Autonomous Ransomware Protection によるデータの保護 - FSx for ONTAP
ARP の仕組みARP が検索する対象ARP を使用して疑わしい攻撃に対応する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Autonomous Ransomware Protection によるデータの保護

Autonomous Ransomware Protection (ARP) は、Windows または Linux クライアントが侵害された場合に、ランサムウェアやマルウェア攻撃からデータをモニタリングして保護する NetApp ONTAP AI 主導の機能です。機械学習を使用すると、ARP は FSx for ONTAP ファイルシステムに慣れ、異常なアクティビティをプロアクティブに検出できるようになります。ARP は、Amazon FSx for NetApp ONTAP AWS リージョン が利用可能なすべての で、すべての新規および既存の FSx for ONTAP ファイルシステムで使用できます。

ARP の仕組み

ONTAP CLI または REST API を使用して、ARP をボリュームごとに有効にすることも、SVM 内のすべての新しいボリュームでデフォルトで有効にすることもできます。ARP の有効化の詳細については、「」を参照してくださいAutonomous Ransomware Protection の有効化

ARP の AI は包括的なデータセットでトレーニングされるため、ARP を FlexVol ボリュームで実行するための学習期間は不要であるため、すぐにアクティブモードで開始されます。ARP AI には、最新の脅威に対する継続的な保護と回復性を確保するための自動更新機能も搭載されています。アクティブモードでは、ARP はボリュームの受信データとアクティビティをモニタリングして、潜在的なランサムウェアやマルウェア攻撃を特定します。詳細については、「ARP が検索する対象」を参照してください。ARP が異常なアクティビティを検出すると、スナップショットが自動的に作成ONTAPされ、潜在的な攻撃の時刻にできるだけ近いデータ復旧に役立ちます。スナップショットには というプレフィックスが付いているためAnti_ransomware_backup、簡単に識別できます。攻撃の確率が中程度であると判断された場合、 ONTAP は確認のためにイベント管理システム (EMS) メッセージを生成します。詳細については、「ARP を使用して疑わしい攻撃に対応する方法」および「Autonomous Ransomware Protection の EMS アラートについて」を参照してください。

ARP のパフォーマンスオーバーヘッドは、ほとんどのワークロードで最小限です。ボリュームに読み込み負荷の高いワークロードがある場合、 はファイルシステムあたり 150 個以下のボリュームを保護するNetAppことを推奨しています。この数を超えると、そのワークロードの IOPS が最大 4% 低下する可能性があります。ボリュームに書き込み負荷の高いワークロードがある場合、 はファイルシステムあたり 60 個以下のボリュームを保護するNetAppことを推奨しています。そうしないと、そのワークロードの IOPS が最大 10% 低下する可能性があります。パフォーマンスの詳細については、「Amazon FSx for NetApp ONTAP のパフォーマンス」を参照してください。

FSx for ONTAP ファイルシステムで ARP を有効にする場合、追加料金はかかりません。

ARP が検索する対象

ARP は、Windows または Linux クライアントが侵害されている兆候を探します。特に、ARP はボリュームで次のタイプのアクティビティを検索します。

  • エントロピーの変更。これは、ファイル内のデータのランダム性の違いを意味します。

  • ファイル拡張子タイプの変更。つまり、新しい拡張子は通常使用される拡張子タイプと一致しません。デフォルトは、ボリュームで以前に確認されていないファイル拡張子を持つ 20 ファイルです。

  • ファイル IOPS の変更。これは、暗号化されたデータによる異常なボリュームアクティビティの急増を意味します。

必要に応じて、ボリュームのランサムウェア検出パラメータを変更できます。たとえば、ボリュームが多くのタイプのファイル拡張子をホストしている場合です。詳細については、NetApp ドキュメントセンターの「Manage ONTAP Autonomous Ransomware Protection attack detection parameters」を参照してください。

注記

ARP は、認証情報を持つ不正な管理者が FSx for ONTAP ファイルシステムにアクセスするのを防ぐものではありません。 AWS は AWS Backup、ONTAPスナップショット、 などのレイヤードセキュリティアプローチを推奨しますSnapLock。

ARP を使用して疑わしい攻撃に対応する方法

ARP が攻撃を検出すると、復旧ポイントとして使用できるスナップショットが生成されます。スナップショットはロックされており、通常の方法で削除することはできません。攻撃の重大度に応じて、影響を受けるボリューム、攻撃の確率、および攻撃タイムラインを示す EMS アラートも生成されます。新しいスナップショットの作成またはボリュームの新しいファイル拡張子の監視に関するアラートを受信する場合は、これらのアラートを送信するように ARP を設定できます。詳細については、NetApp ドキュメントセンターの「ARP アラートの設定」を参照してください。

レポートを生成して、疑わしい攻撃に関する詳細情報を表示できます。レポートを確認したら、アラートが誤検出または疑わしい攻撃によって生成されたONTAPかどうかを判断できます。アラートに疑わしい攻撃としてラベルを付ける場合は、攻撃の範囲を決定し、ARP が作成したスナップショットからデータを復元する必要があります。攻撃を誤検出としてラベル付けすると、ARP が作成したスナップショットは自動的に削除されます。詳細については、「Autonomous Ransomware Protection アラートへの対応」を参照してください。

ONTAP CLI および REST API で、ファイルシステムの EMS メッセージとボリュームのステータスをモニタリングすることをお勧めします。ARP の EMS メッセージの詳細については、「」を参照してくださいAutonomous Ransomware Protection の EMS アラートについて

トピック