AIを搭載したNetAppの自律型ランサムウェア保護でデータを保護
変更を提案
PDF
NetApp Autonomous Ransomware Protection with AI (ARP/AI) でデータを保護します。これは、NAS (NFS/SMB) 環境でのワークロード分析を使用して、ランサムウェア攻撃の可能性がある異常なアクティビティを検出し、警告する機能です。攻撃が疑われる場合、ARP/AI はデータを復元できる新しい不変のスナップショットも作成します。
ARP/AI を使用して、身代金が支払われるまで攻撃者がデータを保持するサービス拒否攻撃から保護します。 ARP/AI は、以下に基づいてリアルタイムのランサムウェア検出を提供します。
-
受信データを暗号化またはプレーンテキストとして識別します。
-
以下を検出する分析:
-
Entropy :ファイル内のデータのランダム性の評価
-
ファイル拡張子タイプ:通常の拡張子タイプと一致しない拡張子
-
ファイルIOPS :データ暗号化による異常なボリュームアクティビティの急増
-
ARP/AI は、少数のファイルが暗号化されただけでほとんどのランサムウェア攻撃の拡散を検出し、データを保護するためのアクションを自動的に実行し、疑わしい攻撃が発生していることを警告します。
ARP/AI 機能は、Amazon FSx for NetApp ONTAPが実行するONTAPバージョンに応じて自動的に更新されるため、手動で更新する必要はありません。
- 学習モードとアクティブモード
-
ARP/AI は最初に 学習モード で動作し、その後自動的に アクティブ モード に切り替わります。
-
学習モード: ARP/AI を有効にすると、学習モード で実行されます。学習モードでは、FSx for ONTAPファイル システムは、エントロピー、ファイル拡張子の種類、ファイル IOPS などの分析領域に基づいてアラート プロファイルを作成します。ファイル システムがワークロード特性を評価するのに十分な時間、ARP/AI を学習モードで実行した後、ワークロード ファクトリーは自動的に ARP/AI を アクティブ モード に切り替え、データの保護を開始します。
-
アクティブ モード: ARP/AI が アクティブ モード に切り替わると、脅威が検出された場合に FSx for ONTAP はデータを保護するために ARP/AI スナップショットを作成します。
アクティブモードで、ファイル拡張子が異常としてフラグされている場合は、アラートを評価する必要があります。アラートに対処してデータを保護したり、アラートを誤検出としてマークしたりできます。アラートをfalse positiveとしてマークすると、アラートプロファイルが更新されます。たとえば、新しいファイル拡張子によってアラートがトリガーされ、アラートをfalse positiveとしてマークした場合、次回そのファイル拡張子が監視されたときにアラートは受信されません。
-
- サポートされない構成
-
次の構成では、ARP/AI の使用はサポートされません。
-
SAN /ブロックボリューム
-
iSCSI ボリューム
-
NVMeボリューム
-
ファイルシステムまたはボリュームのARP/AIを有効にする
ファイル システムに対して ARP/AI を有効にすると、既存の NAS および新しく作成された NAS (NFS/SMB) ボリュームすべてに自動的に保護が追加されます。個々のボリュームに対して ARP/AI を有効にすることもできます。
ARP/AI を有効にした後、攻撃が発生し、それが実際の攻撃であると判断された場合、ワークロード ファクトリーは 4 時間ごとに最大 6 つのスナップショットを取得するスナップショット ポリシーを自動的に設定します。各スナップショットは 2 ~ 5 日間ロックされます。
ファイル システムまたはボリュームに対して ARP/AI を有効にするには、リンクを関連付ける必要があります。"既存のリンクを関連付ける方法、または新しいリンクを作成して関連付ける方法を学びます" 。リンクが関連付けられたら、この操作に戻ります。
-
いずれかを使用してログインし"コンソールエクスペリエンス"ます。
-
[ストレージ]で、*[ストレージインベントリに移動]*を選択します。
-
FSx for ONTAP タブで、ファイルシステムの 3 つのドット メニューを選択して ARP/AI を有効にし、管理 を選択します。
-
[情報] の下で、[Autonomous Ransomware Protection] の横にある鉛筆アイコンを選択します。 Autonomous Ransomware Protection 行の上にマウスを置くと、矢印の横に鉛筆アイコンが表示されます。
