Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

異常な活動への対応

共同作成者
PDF

Autonomous Ransomware Protection(ARP)は、保護されたボリューム内の異常なアクティビティを検出すると警告を発行します。通知を評価して、アクティビティが許容可能か(false positive)、または攻撃が悪意のあるものと思われるかどうかを判断する必要があります。

タスクの内容

ARPは、高いデータエントロピー、データ暗号化を伴う異常なボリュームアクティビティ、異常なファイル拡張子の組み合わせを検出すると、疑わしいファイルのリストを表示します。

警告が表示されたら、次の2つの方法のいずれかでファイルアクティビティを指定して応答します。

  • 偽陽性

    指定されたファイルタイプはワークロードで想定されているものであり、無視してかまいません。

  • ランサムウェア攻撃の可能性

    特定されたファイルタイプはワークロードで想定されていないため、攻撃の可能性として扱う必要があります。

どちらの場合も、通知を更新してクリアすると、通常のモニタリングが再開されます。ARPは、選択したファイルアクティビティを使用して、脅威評価プロファイルに評価を記録します。

攻撃の疑いがある場合は、通知をクリアする前に、攻撃であるかどうかを確認し、攻撃である場合はそれに対応し、保護されたデータを復元する必要があります。"ランサムウェア攻撃から回復する方法の詳細をご覧ください"です。

メモ ボリューム全体をリストアする場合、クリアする通知はありません。
開始する前に

ARPはアクティブモードで実行されている必要があります。

手順

異常なタスクには、System ManagerまたはONTAP CLIを使用して対応できます。

System Manager

  1. 「異常なアクティビティ」の通知を受け取ったら、リンクをクリックしてください。または、[ボリューム]*概要の[セキュリティ]*タブに移動します。

    警告は*メニューの[概要]*ペインに表示されます。

  2. 「Detected abnormal volume activity」というメッセージが表示されたら、疑わしいファイルを確認します。

    タブで、[疑わしいファイルの種類の表示]*を選択します。

  3. [Suspected File Types]ダイアログボックスで、各ファイルタイプを確認し、「False Positive」または「Potential Ransomware Attack」としてマークします。

選択した値

対処方法

誤検出

[Update]*および[Clear Suspect File Types]*を選択して、決定を記録し、通常のARPモニタリングを再開します。

メモ ONTAP 9 .13.1以降では、MAVを使用してARP設定を保護している場合、clear-suspect操作によって、1人以上の追加管理者の承認を得るように求められます。"すべての管理者から承認を受ける必要があります"MAV承認グループに関連付けられているか、操作が失敗します。

ランサムウェア攻撃の可能性

攻撃に対応し、保護されたデータをリストアします。次に、* Update および Clear Suspect File Types *を選択して、決定を記録し、通常のARPモニタリングを再開します。ボリューム全体をリストアした場合、疑わしいファイルタイプをクリアする必要はありません。
CLI

  1. ランサムウェア攻撃の疑いがあるという通知を受け取ったら、攻撃の時間と重大度を確認します。

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    出力例:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、出力先をメモします。

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアントシステムでレポートを表示します。例:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08

19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd`

  4. ファイル拡張子の評価に基づいて、次のいずれかの操作を実行します。

    • False positive

      次のコマンドを入力して決定を記録し、許可された拡張子のリストに新しい拡張子を追加して、通常のランサムウェア対策の監視を再開します。
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      次のいずれかのパラメータを使用して、拡張子を識別します。疑わしいリスト内のファイルのシーケンス番号
      [-extension text, … ]
      `[-seq-no integer]`クリアするファイル範囲のファイル拡張子の
      `[-start-time date_time -end-time date_time]`開始時間と終了時間。形式は「MM/DD/YYYY HH:MM:SS」です。

    • ランサムウェア攻撃の可能性

      攻撃に応答し、"ARPによって作成されたバックアップスナップショットからデータをリカバリします"データがリカバリされたら、次のコマンドを入力して決定事項を記録し、通常のARPモニタリングを再開します。

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      次のいずれかのパラメータを使用して、拡張子を識別します。
      `[-seq-no integer]`疑わしいリスト内のファイルのシーケンス番号
      `[-extension text, … ]`ファイル拡張子
      `[-start-time date_time -end-time date_time]`消去するファイルの範囲の開始時刻と終了時刻。形式は"MM/DD/YYYY HH:MM:SS"です。

    ボリューム全体をリストアした場合、疑わしいファイルタイプをクリアする必要はありません。ARPによって作成されたバックアップスナップショットが削除され、攻撃レポートがクリアされます。

  5. MAVを使用していて、想定される操作に追加の承認が必要な場合 clear-suspect、各MAVグループ承認者は次の作業を行う必要があります。

    1. 要求を表示します。

      security multi-admin-verify request show

    2. 通常のランサムウェア対策監視の再開要求を承認します。

      security multi-admin-verify request approve -index[number returned from show request]

    最後のグループ承認者に対する応答は、ボリュームが変更され、誤検出が記録されたことを示します。

  6. MAVを使用していて、MAVグループ承認者である場合は、疑わしいリクエストを却下することもできます。

    security multi-admin-verify request veto -index[number returned from show request]

詳細情報