Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ARPによって検出された異常なアクティビティに応答する

共同作成者 netapp-dbagwell netapp-ahibbard netapp-aherbin netapp-forry netapp-aaron-holt netapp-thomi
PDF

自律ランサムウェア保護(ARP)は、保護対象ボリューム内で異常なアクティビティを検出すると警告を発します。通知を評価し、アクティビティが許容できるもの(誤検知)か、攻撃が悪意のあるものかを判断する必要があります。攻撃を分類した後、疑わしいファイルに関する警告と通知をクリアできます。

攻撃を分類すると、ARP スナップショットは、分類操作によって開始された短縮期間にわたって保持されるか(ONTAP 9.16.1 以降)、または即座に削除されます(ONTAP 9.15.1 以前)。

メモ ONTAP 9.11.1 以降では、ARPスナップショットの"保持設定"を変更できます。
タスク概要

ARPは、高いデータエントロピー、データ暗号化を伴う異常なボリュームアクティビティ、および通常とは異なるファイル拡張子のいずれかの組み合わせを検出すると、疑わしいファイルのリストを表示します。NAS環境とSAN環境の両方において、ONTAP 9.17.1以降では、エントロピーの急上昇の詳細はSystem Managerの「ランサムウェア対策」ページにも報告されます。

ARP 警告通知が発行された場合は、次の 2 つの方法のいずれかでアクティビティを指定して応答します:

  • 誤検知

    特定されたファイルタイプまたはエントロピースパイクはワークロードで予期されるものであり、無視できます。

  • 潜在的なランサムウェア攻撃

    特定されたファイルタイプまたはエントロピースパイクは、ワークロードでは予期しないものであり、潜在的な攻撃として扱う必要があります。

決定を更新し、ARP通知をクリアすると、通常の監視が再開されます。ARPは脅威評価プロファイルに評価を記録し、その選択に基づいてその後のファイルアクティビティを監視します。

攻撃疑いのケースでは、通知をクリアする前に攻撃であるかどうかを判断し、攻撃である場合は対処して保護対象のデータをリストアする必要があります。"ランサムウェア攻撃から回復する方法の詳細"

メモ ボリューム全体をリストアした場合、クリアする通知はありません。
開始する前に

ARP はボリュームをアクティブに保護している必要があり、学習モードや評価モードであってはなりません。

手順

異常なアクティビティに対応するには、System Manager または ONTAP CLI を使用できます。

System Manager

  1. 「異常なアクティビティ」通知を受け取った場合は、リンクをクリックしてください。または、*ボリューム*概要の*セキュリティ*タブに移動します。

    警告は、Events メニューの Overview ペインに表示されます。

  2. セキュリティ タブで、疑わしいファイルの種類またはエントロピースパイクのレポートを確認します。

    • 疑わしいファイルについては、[疑わしいファイルの種類] ダイアログ ボックスで各ファイルの種類を調べ、それぞれを個別にマークします。

    • エントロピーの急上昇については、エントロピー レポートを調べます。

  3. 応答を記録します:

    この値を選択した場合…​

    対処方法

    偽陽性

    1. 次のいずれかを実行します。

      • ファイル タイプに関する警告の場合は、*疑わしいファイル タイプを更新してクリアする*を選択します。

      • エントロピースパイクの場合は、*誤検知としてマーク*を選択します。

        これらのアクションにより、疑わしいファイルまたはアクティビティに関する警告通知がクリアされます。その後、ARPはボリュームの通常の監視を再開します。ONTAP 9.16.1以降のARP/AIでは、分類操作によってトリガーされた短縮された保持期間の経過後にARPスナップショットが自動的に削除されます。ONTAP 9.15.1以前の場合、疑わしいファイルタイプをクリアすると、関連するARPスナップショットが自動的に削除されます。

      メモ ONTAP 9.13.1以降、MAVを使用してARP設定を保護している場合、clear-suspect操作では、1人以上の追加管理者の承認を取得するように求められます。"すべての管理者からの承認を得る必要があります"MAV承認グループに関連付けられているか、操作は失敗します。

