エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

自律型ランサムウェア対策の攻撃検出パラメーターの管理

ONTAP 9.11.1以降では、自律型ランサムウェア対策が有効になっている特定のボリュームでランサムウェア検出用のパラメーターを変更して、既知のアクティビティ急増を通常のファイル アクティビティとして報告させることができます。検出パラメーターを調整すると、特定のボリュームのワークロードに基づくレポートの精度が向上します。

攻撃検出の仕組み

自律型ランサムウェア対策(ARP)が学習モードになっていると、ボリュームの動作にベースライン値が設定されます。具体的には、エントロピー、ファイル拡張子、およびONTAP 9.11.1以降ではIOPSについて、ベースラインが設定されます。設定されたベースラインは、ランサムウェアの脅威を評価するために使用されます。これらの基準の詳細については、「ARPの検出対象」を参照してください。

ONTAP 9.10.1では、次の2つの条件が同時に検出されると、ARPから警告が発せられます。

  • これまでボリュームで観測されたことのないファイル拡張子が付いたファイルが20件以上

  • 高エントロピーのデータ

ONTAP 9.11.1以降では、条件が1つでも満たされると、ARPにより脅威に関する警告が発せられます。たとえば、これまでボリュームで観測されたことのないファイル拡張子が付いたファイルが、24時間以内に20件以上見つかった場合、ARPは、観測されたエントロピーに関係なく、この現象を脅威として分類します(この24時間とファイル20件という設定は、それぞれデフォルト値であり、変更できます)。

ONTAP 9.14.1以降では、ARPによって新しいファイル拡張子が見つかったタイミングや、ARPによってSnapshotが作成されたタイミングでアラートが発出されるように設定できます。詳細については、ARPアラートの設定を参照してください。

ボリュームやワークロードによっては、異なる検出パラメーターが必要になることがあります。たとえば、ARPが有効になっているボリュームにホストされるファイルの拡張子の種類が非常に多くなる場合です。この場合、これまで観測されたことのないファイル拡張子のしきい値をデフォルトの20よりも大きい値に変更したり、これまで観測されたことのないファイル拡張子に基づく警告を無効にしたりすることが必要になる可能性があります。ONTAP 9.11.1以降では、特定のワークロードに合わせて攻撃検出パラメーターを変更できます。

攻撃検出パラメーターの変更

ARPが有効になっているボリュームで想定される動作に応じて、攻撃検出パラメーターの変更が必要になることがあります。

手順
  1. 既存の攻撃検出パラメーターを表示します。

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                                 Vserver Name : vs1
                                                  Volume Name : vol1
                Is Detection Based on High Entropy Data Rate? : true
      Is Detection Based on Never Seen before File Extension? : true
                      Is Detection Based on File Create Rate? : true
                      Is Detection Based on File Rename Rate? : true
                      Is Detection Based on File Delete Rate? : true
               Is Detection Relaxing Popular File Extensions? : true
                    High Entropy Data Surge Notify Percentage : 100
                     File Create Rate Surge Notify Percentage : 100
                     File Rename Rate Surge Notify Percentage : 100
                     File Delete Rate Surge Notify Percentage : 100
     Never Seen before File Extensions Count Notify Threshold : 20
           Never Seen before File Extensions Duration in Hour : 24
  2. 表示されているすべてのフィールドは、ブール値か整数値で変更できます。フィールドを変更するには、security anti-ransomware volume attack-detection-parameters modifyコマンドを使用します。

    すべてのパラメーターの一覧については、ONTAPコマンド リファレンスを参照してください。

既知のアクティビティ急増の報告

ARPでは、アクティブ モードでも検出パラメーターのベースライン値の変更が維持されます。1回限りの急増でも、新たな状況では正常な急増でも、それが既知のボリューム アクティビティの急増である場合は、安全なものとして報告する必要があります。既知のアクティビティ急増を安全なものとして手動で報告することで、ARPによる脅威評価の精度が高まります。

1回限りの急増の報告
  1. 既知の状況で1回限りの急増が発生していて、ARPに今後の状況でも同様の急増を報告させる場合は、ワークロードの動作から急増をクリアします。

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

急増のベースラインの変更
  1. 報告された急増をアプリケーションの正常な動作とする必要がある場合は、急増をそのように報告して急増のベースライン値を変更します。

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

ARPアラートの設定

ONTAP 9.14.1以降では、ARPで2つのARPイベントのアラートを指定できます。

  • ボリューム上の新しいファイル拡張子の観察

  • ARPスナップショットの作成

これら2つのイベントのアラートは、個 々 のボリュームまたはSVM全体に対して設定できます。SVMでアラートを有効にした場合、アラートの設定は有効にしたあとに作成されたボリュームにのみ継承されます。デフォルトでは、アラートはどのボリュームでも有効になっていません。

イベント アラートは、マルチ管理者認証で制御できます。詳細については、「ARPで保護されたボリュームでのマルチ管理者認証」を参照してください。

ONTAP System Manager
ボリュームのアラートの設定
  1. ボリュームに移動します。設定を変更するボリュームを個別に選択します。

  2. セキュリティタブを選択し、イベントセキュリティ設定を選択します。

  3. 新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。

  4. 保存を選択します。

SVMのアラートを設定する
  1. [Storage VM] に移動し、設定を有効にするSVMを選択します。

  2. [Security] 見出しの下で、[Anti-ransomware] カードを探します。選択するオプション 3つの点 次に、ランサムウェアイベントの重大度を編集します。

  3. 新しいファイル拡張子が検出されましたおよびランサムウェアスナップショットが作成されましたのアラートを受信するには、Severity見出しの下のドロップダウンメニューを選択します。イベントを生成しないから通知に設定を変更します。

  4. 保存を選択します。

CLI
ボリュームのアラートの設定
  • 新しいファイル拡張子にアラートを設定するには、次の手順を実行します。

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • anti-ransomware volume event-log show コマンドを使用して設定を確認します。

SVMのアラートを設定する
  • 新しいファイル拡張子にアラートを設定するには、次の手順を実行します。

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • ARPスナップショットの作成に関するアラートを設定するには、次の手順を実行します。

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • security anti-ransomware vserver event-log show コマンドを使用して設定を確認します。

Top of Page