Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ARPによって検出された異常なアクティビティへの対応

共同作成者 netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

Autonomous Ransomware Protection(ARP)は、保護されたボリューム内の異常なアクティビティを検出すると警告を発行します。通知を評価して、アクティビティが許容可能か(false positive)、または攻撃が悪意のあるものと思われるかどうかを判断する必要があります。攻撃を分類したら、疑わしいファイルに関する警告と通知をクリアできます。

攻撃を分類すると、ARP スナップショットは、分類操作によって開始された短縮期間にわたって保持されるか(ONTAP 9.16.1 以降)、または即座に削除されます(ONTAP 9.15.1 以前)。

メモ ONTAP 9.11.1以降では、 "保持設定" ARP スナップショット用。
タスクの内容

ARPは、データ エントロピーの上昇、データ暗号化に関連した異常なボリューム アクティビティ、および一般的でないファイル拡張子のいくつかを検出すると、疑わしいファイルのリストを表示します。ONTAP 9.17.1 以降では、NAS 環境と SAN 環境の両方で、エントロピー スパイクの詳細が System Manager の Anti-ransomware ページでも報告されるようになりました。

ARP 警告通知が発行された場合は、次の 2 つの方法のいずれかでアクティビティを指定して応答します。

  • 偽陽性

    特定されたファイル タイプまたはエントロピー スパイクはワークロードで予期されるものであり、無視できます。

  • ランサムウェア攻撃の可能性

    特定されたファイル タイプまたはエントロピー スパイクはワークロードでは予期されないものであり、潜在的な攻撃として扱う必要があります。

決定を更新し、ARP 通知をクリアすると、通常の監視が再開されます。ARPは、脅威評価プロファイルに評価を記録し、選択した評価に基づいて、後続のファイル アクティビティを監視します。

攻撃の疑いがある場合は、通知をクリアする前に、攻撃であるかどうかを確認し、攻撃である場合はそれに対応し、保護されたデータを復元する必要があります。"ランサムウェア攻撃から回復する方法の詳細をご覧ください"です。

メモ ボリューム全体をリストアする場合、クリアする通知はありません。
開始する前に

ARP はボリュームをアクティブに保護している必要があり、学習モードや評価モードであってはなりません。

手順

System ManagerまたはONTAP CLIを使用して、異常なアクティビティに対応できます。

System Manager

  1. 異常なアクティビティに関する通知を受け取ったら、リンクをクリックします。または、*ボリューム*概要の*セキュリティ*タブに移動します。

    警告は*メニューの[概要]*ペインに表示されます。

  2. セキュリティ タブで、疑わしいファイルの種類またはエントロピー スパイクのレポートを確認します。

    • 疑わしいファイルについては、[疑わしいファイルの種類] ダイアログ ボックスで各ファイルの種類を調べ、それぞれを個別にマークします。

    • エントロピーの急上昇については、エントロピー レポートを調べます。

  3. 応答を記録します:

    この値を選択した場合…​

    対処方法

    誤検出

    1. 次のいずれかを実行します。

      • ファイル タイプに関する警告の場合は、[疑わしいファイル タイプを更新してクリアする] を選択します。

      • エントロピースパイクの場合は、「誤検知としてマーク」を選択します。

        これらのアクションにより、疑わしいファイルまたはアクティビティに関する警告通知がクリアされます。その後、ARPはボリュームの通常の監視を再開します。ONTAP9.16.1以降のONTAP /AIでは、分類操作によってトリガーされた短縮された保持期間の経過後に、ARPスナップショットは自動的に削除されます。9.15.1以前のバージョンでは、疑わしいファイルタイプをクリアすると、関連するARPスナップショットが自動的に削除されますONTAP

      メモ ONTAP 9 .13.1以降では、MAVを使用してARP設定を保護している場合、clear-suspect操作によって、1人以上の追加管理者の承認を得るように求められます。"すべての管理者から承認を受ける必要があります"MAV承認グループに関連付けられているか、操作が失敗します。

    ランサムウェア攻撃の可能性

    1. 攻撃に応答する:

    2. データの復元が完了したら、決定を記録し、通常の ARP 監視を再開します。

      • ファイル タイプに関する警告の場合は、[疑わしいファイル タイプを更新してクリアする] を選択します。

      • エントロピースパイクの場合は、「潜在的なランサムウェア攻撃としてマーク」を選択し、「保存して閉じる」を選択します。

    メモ ボリューム全体を復元した場合、クリアする必要がある疑わしいファイル タイプ通知はありません。

    決定を記録すると、攻撃レポートがクリアされます。ONTAP9.16.1以降のONTAP /AIでは、分類操作によってトリガーされた短縮された保持期間の経過後に、ARPスナップショットは自動的に削除されます。9.15.1以前では、ボリュームをリストアするとARPスナップショットは自動的に削除されますONTAP
CLI

  1. ランサムウェア攻撃の疑いがあるという通知を受け取ったら、攻撃の時間と重大度を確認します。

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    出力例:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、保存場所を指定します。

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    コマンド例:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアントシステムでレポートを表示します。例:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. ファイル拡張子またはエントロピー スパイクの評価に基づいて、次のいずれかのアクションを実行します。

    • False positive

      決定を記録し、通常の Autonomous Ransomware Protection 監視を再開するには、次のいずれかのコマンドを実行します。

      • ファイル拡張子の場合:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        特定の拡張子のみをfalse positiveとして識別するには、次のオプションパラメータを使用します。

        • [-extension <text>, … ]:ファイル拡張子

      • エントロピースパイクの場合:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • ランサムウェア攻撃の可能性

      攻撃に対応し "ARPによって作成されたバックアップスナップショットからデータをリカバリします".データが回復されたら、次のコマンドのいずれかを実行して決定を記録し、通常の ARP 監視を再開します

      • ファイル拡張子の場合:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        特定の拡張機能のみをランサムウェアの可能性があると特定するには、次のオプションパラメータを使用します。

        • [-extension <text>, … ]:ファイル拡張子

      • エントロピースパイクの場合:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    これ `clear-suspect`操作により攻撃レポートがクリアされます。ボリューム全体をリストアした場合、クリアする疑わしいファイルタイプの通知はありません。ONTAP9.16.1以降のONTAP /AIでは、分類操作によってトリガーされた短縮された保持期間の経過後に、ARPスナップショットは自動的に削除されます。9.15.1以前では、ボリュームをリストアするか疑わしいイベントをクリアすると、ARPスナップショットは自動的に削除されますONTAP

  5. MAVを使用していて、想定される操作に追加の承認が必要な場合 clear-suspect、各MAVグループ承認者は次の作業を行う必要があります。

    1. 要求を表示します。

      security multi-admin-verify request show

    2. 通常のランサムウェア対策監視の再開要求を承認します。

      security multi-admin-verify request approve -index[<number returned from show request>]

      最後のグループ承認者に対する応答は、ボリュームが変更され、誤検出が記録されたことを示します。

  6. MAVを使用していて、MAVグループ承認者である場合は、疑わしいリクエストを却下することもできます。

    security multi-admin-verify request veto -index[<number returned from show request>]
関連情報