransomware volume workload-behavior clear-surge`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-workload-behavior-clear-surge.html["ONTAPコマンド リファレンス"^]をご覧ください。

急増のベースラインの変更

報告された急増をアプリケーションの正常な動作とする必要がある場合は、急増をそのように報告して急増のベースライン値を変更します。

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

`security anti-ransomware volume workload-behavior update-baseline-from-surge`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-workload-behavior-update-baseline-from-surge.html["ONTAPコマンド リファレンス"^]をご覧ください。

ARPアラートの設定

ONTAP 9.14.1 以降、ARP では次の 2 つの ARP イベントのアラートを指定できます：

ボリューム上の新しいファイル拡張子の観測
ARP Snapshotの作成

これら2つのイベントのアラートは、個々のボリュームかSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は、アラートを有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベントアラートは、複数の管理者による認証で制御できます。詳細については、"ARPで保護されたボリュームでのマルチ管理者認証"をご覧ください。

手順

System Manager またはONTAP CLI を使用して、ARP イベントのアラートを設定できます。

System Manager

ボリュームのアラートの設定

*ボリューム*に移動します。設定を変更する個別のボリュームを選択します。
*セキュリティ*タブを選択し、*イベントの重大度設定*を選択します。
*New file extension detected*および*Ransomware snapshot created*に関するアラートを受信するには、*Severity*見出しの下にあるドロップダウンメニューを選択します。設定を*Don't generate event*から*Notice*に変更してください。
*保存*を選択します。

SVMのアラートの設定

Storage VM に移動し、設定を有効にする SVM を選択します。
*Security*見出しの下で、*Anti-ransomware*カードを見つけます。を選択してから、*Edit Ransomware Event Severity*を選択します。
*New file extension detected*および*Ransomware snapshot created*に関するアラートを受信するには、*Severity*見出しの下にあるドロップダウンメニューを選択します。設定を*Don't generate event*から*Notice*に変更してください。
*保存*を選択します。

CLI

ボリュームのアラートの設定

新しいファイル拡張子に関するアラートを設定します。

security anti-ransomware volume event-log modify -vserver <svm_name> -volume <volume_name> -is-enabled-on-new-file-extension-seen true`

ARP Snapshotの作成に関するアラートを設定します。

security anti-ransomware volume event-log modify -vserver <svm_name> -volume <volume_name> -is-enabled-on-snapshot-copy-creation true

`anti-ransomware volume event-log show`コマンドで設定を確認します。