Autonomous Ransomware Protection によるデータの保護 - FSx for ONTAP
ARP の仕組みARP が検索する対象ARP による疑わしい攻撃への対応方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Autonomous Ransomware Protection によるデータの保護

Autonomous Ransomware Protection (ARP) は、Windows または Linux クライアントが侵害された場合に、ランサムウェアやマルウェア攻撃からデータをモニタリングして保護する NetApp ONTAP AI 主導の機能です。機械学習技術により、ARP は FSx for ONTAP ファイルシステムについて学習し、異常なアクティビティを事前に検出します。ARP は、Amazon FSx for NetApp ONTAP が利用可能なすべての AWS リージョン で、すべての新規および既存の FSx for ONTAP ファイルシステムで使用できます。

ARP の仕組み

ONTAP CLI または REST API を使用して、ARP をボリュームごとに有効にすることも、SVM 内のすべての新しいボリュームでデフォルトで有効にすることもできます。ARP の有効化の詳細については「Autonomous Ransomware Protection の有効化」をご覧ください。

ARP の AI は包括的なデータセットでトレーニングされるため、ARP を FlexVol ボリュームで実行するための学習期間は不要であるため、すぐにアクティブモードで開始されます。ARP AI は、自動更新機能も備えており、最新の脅威に対して常に保護と耐障害性を維持します。アクティブモードでは、ARP はボリュームの受信データとアクティビティをモニタリングして、潜在的なランサムウェアやマルウェア攻撃を特定します。詳細については、「ARP が検索する対象」を参照してください。ARP が異常なアクティビティを検出した場合、潜在的な攻撃時点にできるだけ近い状態でデータを復元できるよう、自動的にONTAP スナップショットが作成されます。スナップショットには Anti_ransomware_backup というプレフィックスが付いているため、簡単に識別できます。攻撃の確率が中程度であると判断された場合、ONTAP はイベント管理システム (EMS) メッセージを生成して確認できるようにします。詳細については、「ARP による疑わしい攻撃への対応方法」および「Autonomous Ransomware Protection の EMS アラートの理解」を参照してください。

ARP のパフォーマンスオーバーヘッドは、ほとんどのワークロードで最小限です。ボリュームに読み込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 150 個以下のボリュームを保護することを推奨しています。この数を超えると、そのワークロードの IOPS が最大 4% 低下する可能性があります。ボリュームに書き込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 60 個以下のボリュームを保護することを推奨しています。そうでない場合は、そのワークロードの IOPS が最大 10% 低下する可能性があります。パフォーマンスの詳細については、「Amazon FSx for NetApp ONTAP のパフォーマンス」を参照してください。

FSx for ONTAP ファイルシステムで ARP を有効にする場合、追加料金はかかりません。

ARP が検索する対象

ARP は、Windows または Linux クライアントが侵害されている兆候を探します。特に、ARP はボリュームの以下のタイプのアクティビティを探します:

  • エントロピーの変化とは、ファイル内のデータのランダム性の差異を意味します。

  • ファイル拡張子タイプの変更とは、新しい拡張子が通常使用される拡張子タイプと一致しないことを意味します。デフォルトは、ボリュームで以前に確認されていないファイル拡張子を持つ 20 ファイルです。

  • ファイル IOPS の変更。これは、暗号化されたデータを伴う異常なボリュームアクティビティの急増を意味します。

必要に応じて、ボリュームのランサムウェア検出パラメータを変更できます。たとえば、あなたのボリュームが多くのタイプのファイル拡張子をホストしている場合です。詳細については、NetApp ドキュメントセンターの「ONTAP Autonomous Ransomware Protection の攻撃検知パラメータの管理」を参照してください。

注記

ARP は、認証情報を持つ不正な管理者が FSx for ONTAP ファイルシステムにアクセスするのを防ぐものではありません。AWS では、AWS Backup、ONTAP スナップショット、SnapLock などのレイヤードセキュリティアプローチを推奨しています。

ARP による疑わしい攻撃への対応方法

ARP が攻撃を検出すると、復旧ポイントとして使用できるスナップショットが生成されます。スナップショットはロックされているため、通常の手段では削除できません。攻撃の影響度に応じて、影響を受けたボリューム、攻撃の確率、および攻撃のタイムラインを示す EMS アラートも生成されます。新しいスナップショットの作成またはボリュームの新しいファイル拡張子の監視に関するアラートを受信したい場合は、これらのアラートを送信するように ARP を設定できます。詳細については、NetApp ONTAP ドキュメントセンターの「Configure ARP alerts」を参照してください。

レポートを生成して、疑わしい攻撃に関する詳細情報を表示できます。レポートを確認すると、 ONTAP アラートが誤検知によるものか、疑わしい攻撃によるものかを判断できます。アラートに疑わしい攻撃としてラベルを付ける場合は、攻撃の範囲を決定し、ARP が作成したスナップショットからデータを復元する必要があります。攻撃に誤検出のラベルを付けると、ARP が作成したスナップショットは自動的に削除されます。詳細については、「Autonomous Ransomware Protection アラートへの対応」を参照してください。

ファイルシステムの EMS メッセージとボリュームのステータスを ONTAP CLI および REST API でモニタリングすることをお勧めします。ARP の EMS メッセージの詳細については、「Autonomous Ransomware Protection の EMS アラートの理解」を参照してください。

トピック