Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

異常な活動に対応する。

共同作成者

Autonomous Ransomware Protection(ARP)は、保護されたボリュームで異常なアクティビティを検出すると、警告を発行します。通知を評価して、アクティビティが予想され、受け入れ可能かどうか、または攻撃が進行中かどうかを判断する必要があります。

このタスクについて

ARPは、高データエントロピー、データ暗号化による異常なボリュームアクティビティ、および異常なファイル拡張子の組み合わせを検出すると、疑わしいファイルのリストを表示します。

警告が発行されると、次の 2 つの方法のいずれかでファイルアクティビティにマークを付けることによって応答できます。

  • 誤検出

    特定されたファイルタイプはワークロードに想定されているため、無視してかまいません。

  • ランサムウェア攻撃の可能性

    特定されたファイルタイプは、ワークロード内で予期せぬものであり、攻撃の可能性として扱う必要があります。

どちらの場合も、通知を更新してクリアすると、通常のモニタリングが再開されます。ARPは、脅威評価に評価を記録し、新しいファイルタイプでログを更新して、将来の分析に使用します。

攻撃の疑いがある場合は、通知をクリアする前に、攻撃であるかどうかを確認し、攻撃である場合はそれに対応し、保護されたデータを復元する必要があります。 "ランサムウェア攻撃から回復する方法の詳細をご覧ください"

メモ ボリューム全体をリストアした場合、クリアする通知はありません。
作業を開始する前に
  • ARPはアクティブモードで実行されている必要があります。

例 1. 手順
System Manager の略
  1. 「異常なアクティビティ」通知が表示されたら、リンクをクリックするか、[ボリューム]*概要の[セキュリティ]*タブに移動します。

    警告は*メニューの[概要]*ペインに表示されます。

  2. 「 Detected Abnormal volume activity (異常ボリュームアクティビティの検出)」というメッセージが表示されたら、疑わしいファイルを確認します。

    タブで、[疑わしいファイルの種類の表示]*を選択します。

  3. [ 疑わしいファイルの種類 * ] ダイアログボックスで、各ファイルの種類を調べて、「 False Positive 」または「 Potential Ransomware Attack 」としてマークします。

選択した値

対処方法

誤検出

[Update]*および[Clear Suspect File Types]*を選択して、決定を記録し、通常のARPモニタリングを再開します。

メモ ONTAP 9.13.1以降では、MAVを使用してARP設定を保護している場合、clear-suspect操作によって、1人以上の追加管理者の承認を得るように求められます。 "すべての管理者から承認を受ける必要があります" MAV承認グループに関連付けられているか、操作が失敗します。

潜在的なランサムウェア攻撃

攻撃に対応し、保護されたデータを復元します。次に、* Update および Clear Suspect File Types *を選択して、決定を記録し、通常のARPモニタリングを再開します。[+]
ボリューム全体をリストアした場合、クリアされる疑わしいファイルタイプは存在しません。

CLI の使用
  1. ランサムウェア攻撃の疑いがある場合は、攻撃の時間と重大度を確認します。

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    出力例:

    Vserver Name: vs0
    Volume Name: vol1
    State: enabled
    Attack Probability: moderate
    Attack Timeline: 9/14/2021 01:03:23
    Number of Attacks: 1

    EMS メッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、出力先をメモします。

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアントシステムのレポートを表示します。例:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08
    
    19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
    20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
    21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`
  4. ファイル拡張子の評価に基づいて、次のいずれかの操作を実行します。

    • 誤検出

      次のコマンドを入力して決定を記録し、許可された拡張子のリストに新しい拡張子を追加して、通常のランサムウェア対策の監視を再開します。
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      拡張機能を識別するには、次のいずれかのパラメータを使用します。
      [-seq-no integer] 疑わしいリスト内のファイルのシーケンス番号。
      [-extension text, … ] ファイル拡張子
      [-start-time date_time -end-time date_time] 消去されるファイル範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。

    • ランサムウェア攻撃の可能性

      攻撃に応答し "ARPによって作成されたバックアップスナップショットからデータをリカバリします"。データがリカバリされたら、次のコマンドを入力して決定事項を記録し、通常のARPモニタリングを再開します。

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      拡張機能を識別するには、次のいずれかのパラメータを使用します。
      [-seq-no integer] 疑わしいリスト内のファイルのシーケンス番号
      [-extension text, … ] ファイル拡張子
      [-start-time date_time -end-time date_time] 消去されるファイル範囲の開始時刻と終了時刻。形式は「MM/DD/YYYY HH:MM:SS」です。

    ボリューム全体をリストアした場合、クリアされる疑わしいファイルタイプは存在しません。ARPによって作成されたバックアップスナップショットが削除され、攻撃レポートがクリアされます。

  5. MAVと予想されるを使用している場合 clear-suspect 操作には追加の承認が必要です。各MAVグループ承認者は次のことを行います。

    1. 要求を表示します。

      security multi-admin-verify request show

    2. 通常のランサムウェア対策監視の再開要求を承認します。

      security multi-admin-verify request approve -index[number returned from show request]

    最後のグループ承認者に対する応答は、ボリュームが変更され、誤検出が記録されたことを示します。

  6. MAVを使用していて、MAVグループ承認者である場合は、疑わしいリクエストを却下することもできます。

    security multi-admin-verify request veto -index[number returned from show request]