日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

自律型ランサムウェア対策攻撃検出パラメータの管理

11/11/2024 共同作成者

ONTAP 9 .11.1以降では、Autonomous Ransomware Protectionが有効になっている特定のボリュームでランサムウェア検出のパラメータを変更し、通常のファイルアクティビティとして既知の急増を報告できます。検出パラメータを調整すると、特定のボリュームワークロードに基づいてレポートの精度が向上します。

攻撃検出の仕組み

Autonomous Ransomware Protection（ARP；自律型ランサムウェア対策）がラーニングモードの場合、ボリューム動作のベースライン値が設定されます。これらはエントロピー、ファイル拡張子、およびONTAP 9 .11.1以降のIOPSです。これらのベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの条件の詳細については、を参照してくださいARPが検出する内容。

ONTAP 9 .10.1では、次の両方の条件が検出されると、ARPは警告を発行します。

以前にボリュームで認識されなかったファイル拡張子を持つファイルが20個を超える
高エントロピーデータ

ONTAP 9.11.1以降では、_only_one条件が満たされた場合にARPから脅威警告が発行されます。たとえば、ボリュームで以前に観察されたことがないファイル拡張子を持つ20を超えるファイルが24時間以内に観察された場合、ARPはこれをthreat_expendered_of observed entropyに分類します。24時間と20ファイルの値はデフォルトであり、変更可能です。

誤検出アラートの数を減らすには、[ストレージ]>[ボリューム]>[セキュリティ]>[ワークロード特性の設定]*に移動し、[新しいファイルタイプの監視]*を無効にします。この設定は、ONTAP 9ではデフォルトで無効になっています。14.1 P7、9.15.1 P1、および9.16.1 RC以降では無効になっています。

ONTAP 9 .14.1以降では、ARPが新しいファイル拡張子を監視したとき、およびARPがスナップショットを作成したときにアラートを設定できます。詳細については、を参照してください [modify-alerts]。

特定のボリュームやワークロードでは、異なる検出パラメータが必要です。たとえば、ARP対応ボリュームで多数の種類のファイル拡張子がホストされている場合、以前に見たことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、以前に見たことのないファイル拡張子に基づいて警告を無効にしたりすることができます。ONTAP 9 .11.1以降では、攻撃検出パラメータを変更して、特定のワークロードに適したパラメータにすることができます。

攻撃検出パラメータの変更

ARPが有効になっているボリュームで想定される動作に応じて、攻撃検出パラメータの変更が必要になることがあります。

手順

既存の攻撃検出パラメータを表示します。

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

表示されているすべてのフィールドは、ブール値か整数値で変更できます。フィールドを変更するには、コマンドを使用し `security anti-ransomware volume attack-detection-parameters modify`ます。

パラメータの完全なリストについては、を参照してください"ONTAPコマンドリファレンス"。

既知のサージを報告

ARPは、アクティブモードでも検出パラメータのベースライン値の変更を継続します。ボリュームアクティビティのサージ（1回限りのサージ、またはニューノーマルの特徴であるサージ）を知っている場合は、それらを安全であると報告する必要があります。これらの急増を安全として手動で報告することは、ARPの脅威評価の精度を向上させるのに役立ちます。

1回限りの急増を報告する

既知の状況で1回限りのサージが発生していて、ARPで将来の状況でも同様のサージを報告する場合は、ワークロードの動作からサージをクリアします。

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

ベースラインサージの修正

報告されたサージを通常のアプリケーション動作と見なす必要がある場合は、サージを報告してベースラインサージ値を変更します。

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

ARPアラートの設定

ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。

ボリューム上の新しいファイル拡張子の観測
ARPスナップショットの作成

これら2つのイベントのアラートは、個々のボリュームかSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は、アラートを有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベントアラートは、マルチ管理者検証で制御できます。詳細については、を参照してください ARPで保護されたボリュームを使用したマルチ管理者検証。

System Manager

ボリュームのアラートの設定

ボリュームに移動します。設定を変更するボリュームを個別に選択します。
セキュリティタブを選択し、イベントセキュリティ設定を選択します。
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
保存を選択します。

SVMのアラートを設定する

[Storage VM]**に移動し、設定を有効にするSVMを選択します。
[ Security*]見出しの下で、[ Anti-ransomware*]カードを探します。[Edit Ransomware Event Severity]を選択します。
新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。
保存を選択します。

CLI