Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ARPによって検出された異常なアクティビティに応答する

共同作成者 netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

自律型ランサムウェア対策(ARP)は、保護対象ボリューム内で異常なアクティビティを検出すると、警告を発します。通知を評価して、その活動が許容範囲内(誤検知)なのか、それとも悪意のある攻撃なのかを判断する必要があります。攻撃を分類した後、異常なアクティビティに関する警告や通知を消去できます。

攻撃を分類すると、ARPスナップショットは分類操作によって開始された短い期間保持されるか(ONTAP 9.16.1以降)、または疑わしいイベントをクリアすると即座に削除されます(ONTAP 9.15.1以前)。

メモ ONTAP 9.11.1 以降では、ARPスナップショットの"保持設定"を変更できます。
タスク概要

NASボリュームの場合、ARPは、高いデータエントロピー、データ暗号化を伴う異常なボリュームアクティビティ、および通常とは異なるファイル拡張子のいずれかの組み合わせを検出すると、疑わしいファイルのリストを表示します。

ONTAP 9.17.1以降:

  • NASボリュームの場合:ARPは引き続き疑わしいファイルとファイルの種類を提供します。

  • * SANボリュームの場合*(LUNまたはNVMe namespaceを含むボリューム):ARPはボリュームレベルでのみエントロピーを評価します。ONTAPはLUNまたはnamespace内の個々のファイルを認識しないため、疑わしいファイルリストやファイルタイプは*利用できません*。その代わりに、ARPは暗号化率(エントロピースパイク)のボリュームレベルでの急上昇を報告します。

NASボリュームとSANボリュームの両方におけるエントロピーの急増に関する詳細は、System Managerの「ランサムウェア対策」ページに報告されます。

ARP 警告通知が発行された場合は、次の 2 つの方法のいずれかでアクティビティを指定して応答します:

  • 誤検知

    特定されたファイルタイプまたはエントロピースパイクはワークロードで予期されるものであり、無視できます。

  • 潜在的なランサムウェア攻撃

    特定されたファイルタイプまたはエントロピースパイクは、ワークロードでは予期しないものであり、潜在的な攻撃として扱う必要があります。

決定を更新し、ARP通知をクリアすると、通常の監視が再開されます。ARPは脅威評価プロファイルに評価を記録し、その選択に基づいてその後のファイルアクティビティを監視します。

攻撃が疑われる場合は、それが攻撃であるかどうかを判断し、攻撃である場合は対応し、その後、復旧方法とONTAPバージョンに必要な順序で通知をクリアしてデータを復元する必要があります。"ランサムウェア攻撃から回復する方法の詳細".

開始する前に

ARP はボリュームをアクティブに保護している必要があり、学習モードや評価モードであってはなりません。

手順

異常なアクティビティを分類する必要がある場合は、次の手順に従ってください:

  1. 異常なアクティビティの詳細を確認する

  2. 疑わしいイベントをクリアする際のSnapshotの動作と承認について理解する

  3. 次のいずれかを実行します。

データの復元が必要な場合は、"ランサムウェア攻撃後のONTAP ARPスナップショットからデータを復元する"の手順を使用します。

異常なアクティビティの詳細を確認する

システムマネージャーまたはONTAP CLIを使用して、応答フローを選択する前にARP警告の詳細を確認できます。

System Manager

  1. 「異常なアクティビティ」の通知を受け取ったら、リンクをクリックしてください。または、ストレージ > ボリューム に移動し、影響を受けるボリュームを見つけて、セキュリティ タブを選択します。

    警告は、System Managerダッシュボードの*Events*メニューの*Overview*ペインに表示されます。

  2. *Security*タブで、異常なアクティビティの詳細を確認します:

    • NASボリュームについては、*Suspected file types*レポートを確認してください。*Suspected File Types*ダイアログボックスには、ARPが識別したファイル拡張子とファイル数が表示されます。

    • NASボリュームとSANボリュームの両方について、エントロピースパイクレポートを確認してください。このレポートには、発生時間、期間、書き込まれたデータ量、およびエントロピー値が表示されます。

CLI

  1. 潜在的なランサムウェア攻撃に関する通知を受け取ったら、攻撃を受けた時間と重大度を確認します。

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    出力例:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. (オプション、NASおよびSAN)ボリューム上で検出された最近のエントロピースパイクを表示します:

    security anti-ransomware volume entropy-stat show-recent-high-encryption-stat -vserver <svm_name> -volume <vol_name>

