ブロックデバイスワークロードに対するONTAP ARP/AI評価期間について学ぶ
変更を提案
PDF
ONTAP 9.17.1以降、ARP/AIでは、ブロックデバイスワークロードのエントロピーレベルがランサムウェア対策に適しているかどうかを判断するための評価期間が必要です。これらのワークロードには、SAN LUNとハイパーバイザー仮想ディスク(NFSデータストア内のVMware仮想ディスク、およびONTAP 9.17.1P5以降ではHyper-V、KVM、OpenStack仮想ディスク)がONTAPボリュームに格納されます。対象ボリュームでARPが有効になると、ARP/AIは評価期間中、ボリュームを積極的に監視および保護すると同時に、最適な暗号化しきい値を決定します。評価期間中は、保守的なしきい値を使用して検出とアラートを実行でき、その間、数日間かけてベースラインしきい値が確立されます。ARPは、評価対象ボリューム内の適切なワークロードと不適切なワークロードを区別し、ワークロードが保護に適していると判断された場合は、評価期間の統計に基づいて暗号化しきい値を自動的に設定します。
サポートされているワークロードと評価の適用性
ブロックデバイスの評価期間は、以下のシナリオに適用されます:
-
SANボリューム
-
LUNベースのワークロードは、ホストまたはハイパーバイザーに対してブロックデバイスとして提示される。
-
-
ONTAPによって自動的に検出されたハイパーバイザー仮想ディスクを含むNASボリューム
-
サポートされているハイパーバイザーには、VMware、Hyper-V、KVM、およびNFSまたはSMBデータストアに保存されたOpenStack仮想ディスクが含まれます。
-
これらのボリューム内:
-
評価期間_は_、仮想ディスクのゲストファイルシステム内のエントロピー変化に基づいて検出された攻撃(例えば、LUNまたは仮想ディスクにマッピングされたゲストOS内のファイルに対して動作するランサムウェア)に適用されます。
-
評価期間は、ハイパーバイザーホストから仮想ディスクファイルに直接行われたエントロピーとファイル拡張子の変更に基づいて検出された攻撃には適用されません(例:ESXi NFSデータストアのマウントポイントから `.vmdk`ファイルに対して直接動作するランサムウェア)。これらのディスク直接攻撃は、ブロックデバイスの評価期間に依存しない、異なる検出経路を使用します。
ブロックデバイスとハイパーバイザー検出のバージョンサポート
-
ONTAP 9.17.1
-
SANボリュームのブロックデバイス評価期間について説明します。
-
SAN LUN内およびONTAP NFSデータストアに格納されたVMware仮想ディスク内のARP/AI攻撃検出を有効にします。
-
-
ONTAP 9.17.1P5以降
-
ARP/AIブロックデバイス検出をHyper-V、KVM、OpenStackなどのハイパーバイザー仮想ディスクに拡張します。
-
これらの追加のハイパーバイザーワークロードがONTAPによって検出されたときに、同じブロックデバイス評価ロジックとしきい値を適用します。
-
エントロピー評価を理解する
評価期間中、システムはサポートされているブロックデバイスおよびハイパーバイザーワークロードから10分間隔で継続的な暗号化統計を収集します。ARPの定期スナップショットも4時間ごとに継続的に作成されます。一定期間内の暗号化率がこのボリューム用に特定された最適な暗号化しきい値を超えると、アラートがトリガーされ、 `Anti_ransomware_attack_backup`スナップショットが作成され、定期的なARPスナップショットの保持時間が延長されます。
次のコマンドを実行し、ステータスが `evaluation_period`であることを確認することで、評価がアクティブであることを確認できます。ボリュームが評価対象でない場合は、評価ステータスは表示されません。
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>応答例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : evaluation_period
次のコマンドを実行することで、暗号化検出をリアルタイムで監視できます。このコマンドは、暗号化率の各範囲におけるデータ量を示すヒストグラムを返します。ヒストグラムは10分ごとに更新されます。
security anti-ransomware volume entropy-stat show-encryption-percentage-histogram -vserver <svm_name> -name <lun_name> -duration real_time応答例:
Vserver Name Entropy Range Seen N Time Data Written ---------- ---------------- --------------- -------------- ------------- vs0 lun1 0-5% 4 100MB vs0 lun1 6-10% 10 900MB vs0 lun1 11-15% 20 40MB vs0 lun1 16-20% 10 70MB vs0 lun1 21-25% 60 450MB vs0 lun1 26-30% 4 100MB vs0 lun1 31-35% 10 900MB vs0 lun1 36-40% 20 40MB vs0 lun1 41-45% 0 0 vs0 lun1 46-50% 0 0 vs0 lun1 51-55% 0 0 vs0 lun1 56-60% 0 0 vs0 lun1 61-65% 0 0 vs0 lun1 66-70% 0 0 vs0 lun1 71-75% 0 0 vs0 lun1 76-80% 0 0 vs0 lun1 81-85% 0 0 vs0 lun1 86-90% 0 0 vs0 lun1 91-95% 0 0 vs0 lun1 96-100% 0 0 20 entries were displayed.
適切なワークロードと適応しきい値
評価は、SAN LUNワークロードとブロックデバイス検出によって評価されたハイパーバイザー仮想ディスクの両方について、次のいずれかの結果で終了します。
-
このワークロードはARPに適しています。ARPは、評価期間中に観測された最大暗号化率の10%を超える値に適応しきい値を自動的に設定します。また、ARPは統計情報の収集を継続し、定期的にARPスナップショットを作成します。
-
ワークロードはARPに適していません。ARPは、評価期間中に確認された最大の暗号化率に適応しきい値を自動的に設定します。また、ARPは統計情報の収集を継続し、定期的にARPスナップショットを作成しますが、最終的にはボリューム上でARPを無効にすることを推奨します。
評価期間が終了すると、ARP は評価結果に基づいて適応しきい値を自動的に設定します。
次のコマンドを実行すると、評価結果を確認できます。ボリュームの適合性は `Block device detection status`フィールドに表示されます:
security anti-ransomware volume show -vserver <svm_name> -volume <volume_name>応答例:
Vserver Name : vs1 Volume Name : v1 State : enabled Attack Probability : none Attack Timeline : - Number of Attacks : - Attack Detected By : - Block device detection status : Active_suitable_workload Block device evaluation start time : 5/16/2025 01:49:01
評価の結果として採用された値のしきい値を表示することもできます:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>応答例:
Vserver Name : vs_1
Volume Name : vm_2
Block Device Auto Learned Encryption Threshold : 10
...