-
NetApp Autonomous Ransomware Protection with AI (ARP/AI) ページから、次の操作を行います。
-
機能を有効または無効にします。
-
自動スナップショット作成: 保持するスナップショットの最大数と、スナップショットを取得する間隔を選択します。デフォルトでは、4 時間ごとに 6 回のスナップショットが作成されます。
-
不変スナップショット: 不変スナップショットを保持するデフォルトの保持期間(時間単位)と最大日数を選択します。このオプションを有効にすると、指定された保持期間が終了するまでスナップショットを削除または変更できなくなります。
-
検出: オプションで、次のいずれかのパラメータを選択して、自動的にスキャンし、異常を検出します。
-
-
続行するには、ステートメントを受け入れます。
-
[適用]*を選択して変更を保存します。
-
いずれかを使用してログインし"コンソールエクスペリエンス"ます。
-
[ストレージ]で、*[ストレージインベントリに移動]*を選択します。
-
FSx for ONTAP タブで、ファイルシステムの 3 つのドット メニューを選択して ARP/AI を有効にし、管理 を選択します。
-
[ボリューム] タブで、ボリュームの 3 つのドット メニューを選択して ARP/AI を有効にし、次に データ保護アクション、ARP/AI の管理 を選択します。
-
ARP/AI の管理ダイアログで、次の操作を行います。
-
機能を有効または無効にします。
-
検出: オプションで、次のいずれかのパラメータを選択して、自動的にスキャンし、異常を検出します。
-
-
続行するには、ステートメントを受け入れます。
-
[適用]*を選択して変更を保存します。
ランサムウェア攻撃を検証
攻撃が誤ったアラームであるか、本物のランサムウェアインシデントであるかを特定
-
いずれかを使用してログインし"コンソールエクスペリエンス"ます。
-
[ストレージ]で、*[ストレージインベントリに移動]*を選択します。
-
ファイルシステムの概要で、*[ボリューム]*タブを選択します。
-
[Autonomous Ransomware Protection]タイルで[Analyze Attacks]*を選択します。
-
攻撃イベントレポートをダウンロードして、ファイルやフォルダが侵害されていないかどうかを確認し、攻撃が発生したかどうかを判断します。
-
攻撃が発生していない場合は、テーブル内のボリュームに対して* False alarm を選択し、 Close *を選択します。
-
攻撃が発生した場合は、表のボリュームに対して* Real Attack を選択します。[Restore compromised volume data]ダイアログが開きます。すぐにに進むか、[閉じる]*を選択して後でリカバリプロセスを完了することができますデータをリカバリ。
ランサムウェア攻撃のあとにデータをリカバリ
攻撃の疑いが検出されると、システムはその時点のボリュームSnapshotを作成し、そのコピーをロックします。後で攻撃が確認された場合は、ARP/AI スナップショットを使用して、影響を受けたファイルまたはボリューム全体を復元できます。
ロックされたSnapshotは保持期間が終了するまで削除できません。ただし、後で攻撃をfalse positiveとしてマークすると、ロックされたコピーは削除されます。
影響を受けるファイルと攻撃時間を把握していれば、ボリューム全体をSnapshotの1つに戻すだけでなく、さまざまなSnapshotから影響を受けるファイルを選択してリカバリできます。
-
いずれかを使用してログインし"コンソールエクスペリエンス"ます。
-
[ストレージ]で、*[ストレージインベントリに移動]*を選択します。
-
ファイルシステムの概要で、*[ボリューム]*タブを選択します。
-
[Autonomous Ransomware Protection]タイルで[Analyze Attacks]*を選択します。
-
攻撃が発生した場合は、表のボリュームに対して* Real Attack *を選択します。
-
[Restore compromised volume data]ダイアログで、指示に従って、ファイルレベルまたはボリュームレベルでリストアします。ほとんどの場合、ボリューム全体ではなくファイルをリストアします。
-
リストアが完了したら、*[閉じる]*を選択します。
侵害されたデータが復元されました。