    このコマンドは、ONTAPが高い暗号化率(エントロピーの急上昇)を検出した時間枠を要約します。これはNASボリュームとSANボリュームの両方に適用されます。

  3. (オプション)時間の経過に伴う暗号化率のヒストグラムを表示します:

    security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -volume <vol_name>

疑わしいイベントをクリアする際のSnapshotの動作と承認について理解する

  • `volume snapshot restore`ONTAP 9.16.1以降では、まず疑わしいイベントをクリアしてから復元を実行してください。疑わしいファイルをクリアした後、ARPスナップショットは、アクティビティの分類方法に基づいて保持されます:アクティビティをランサムウェア攻撃の可能性としてマークした場合は7日間(デフォルト)、誤検知としてマークした場合は24時間です。最初にクリアしても、復元対象は削除されません。さらに、ボリューム復元後にはclear-suspectオプションが使用できなくなるため、復元前に必ずクリアする必要があります。

  • ONTAP 9.15.1以前の場合 `volume snapshot restore`は、まずリストアを実行してから、疑わしいイベントをクリアしてください。疑わしいファイルをクリアすると、ARPスナップショットは即座に削除されるため、リストア処理が実行される前にスナップショットが失われないようにするには、クリアする前にリストアを完了する必要があります。

  • `volume snapshot restore`以外の回復方法(例えば、FlexCloneまたは単一ファイルSnapRestore)の場合は、まずデータ復旧を実行してから、疑わしいイベントをクリアしてください。これらの方法は、clear-suspectオプションの可用性に影響しません。

  • ONTAP 9.13.1以降、ARP設定を保護するためにMAVを使用する場合、 `clear-suspect`操作には追加の承認が必要となる場合があります。"すべての管理者からの承認を得る必要があります"MAV承認グループに関連付けられていない場合、操作は失敗します。

偽陽性として分類し、監視を再開する

特定されたファイルタイプまたはエントロピースパイクがワークロードに対して_想定される_場合は、このフローを使用します。

System Manager

  1. 応答を記録します:

    • NAS ファイルタイプの警告については、影響を受けるファイルを選択し、*誤検出としてマーク*を選択してから、*疑わしいファイルタイプの更新とクリア*を選択してください。

    • エントロピーの急上昇(NASおよびSAN)については、*誤検出としてマーク*を選択し、*保存して閉じる*を選択してください。

これらの操作により、疑わしいファイル(NAS)または異常なアクティビティ(NASおよびSAN)に関する警告通知が解除されます。その後、ARPはボリュームの通常の監視を再開します。

CLI

  1. 決定を記録し、通常の Autonomous Ransomware Protection 監視を再開するには、次のいずれかのコマンドを実行します:

    • NAS ファイル拡張子の場合:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

      以下のオプションパラメータを使用すると、特定の拡張機能のみを誤検出として識別できます: [-extension <text>, …​ ]

    • エントロピーの急増(NASおよびSAN)の場合:

      security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

      SANボリュームの場合、これが異常なアクティビティを分類する唯一のサポートされている方法です。疑わしいファイルリストやファイル拡張子はありません。

  2. ONTAP 9.18.1以降では、 `clear-suspect`操作のステータスを確認できます:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

ランサムウェア攻撃の可能性を分類し、データを復旧する

ワークロードに対して、検出されたファイルの種類またはエントロピーの急上昇が_予期しない_場合は、このフローを使用してください。

System Manager

  1. アクティビティを分類:

    • NASファイルタイプの警告については、選択したファイルを*ランサムウェア攻撃の可能性あり*としてマークします。

    • エントロピーの急上昇(NASおよびSAN)については、*ランサムウェア攻撃の可能性ありとしてマーク*を選択します。

  2. データを復元する前に、"リカバリ方法のオプション"を検討する必要があります。次に、以下のいずれかの操作を行ってください。

    • ONTAP 9.16.1以降でボリュームを復元する場合:通知をクリアしてから、ボリュームを復元します:

      1. 潜在的な攻撃に関する通知をクリア:

        • NAS ファイルタイプの警告については、* Update and Clear Suspected File Types * を選択します。

        • エントロピーの急上昇(NASおよびSAN)については、*保存して閉じる*を選択してください。

          メモ 疑わしいファイルを削除した後、ARPスナップショットは(デフォルトでは)7日間保持されます。データ復旧にもっと時間が必要な場合は、"ARPスナップショット設定を調整する"スナップショットの保持時間を希望の値まで延長します。すべてのデータ復旧が完了したら、保持時間を短縮できます。

