Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ARPによって検出された異常なアクティビティへの対応

共同作成者
PDF

Autonomous Ransomware Protection(ARP)は、保護されたボリューム内の異常なアクティビティを検出すると警告を発行します。通知を評価して、アクティビティが許容可能か(false positive)、または攻撃が悪意のあるものと思われるかどうかを判断する必要があります。攻撃を分類したら、疑わしいファイルに関する警告と通知をクリアできます。

ONTAPは異常を検出すると、最適なリカバリポイントを作成するためのボリュームも作成します"ARPスナップショット"。ARPスナップショットは、デフォルトで2~5日間保持されます。

攻撃を分類すると、これらのARPスナップショットは即座に削除されるか(ONTAP 9.15.1以前)、分類操作によって開始される短縮期間(ONTAP 9.16.1以降)のいずれかで保持されます。

メモ ONTAP 9.11.1以降では、ARP Snapshotのを変更できます保持設定
タスクの内容

ARPは、高いデータエントロピー、データ暗号化を伴う異常なボリュームアクティビティ、異常なファイル拡張子の組み合わせを検出すると、疑わしいファイルのリストを表示します。

ARP警告が発行されたら、次のいずれかの方法でファイルアクティビティを指定して応答します。

  • 偽陽性

    指定されたファイルタイプはワークロードで想定されているものであり、無視してかまいません。

  • ランサムウェア攻撃の可能性

    特定されたファイルタイプはワークロードで想定されていないため、攻撃の可能性として扱う必要があります。

どちらの場合も、通知を更新してクリアすると、通常のモニタリングが再開されます。ARPは、選択したファイルアクティビティを使用して、脅威評価プロファイルに評価を記録します。

攻撃の疑いがある場合は、通知をクリアする前に、攻撃であるかどうかを確認し、攻撃である場合はそれに対応し、保護されたデータを復元する必要があります。"ランサムウェア攻撃から回復する方法の詳細をご覧ください"です。

メモ ボリューム全体をリストアする場合、クリアする通知はありません。
開始する前に

ARPはアクティブで、ラーニングモードではない必要があります。

手順

System ManagerまたはONTAP CLIを使用して、異常なアクティビティに対応できます。

System Manager

  1. 「異常なアクティビティ」の通知を受け取ったら、リンクをクリックしてください。または、[ボリューム]*概要の[セキュリティ]*タブに移動します。

    警告は*メニューの[概要]*ペインに表示されます。

  2. 異常なボリュームアクティビティの検出に関するメッセージが表示されたら、疑わしいファイルタイプを表示します。

    [セキュリティ]*タブで、疑わしいファイルタイプを確認するオプションを選択します。

  3. [Suspected File Types]ダイアログボックスで、各ファイルタイプを確認し、「False Positive」または「Potential Ransomware Attack」としてマークします。

    選択した値

    対処方法

    誤検出

    1. [更新]*および[疑わしいファイルの種類をクリア]*を選択して、決定内容を記録します。

      メモ ONTAP 9 .13.1以降では、MAVを使用してARP設定を保護している場合、clear-suspect操作によって、1人以上の追加管理者の承認を得るように求められます。"すべての管理者から承認を受ける必要があります"MAV承認グループに関連付けられているか、操作が失敗します。

      この操作により、疑わしいファイルに関する警告通知がクリアされます。その後、ARPはボリュームの通常の監視を再開します。ONTAP 9.15.1以前では、疑わしいファイルタイプをクリアすると、ARPスナップショットが自動的に削除されます。ONTAP 9.16.1以降のARP / AIでは、カテゴリ化処理によってトリガーされる短い保持期間が経過すると、ARP Snapshotが自動的に削除されます。

    ランサムウェア攻撃の可能性

    1. 攻撃に応答し、"保護されたデータのリストア"

    2. [Update]*および[Clear Suspect File Types]*を選択して、決定を記録し、通常のARPモニタリングを再開します。

    このアクションにより、攻撃レポートがクリアされます。ボリューム全体をリストアした場合、ファイルタイプが疑われる通知はクリアされません。ONTAP 9.15.1以前では、ボリュームのリストア後にARP Snapshotが自動的に削除されます。ONTAP 9.16.1以降のARP / AIでは、カテゴリ化処理によってトリガーされる短い保持期間が経過すると、ARP Snapshotが自動的に削除されます。
CLI

  1. ランサムウェア攻撃の疑いがあるという通知を受け取ったら、攻撃の時間と重大度を確認します。

    security anti-ransomware volume show -vserver <svm_name> -volume <vol_name>

    出力例:

    Vserver Name: vs0
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、出力先をメモします。

    security anti-ransomware volume attack generate-report -vserver <svm_name> -volume <vol_name> -dest-path <[svm_name:]vol_name/[sub-dir-name]>

    コマンド例:

    security anti-ransomware volume attack generate-report -vserver vs0 -volume vol1 -dest-path vs0:vol1

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアントシステムでレポートを表示します。例:

    cat report_file_vs0_vol1_14-09-2021_01-21-08

  4. ファイル拡張子の評価に基づいて、次のいずれかの操作を実行します。

    • False positive

      次のコマンドを実行して決定事項を記録し、許可される拡張子のリストに新しい拡張子を追加してから、通常の自律型ランサムウェア対策の監視を再開します。

      anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive true

      特定の拡張子のみをfalse positiveとして識別するには、次のオプションパラメータを使用します。

      • [-extension <text>, … ]:ファイル拡張子

        この操作により、 `clear-suspect`疑わしいファイルに関する警告通知がクリアされます。その後、ARPはボリュームの通常の監視を再開します。ONTAP 9.15.1以前では、疑わしいファイルタイプをクリアすると、ARPスナップショットが自動的に削除されます。ONTAP 9.16.1以降のARP / AIでは、カテゴリ化処理によってトリガーされる短い保持期間が経過すると、ARP Snapshotが自動的に削除されます。

    • ランサムウェア攻撃の可能性

      攻撃に応答し、"ARPによって作成されたバックアップスナップショットからデータをリカバリします"データがリカバリされたら、次のコマンドを実行して決定内容を記録し、通常のARPモニタリングを再開します。

      anti-ransomware volume attack clear-suspect -vserver <svm_name> -volume <vol_name> [<extension identifiers>] -false-positive false

      特定の拡張機能のみをランサムウェアの可能性があると特定するには、次のオプションパラメータを使用します。

      • [-extension <text>, … ]:ファイル拡張子

        この `clear-suspect`操作により、攻撃レポートがクリアされます。ボリューム全体をリストアした場合、ファイルタイプが疑われる通知はクリアされません。ONTAP 9.15.1以前では、ボリュームのリストア後にARP Snapshotが自動的に削除されます。ONTAP 9.16.1以降のARP / AIでは、カテゴリ化処理によってトリガーされる短い保持期間が経過すると、ARP Snapshotが自動的に削除されます。

  5. MAVを使用していて、想定される操作に追加の承認が必要な場合 clear-suspect、各MAVグループ承認者は次の作業を行う必要があります。

    1. 要求を表示します。

      security multi-admin-verify request show

    2. 通常のランサムウェア対策監視の再開要求を承認します。

      security multi-admin-verify request approve -index[<number returned from show request>]

      最後のグループ承認者に対する応答は、ボリュームが変更され、誤検出が記録されたことを示します。

  6. MAVを使用していて、MAVグループ承認者である場合は、疑わしいリクエストを却下することもできます。

    security multi-admin-verify request veto -index[<number returned from show request>]
関連情報