エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

異常なアクティビティへの対処

保護対象のボリュームで異常なアクティビティが検出されると、自律型ランサムウェア対策(ARP)から警告が発せられます。通知の内容を評価して、該当するアクティビティが許容されるもの(誤検出)か、それとも悪意のある攻撃と思われるかを判断する必要があります。

タスク概要

ARPは、データ エントロピーの上昇、データ暗号化に関連した異常なボリューム アクティビティ、および一般的でないファイル拡張子のいくつかを検出すると、疑わしいファイルのリストを表示します。

警告が表示された場合は、ファイル アクティビティを次のどちらかに評価します。

  • 誤検出

    特定されたファイル タイプがワークロードで想定されるものであり、無視してかまわない場合。

  • 潜在的なランサムウェア攻撃

    特定されたファイル タイプがワークロードで想定されないものであり、潜在的な攻撃として扱う場合。

どちらの場合も、通知を更新してクリアすると、通常の監視が再開されます。ARPは、脅威評価プロファイルに評価を記録し、選択した評価に基づいて、後続のファイル アクティビティを監視します。

攻撃疑いのケースでは、通知をクリアする前に攻撃であるかを判断し、攻撃である場合は対処して保護対象のデータをリストアする必要があります。詳細については、ランサムウェア攻撃後のリカバリー方法に関するセクションを参照してください

ボリューム全体をリストアした場合、クリアする通知はありません。
開始する前に

ARPがアクティブ モードで実行されている必要があります。

手順

異常なタスクには、ONTAP System ManagerまたはONTAP CLIを使用して対応できます。

ONTAP System Manager
  1. 異常なアクティビティに関する通知を受け取ったら、リンクをクリックします。または、[ボリューム]の概要の[セキュリティ]タブに移動します。

    [イベント]メニューの[概要]ペインに警告が表示されます。

  2. 「Detected abnormal volume activity」というメッセージが表示された場合は、疑わしいファイルを確認します。

    [セキュリティ]タブで、[疑わしいファイルの種類の表示]を選択します。

  3. [疑わしいファイルの種類の表示]ダイアログ ボックスで、それぞれのファイル タイプを調べて、「False Positive(誤検出)」または「Potential Ransomware attack(潜在的なランサムウェア攻撃)」のどちらかを選択します。

選択した評価オプション

対処方法

False Positive

[Update][Clear Suspect File Types]を選択して評価内容を記録し、ARPの通常の監視を再開します。

ONTAP 9.13.1以降では、MAVを使用してARP設定を保護している場合に疑わしいファイル タイプのクリア処理を実行すると、自分以外の1人以上の管理者からの承認を求めるプロンプトが表示されます。MAV承認グループに関連付けられているすべての管理者から承認を得る必要があります。

Potential Ransomware Attack

攻撃に対処し、保護対象のデータをリストアします。その後、[Update][Clear Suspect File Types]を選択して評価内容を記録し、ARPの通常の監視を再開します。
ボリューム全体をリストアした場合、クリアする疑わしいファイル タイプはありません。

CLI
  1. 潜在的なランサムウェア攻撃に関する通知を受け取ったら、攻撃を受けた時間と重大度を確認します。

    security anti-ransomware volume show -vserver svm_name -volume vol_name

    出力例:

    Vserver Name: vs0
    Volume Name: vol1
    State: enabled
    Attack Probability: moderate
    Attack Timeline: 9/14/2021 01:03:23
    Number of Attacks: 1

    EMSメッセージを確認することもできます。

    event log show -message-name callhome.arw.activity.seen

  2. 攻撃レポートを生成し、出力先をメモします。

    security anti-ransomware volume attack generate-report -volume vol_name -dest-path file_location/

    出力例:

    Report "report_file_vs0_vol1_14-09-2021_01-21-08" available at path "vs0:vol1/"

  3. 管理クライアント システムでレポートを表示します。例:

    [root@rhel8 mnt]# cat report_file_vs0_vol1_14-09-2021_01-21-08
    
    19  "9/14/2021 01:03:23"   test_dir_1/test_file_1.jpg.lckd
    20  "9/14/2021 01:03:46"   test_dir_2/test_file_2.jpg.lckd
    21  "9/14/2021 01:03:46"   test_dir_3/test_file_3.png.lckd
  4. ファイル拡張子の評価に基づいて、次のいずれかの操作を実行します。

    • 誤検出

      次のコマンドを入力して評価を記録(許容される拡張子のリストに新しい拡張子を追加)し、ランサムウェア対策の通常の監視を再開します。
      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true

      次のいずれかのパラメーターを使用して拡張子を特定します。
      [-seq-no integer]:疑わしいファイルのリストでのファイルのシーケンス番号。
      [-extension text, … ]:ファイル拡張子。
      [-start-time date_time -end-time date_time]:ファイルをクリアする期間の開始時刻と終了時刻(形式は「MM/DD/YYYY HH:MM:SS」)。

    • 潜在的なランサムウェア攻撃

      攻撃に対処し、ARPによって作成されたバックアップSnapshotからデータをリカバリーします。データがリカバリーされたら、次のコマンドを入力して評価を記録し、ARPの通常の監視を再開します。

      anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false

      次のいずれかのパラメーターを使用して拡張子を特定します。
      [-seq-no integer]:疑わしいファイルのリストでのファイルのシーケンス番号。
      [-extension text, … ]:ファイル拡張子。
      [-start-time date_time -end-time date_time]:ファイルをクリアする期間の開始時刻と終了時刻(形式は「MM/DD/YYYY HH:MM:SS」)。

      ボリューム全体をリストアした場合、クリアする疑わしいファイル タイプはありません。ARPによって作成されたバックアップSnapshotが削除され、攻撃レポートがクリアされます。

  5. MAVを使用しており、clear-suspect処理で追加の承認を求められた場合、各MAVグループ承認者は次の処理を実行する必要があります。

    1. 要求を表示します。

      security multi-admin-verify request show

    2. ランサムウェア対策の通常の監視を再開する要求を承認します。

      security multi-admin-verify request approve -index[number returned from show request]

      最後のグループの承認者には、ボリュームが変更され、誤検出が記録された旨の応答が返されます。

  6. MAVを使用しており、MAVグループの承認者である場合、疑わしいファイル タイプのクリア要求を却下することもできます。

    security multi-admin-verify request veto -index[number returned from show request]

Top of Page