      2. "最新のARPスナップショットまたはそれ以前のスナップショット"を使用してデータをリカバリします。

    • ONTAP 9.15.1以前のバージョンでボリュームをリストアする場合:ボリュームをリストアしてから、通知をクリアします。

      1. "最新のARPスナップショットまたはそれ以前のスナップショット"を使用してデータをリカバリします。

      2. データ復元後にカテゴリ分類を確定し、通常のARP監視を再開します:

        • NAS ファイルタイプの警告については、* Update and Clear Suspected File Types * を選択します。

        • エントロピーの急上昇(NASおよびSAN)については、*保存して閉じる*を選択してください。

    • 別の復元方法を使用する場合:まずデータを復元してから、通知をクリアしてください。

      1. "FlexCloneまたは単一ファイルSnapRestoreを使用したデータのリカバリ"

      2. データ復元後に分類を確定し、通常のARP監視を再開します:

        • NAS ファイルタイプの警告については、* Update and Clear Suspected File Types * を選択します。

        • エントロピーの急上昇(NASおよびSAN)については、*保存して閉じる*を選択してください。

          メモ 決定を記録すると、攻撃レポートがクリアされます。
CLI

  1. (NASボリュームのみ)攻撃レポートを作成する:

    1. 攻撃レポートを生成し、保存場所を指定します。

      security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

      サンプルコマンド:

      security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

      出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

    1. 管理クライアントシステムでレポートを表示します。例:

      cat report_file_vs0_vol1_14-09-2021_01-21-08
      メモ このコマンドは、LUNまたはNVMeネームスペース(SANワークロード)を含むボリュームでは*サポートされていません*。

  2. "リカバリ方法"を選択します。次に、以下のいずれかを実行します:

    • * `volume snapshot restore`の使用を予定している場合*:リリース固有の手順に従ってください。

      • ONTAP 9.16.1以降:まず攻撃をクリアしてから実行してください volume snapshot restore

        1. 疑わしいファイルをクリアするには、以下のいずれかのコマンドを実行してください:

          • NAS ファイル拡張子の場合:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            以下のオプションパラメータを使用して、特定の拡張子のみをランサムウェアの可能性があるものとして識別します: [-extension <text>, …​ ]

          • エントロピーの急増(NASおよびSAN)の場合:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            SANボリュームの場合は、リカバリ前にこのコマンドを使用して攻撃を確認してください。これにより、SANワークロードのARP脅威評価が更新されます。

        2. "最近の ARP Snapshot または以前の Snapshot"を使用してデータをリカバリします。

      • ONTAP 9.15.1以前:実行 `volume snapshot restore`まず、次に攻撃を排除する:

        1. "最近の ARP Snapshot または以前の Snapshot"を使用してデータをリカバリします。

        2. 疑わしいファイルをクリアするには、以下のいずれかのコマンドを実行してください:

          • NAS ファイル拡張子の場合:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

            以下のオプションパラメータを使用して、特定の拡張子のみをランサムウェアの可能性があるものとして識別します: [-extension <text>, …​ ]

          • エントロピーの急増(NASおよびSAN)の場合:

            security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

            SANボリュームの場合は、このコマンドを使用してリカバリ後に攻撃を確認します。これにより、SANワークロードのARP脅威評価が更新されます。

    • 他の復旧方法を使用する場合:まずデータを復元してから、攻撃をクリアしてください。

      1. "FlexCloneまたは単一ファイルSnapRestore"を使用してデータをリカバリします。

      2. 疑わしいファイルを削除するには、以下のいずれかのコマンドを実行してください:

        • NAS ファイル拡張子の場合:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

          以下のオプションパラメータを使用して、特定の拡張子のみをランサムウェアの可能性があるものとして識別します: [-extension <text>, …​ ]

        • エントロピーの急増(NASおよびSAN)の場合:

          security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

          SANボリュームの場合は、このコマンドを使用してリカバリ後に攻撃を確認します。これにより、SANワークロードのARP脅威評価が更新されます。

  3. ONTAP 9.18.1以降では、 `clear-suspect`操作のステータスを確認できます:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>

複数管理者による検証オプション

マルチ管理者検証(MAV)を使用していて、予想される `clear-suspect`処理に追加の承認が必要な場合、各MAVグループ承認者は次の操作を行う必要があります:

  1. 要求を表示します。

    security multi-admin-verify request show

  2. ランサムウェア対策の通常の監視を再開する要求を承認します。

    security multi-admin-verify request approve -index[<number returned from show request>]

    最後のグループの承認者には、ボリュームが変更され、誤検出が記録された旨の応答が返されます。

MAVを使用していて、MAVグループの承認者である場合、疑わしいファイル タイプのクリア要求を却下することもできます。

security multi-admin-verify request veto -index[<number returned from show request>]
関連情報