    Potential Ransomware Attack

    1. 攻撃に応答する:

    2. データの復元が完了したら、決定を記録し、通常の ARP 監視を再開します:

      • ファイル タイプに関する警告の場合は、*疑わしいファイル タイプを更新してクリアする*を選択します。

      • エントロピースパイクの場合は、*潜在的なランサムウェア攻撃としてマーク*を選択し、*保存して閉じる*を選択します。

    メモ ボリューム全体を復元した場合、クリアする必要がある疑わしいファイル タイプ通知はありません。

    決定を記録すると、攻撃レポートがクリアされます。ONTAP 9.16.1以降のARP/AIでは、分類操作によってトリガーされた短縮保持期間の後、ARPスナップショットが自動的に削除されます。ONTAP 9.15.1以前では、ボリュームをリストアすると、ARPスナップショットが自動的に削除されます。
CLI
攻撃を確認する

  1. 潜在的なランサムウェア攻撃に関する通知を受け取ったら、攻撃を受けた時間と重大度を確認します。

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    出力例:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 5/12/2025 01:03:23
Number of Attacks: 1
Attack Detected By: encryption_percentage_analysis

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、保存場所を指定します:

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name]:[junction_path/sub_dir_name]>

    サンプルコマンド:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアントシステムでレポートを表示します。例:

    cat report_file_vs0_vol1_14-09-2021_01-21-08
行動を起こす

  1. ファイル拡張子またはエントロピースパイクの評価に基づいて、次のいずれかのアクションを実行します:

    • 偽陽性

      決定を記録し、通常の Autonomous Ransomware Protection 監視を再開するには、次のいずれかのコマンドを実行します:

      • ファイル拡張子の場合:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension_identifiers>] -false-positive true

        特定の拡張機能のみを誤検知として識別するには、次のオプション パラメータを使用します:

        • [-extension <text>, … ]:ファイル拡張子

      • エントロピースパイクの場合:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive true

    • 潜在的なランサムウェア攻撃

      攻撃に応答し、"ARPで作成されたバックアップSnapshotからデータをリカバリする"。データが回復されたら、以下のコマンドのいずれかを実行して決定を記録し、通常の ARP 監視を再開します:

      • ファイル拡張子の場合:

        anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

        特定の拡張機能のみを潜在的なランサムウェアとして識別するには、次のオプションパラメータを使用します:

        • [-extension <text>, … ]:ファイル拡張子

      • エントロピースパイクの場合:

        security anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> -start-time <MM/DD/YYYY HH:MM:SS> -end-time <MM/DD/YYYY HH:MM:SS> -false-positive false

    この `clear-suspect`操作により、攻撃レポートがクリアされます。ボリューム全体をリストアした場合、クリアする疑わしいファイルタイプの通知はありません。ONTAP 9.16.1以降のARP/AIでは、分類操作によってトリガーされた短縮された保持期間の経過後にARPスナップショットが自動的に削除されます。ONTAP 9.15.1以前の場合、ボリュームをリストアするか、疑わしいイベントをクリアすると、ARPスナップショットが自動的に削除されます。

  2. 9.18.1 以降では、 `clear-suspect`操作のステータスを判別できます:

    security anti-ransomware volume show -clear-suspect-status -volume <vol_name> -vserver <svm_name>
MAVオプション

  1. MAV を使用しており、予想される `clear-suspect`操作に追加の承認が必要な場合は、各 MAV グループ承認者は次の操作を行う必要があります:

    1. 要求を表示します。

      security multi-admin-verify request show

    2. ランサムウェア対策の通常の監視を再開する要求を承認します。

      security multi-admin-verify request approve -index[<number returned from show request>]

      最後のグループの承認者には、ボリュームが変更され、誤検出が記録された旨の応答が返されます。

  2. MAVを使用していて、MAVグループの承認者である場合、疑わしいファイル タイプのクリア要求を却下することもできます。

    security multi-admin-verify request veto -index[<number returned from show request>]
関連情報