エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 ( CA08871-402 )

to English version

自律型ランサムウェア対策の攻撃検出パラメーターの管理

ONTAP 9.11.1以降では、自律型ランサムウェア対策が有効になっている特定のボリュームでランサムウェア検出用のパラメーターを変更して、既知のアクティビティ急増を通常のファイル アクティビティとして報告させることができます。検出パラメーターを調整すると、特定のボリュームのワークロードに基づくレポートの精度が向上します。

攻撃検出の仕組み

自律型ランサムウェア対策(ARP)が学習モードになっていると、ボリュームの動作にベースライン値が設定されます。具体的には、エントロピー、ファイル拡張子、およびONTAP 9.11.1以降ではIOPSについて、ベースラインが設定されます。設定されたベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの基準の詳細については、「ARPの検出対象」を参照してください。

ONTAP 9.10.1では、次の2つの条件が同時に検出されると、ARPから警告が発せられます。

  • これまでボリュームで観測されたことのないファイル拡張子が付いたファイルが20件以上

  • 高エントロピーのデータ

ONTAP 9.11.1以降では、条件が1つでも満たされると、ARPにより脅威に関する警告が発せられます。たとえば、これまでボリュームで観測されたことのないファイル拡張子が付いたファイルが、24時間以内に20件以上見つかった場合、ARPは、観測されたエントロピーに関係なく、この現象を脅威として分類します(この24時間とファイル20件という設定は、それぞれデフォルト値であり、変更できます)。

ONTAP 9.14.1以降では、ARPによって新しいファイル拡張子が見つかったタイミングや、ARPによってSnapshotが作成されたタイミングでアラートが発出されるように設定できます。詳細については、ARPアラートの設定を参照してください。

ボリュームやワークロードによっては、異なる検出パラメーターが必要になることがあります。たとえば、ARPが有効になっているボリュームにホストされるファイルの拡張子の種類が非常に多くなる場合です。この場合、これまで観測されたことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、これまで観測されたことのないファイル拡張子に基づく警告を無効にしたりすることが必要になる可能性があります。ONTAP 9.11.1以降では、特定のワークロードに合わせて攻撃検出パラメーターを変更できます。

攻撃検出パラメーターの変更

ARPが有効になっているボリュームで想定される動作に応じて、攻撃検出パラメーターの変更が必要になることがあります。

手順
  1. 既存の攻撃検出パラメーターを表示します。

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                                 Vserver Name : vs1
                                                  Volume Name : vol1
                Is Detection Based on High Entropy Data Rate? : true
      Is Detection Based on Never Seen before File Extension? : true
                      Is Detection Based on File Create Rate? : true
                      Is Detection Based on File Rename Rate? : true
                      Is Detection Based on File Delete Rate? : true
               Is Detection Relaxing Popular File Extensions? : true
                    High Entropy Data Surge Notify Percentage : 100
                     File Create Rate Surge Notify Percentage : 100
                     File Rename Rate Surge Notify Percentage : 100
                     File Delete Rate Surge Notify Percentage : 100
     Never Seen before File Extensions Count Notify Threshold : 20
           Never Seen before File Extensions Duration in Hour : 24
  2. 表示されているすべてのフィールドは、ブール値か整数値で変更できます。フィールドを変更するには、security anti-ransomware volume attack-detection-parameters modifyコマンドを使用します。

    すべてのパラメーターの一覧については、ONTAPコマンド リファレンスを参照してください。

既知のアクティビティ急増の報告

ARPでは、アクティブ モードでも検出パラメーターのベースライン値の変更が維持されます。1回限りの急増でも、新たな状況では正常な急増でも、それが既知のボリューム アクティビティの急増である場合は、安全なものとして報告する必要があります。既知のアクティビティ急増を安全なものとして手動で報告することで、ARPによる脅威評価の精度が高まります。

1回限りの急増の報告
  1. 既知の状況で1回限りの急増が発生しており、ARPに今後の状況でも同様の急増を報告させる場合は、ワークロードの動作から急増をクリアします。

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

急増のベースラインの変更
  1. 報告された急増をアプリケーションの正常な動作とする必要がある場合は、急増をそのように報告して急増のベースライン値を変更します。

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

ARPアラートの設定

ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。

  • ボリューム上の新しいファイル拡張子の観測

  • ARP Snapshotの作成

これら2つのイベントのアラートは、個々のボリュームかSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は、アラートを有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベント アラートは、マルチ管理者認証で制御できます。詳細については、「ARPで保護されたボリュームでのマルチ管理者認証」を参照してください。

ONTAP System Manager
ボリュームのアラートの設定
  1. [ボリューム]に移動します。設定を変更するボリュームを個別に選択します。

  2. [セキュリティ]タブを選択し、[イベントセキュリティ設定]を選択します。

  3. [新しいファイル拡張子が検出されました][ランサムウェアスナップショットが作成されました]のアラートを受け取るには、[Severity]のドロップダウン メニューを選択します。設定を[イベントを生成しない]から[通知]に変更します。

  4. [保存]を選択します。

SVMのアラートの設定
  1. [Storage VM]に移動し、設定を有効にするSVMを選択します。

  2. [Security]のところで[Anti-ransomware]カードを探します。3つの点を選択し、[Edit ランサムウェアイベントの重大度]を選択します。

  3. [新しいファイル拡張子が検出されました][ランサムウェアスナップショットが作成されました]のアラートを受け取るには、[Severity]のドロップダウン メニューを選択します。設定を[イベントを生成しない]から[通知]に変更します。

  4. [保存]を選択します。

CLI
ボリュームのアラートの設定
  • 新しいファイル拡張子に関するアラートを設定します。

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • ARP Snapshotの作成に関するアラートを設定します。

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • anti-ransomware volume event-log showコマンドで設定を確認します。

SVMのアラートの設定
  • 新しいファイル拡張子に関するアラートを設定します。

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • ARP Snapshotの作成に関するアラートを設定します。

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • security anti-ransomware vserver event-log showコマンドで設定を確認します。

Top of Page