自律型ランサムウェア対策攻撃検出パラメータの管理
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.11.1以降では、特定の自律型ランサムウェア対策が有効なボリュームでランサムウェア検出のパラメータを変更し、通常のファイルアクティビティとして既知の急増を報告できます。検出パラメータを調整すると、特定のボリュームワークロードに基づいてレポートの精度が向上します。
攻撃検出の仕組み
Autonomous Ransomware Protection(ARP;自律型ランサムウェア対策)がラーニングモードの場合、ボリューム動作のベースライン値が設定されます。これらはエントロピー、ファイル拡張子、およびONTAP 9.11.1以降のIOPSです。これらのベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの条件の詳細については、を参照してください。 ARPが検出するもの。
ONTAP 9.10.1では、次の両方の条件が検出されると、ARPは警告を発行します。
-
以前にボリュームで認識されなかったファイル拡張子を持つファイルが20個を超える
-
高エントロピーデータ
ONTAP 9.11.1以降では、_only_one条件が満たされた場合にARPから脅威警告が発行されます。たとえば、ボリュームで以前に観察されたことがないファイル拡張子を持つ20を超えるファイルが24時間以内に観察された場合、ARPはこれをthreat_expendered_of observed entropyに分類します。(24時間と20ファイルの値はデフォルトであり、変更可能です)。
ONTAP 9.14.1以降では、ARPが新しいファイル拡張子を監視したとき、およびARPがスナップショットを作成したときにアラートを設定できます。詳細については、を参照してください [modify-alerts]
特定のボリュームやワークロードでは、異なる検出パラメータが必要です。たとえば、ARP対応ボリュームで多数の種類のファイル拡張子がホストされている場合、以前に見たことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、以前に見たことのないファイル拡張子に基づいて警告を無効にしたりすることができます。ONTAP 9.11.1以降では、特定のワークロードに適した攻撃検出パラメータを変更できます。
攻撃検出パラメータの変更
ARP対応ボリュームの想定される動作によっては、攻撃検出パラメータを変更することができます。
-
既存の攻撃検出パラメータを表示します。
security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
表示されているフィールドはすべて、ブール値または整数値で変更できます。フィールドを変更するには、
security anti-ransomware volume attack-detection-parameters modify
コマンドを実行しますパラメータの完全なリストについては、を参照してください。 "ONTAP コマンドリファレンス"。
既知のサージを報告
ARPは、アクティブモードでも検出パラメータのベースライン値の変更を継続します。1回限りのサージ、または新しい日常の特徴であるサージのいずれかのボリュームアクティビティのサージを知っている場合は、それを安全として報告する必要があります。これらの急増を安全として手動で報告することは、ARPの脅威評価の精度を向上させるのに役立ちます。
-
既知の状況で1回限りのサージが発生していて、ARPで将来の状況でも同様のサージを報告する場合は、ワークロードの動作からサージをクリアします。
security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name
-
報告されたサージを通常のアプリケーション動作と見なす必要がある場合は、サージを報告してベースラインサージ値を変更します。
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name
ARPアラートの設定
ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。
-
ボリューム上の新しいファイル拡張子の観察
-
ARPスナップショットの作成
これら2つのイベントのアラートは、個 々 のボリュームまたはSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。
イベントアラートは、マルチ管理者検証で制御できます。詳細については、を参照してください ARPで保護されたボリュームを使用したマルチ管理者検証。
-
ボリュームに移動します。設定を変更するボリュームを個別に選択します。
-
セキュリティタブを選択し、イベントセキュリティ設定を選択します。
-
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
-
保存を選択します。
-
[Storage VM]**に移動し、設定を有効にするSVMを選択します。
-
[ Security*]見出しの下で、[ Anti-ransomware*]カードを探します。選択するオプション 次に、ランサムウェアイベントの重大度を編集します。
-
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
-
保存を選択します。
-
新しいファイル拡張子にアラートを設定するには、次の手順を実行します。
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true
-
ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true
-
を使用して設定を確認します。
anti-ransomware volume event-log show
コマンドを実行します
-
新しいファイル拡張子にアラートを設定するには、次の手順を実行します。
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true
-
ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true
-
を使用して設定を確認します。
security anti-ransomware vserver event-log show
コマンドを実行します