Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP自律型ランサムウェア対策攻撃検出パラメータの管理

共同作成者 netapp-ahibbard netapp-dbagwell netapp-aaron-holt netapp-aherbin
PDF

ONTAP 9.11.1以降では、Autonomous Ransomware Protectionが有効になっている特定のボリュームでランサムウェア検出のパラメータを変更し、通常のファイルアクティビティとして既知の急増を報告できます。検出パラメータを調整すると、特定のボリュームワークロードに基づいてレポートの精度が向上します。

攻撃検出の仕組み

自律ランサムウェア保護(ARP)が学習モードまたは評価モードにある場合、ボリュームの動作に関するベースライン値を作成します。これには、エントロピー、ファイル拡張子、そしてONTAP 9.11.1以降ではIOPSが含まれます。設定されたベースラインは、ランサムウェアの脅威を評価するために使用されます。"ARPが検出する内容"

特定のボリュームやワークロードでは、異なる検出パラメータが必要です。たとえば、ARP対応ボリュームで多数の種類のファイル拡張子がホストされている場合、以前に見たことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、以前に見たことのないファイル拡張子に基づいて警告を無効にしたりすることができます。ONTAP 9 .11.1以降では、攻撃検出パラメータを変更して、特定のワークロードに適したパラメータにすることができます。

ONTAP 9.14.1以降では、ARPが新しいファイル拡張子を監視したとき、およびARPがスナップショットを作成したときにアラートを設定できます。詳細については、を参照してください [modify-alerts]

NAS環境における攻撃検出

ONTAP 9 .10.1では、次の両方の条件が検出されると、ARPは警告を発行します。

  • 以前にボリュームで認識されなかったファイル拡張子を持つファイルが20個を超える

  • 高エントロピーデータ

ONTAP 9.11.1以降では、_only_oneの条件が満たされた場合にARPから脅威警告が発行されます。たとえば、ボリュームで以前に観察されたことがないファイル拡張子を持つ20を超えるファイルが24時間以内に観察された場合、ARPはこれをthreat_expendered_of observed entropyに分類します。24時間と20ファイルの値はデフォルトであり、変更可能です。

メモ 誤検知アラートの数を減らすには、「ストレージ」>「ボリューム」>「セキュリティ」>「ワークロード特性の設定」に移動し、「新しいファイルタイプの監視」を無効にしてください。この設定は、 ONTAP 9.14.1 P7、9.15.1 P1、9.16.1以降ではデフォルトで無効になっています。
SAN環境における攻撃検出

ONTAP 9.17.1以降、ARPは自動的に学習されたしきい値を超える高い暗号化レートを検出すると警告を発します。このしきい値は、 "評価期間"ただし変更可能です。

攻撃検出パラメータの変更

ARP 対応ボリュームの予想される動作に応じて、攻撃検出パラメータを変更する必要がある場合があります。

手順

  1. 既存の攻撃検出パラメータを表示します。

    security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. 表示されているすべてのフィールドはブール値または整数値で変更できます。フィールドを変更するには、 `security anti-ransomware volume attack-detection-parameters modify`指示。

    の詳細については security anti-ransomware volume attack-detection-parameters modify、を"ONTAPコマンド リファレンス"参照してください。

既知のサージを報告

ARPは、アクティブな場合でも、検出パラメータのベースライン値の変更を継続します。ボリュームアクティビティのサージ(1回限りのサージ、またはニューノーマルの特徴であるサージ)を知っている場合は、それらを安全であると報告する必要があります。これらの急増を安全として手動で報告することは、ARPの脅威評価の精度を向上させるのに役立ちます。

1回限りの急増を報告する

  1. 既知の状況で1回限りのサージが発生していて、ARPで将来の状況でも同様のサージを報告する場合は、ワークロードの動作からサージをクリアします。

    security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

    の詳細については security anti-ransomware volume workload-behavior clear-surge、を"ONTAPコマンド リファレンス"参照してください。

ベースラインサージの修正

  1. 報告されたサージを通常のアプリケーション動作と見なす必要がある場合は、サージを報告してベースラインサージ値を変更します。

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

    詳細はこちら `security anti-ransomware volume workload-behavior update-baseline-from-surge`の中で"ONTAPコマンド リファレンス"

ARPアラートの設定

ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。

  • ボリューム上の新しいファイル拡張子の観測

  • ARPスナップショットの作成

これら2つのイベントのアラートは、個々のボリュームかSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は、アラートを有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベント アラートは、マルチ管理者認証で制御できます。詳細については、 "ARPで保護されたボリュームを使用したマルチ管理者検証"

手順

System Manager またはONTAP CLI を使用して、ARP イベントのアラートを設定できます。

System Manager
ボリュームのアラートの設定

  1. *ボリューム*に移動します。設定を変更するボリュームを個別に選択します。

  2. *セキュリティ*タブを選択し、次に*イベントの重大度設定*を選択します。

  3. 新しいファイル拡張子の検出*および*ランサムウェアのスナップショットの作成*に関するアラートを受信するには、「*重大度」の見出しの下にあるドロップダウンメニューを選択します。設定を「イベントを生成しない」から「通知」に変更します。

  4. [ 保存( Save ) ] を選択します。

SVMのアラートを設定する

  1. ストレージ VM に移動し、設定を有効にする SVM を選択します。

  2. 「セキュリティ」の見出しの下にある「ランサムウェア対策」カードをメニューオプションアイコン次に*ランサムウェア イベントの重大度を編集*します。

  3. 新しいファイル拡張子の検出*および*ランサムウェアのスナップショットの作成*に関するアラートを受信するには、「*重大度」の見出しの下にあるドロップダウンメニューを選択します。設定を「イベントを生成しない」から「通知」に変更します。

  4. [ 保存( Save ) ] を選択します。

CLI
ボリュームのアラートの設定

  • 新しいファイル拡張子にアラートを設定するには、次の手順を実行します。

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • コマンドを使用して設定を確認し `anti-ransomware volume event-log show`ます。

SVMのアラートを設定する

  • 新しいファイル拡張子にアラートを設定するには、次の手順を実行します。

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • コマンドを使用して設定を確認し `security anti-ransomware vserver event-log show`ます。

詳細はこちら `security anti-ransomware vserver event-log`コマンド"ONTAPコマンド リファレンス"

関連情報