Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Autonomous Ransomware Protection によるデータの保護

PDF
RSS
フォーカスモード
Autonomous Ransomware Protection によるデータの保護 - FSx for ONTAP
ARP の仕組みARP が検索する対象ARP を使用して疑わしい攻撃に対応する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Autonomous Ransomware Protection (ARP) は、Windows または Linux クライアントが侵害された場合に、ランサムウェアやマルウェア攻撃からデータをモニタリングして保護する NetApp ONTAP AI 駆動型機能です。機械学習を使用すると、ARP は FSx for ONTAP ファイルシステムに慣れ、異常なアクティビティをプロアクティブに検出できます。ARP は、Amazon FSx for NetApp ONTAP AWS リージョン が利用可能なすべての で、すべての新規および既存の FSx for ONTAP ファイルシステムで使用できます。

ARP の仕組み

ONTAP CLI または REST API を使用して、ARP をボリュームごとに有効にすることも、SVM 内のすべての新しいボリュームでデフォルトで有効にすることもできます。ARP の有効化の詳細については、「」を参照してください自律型ランサムウェア保護の有効化

ARP は、学習モードとアクティブモードの 2 つのモードで動作します。FSx for ONTAP ボリュームの ARP を初めて有効にすると、学習モードで実行されます。学習モードでは、ARP はワークロードのアクセスパターンを分析します。 は、ボリュームのワークロードに基づいて最適な学習期間ONTAPを自動的に決定します。これには最大 30 日かかる場合があります。完了すると、ARP はアクティブモードに移行します。アクティブモードでは、ARP はボリュームの受信データとアクティビティをモニタリングして、潜在的なランサムウェアやマルウェア攻撃を特定します。詳細については、「ARP が検索する対象」を参照してください。ARP が異常なアクティビティを検出すると、スナップショットが自動的に作成ONTAPされ、潜在的な攻撃の時点にできるだけ近いデータ復旧に役立ちます。スナップショットには というプレフィックスが付いているためAnti_ransomware_backup、簡単に識別できます。攻撃の確率が中程度であると判断された場合、 ONTAP はイベント管理システム (EMS) メッセージを生成して確認できるようにします。詳細については、「ARP を使用して疑わしい攻撃に対応する方法」および「Autonomous Ransomware Protection の EMS アラートについて」を参照してください。

ARP のパフォーマンスオーバーヘッドは、ほとんどのワークロードで最小限です。ボリュームに読み取り負荷の高いワークロードがある場合、 ではファイルシステムあたり 150 個以下のボリュームを保護するNetAppことをお勧めします。この数を超えると、そのワークロードの IOPS が最大 4% 低下する可能性があります。ボリュームに書き込み負荷の高いワークロードがある場合、 はファイルシステムあたり 60 個以下のボリュームを保護するNetAppことを推奨しています。そうしないと、そのワークロードの IOPS が最大 10% 低下する可能性があります。パフォーマンスの詳細については、「Amazon FSx for NetApp ONTAP のパフォーマンス」を参照してください。

FSx for ONTAP ファイルシステムで ARP を有効にする場合、追加料金はかかりません。

ARP が検索する対象

ARP は、Windows または Linux クライアントが侵害されている兆候を探します。ARP は、FSx for ONTAP ボリュームについて学習し、アクティブモードに切り替えると、ボリュームで次のタイプのアクティビティを検索します。

  • エントロピーの変更。これは、ファイル内のデータのランダム性の違いを意味します。

  • ファイル拡張子タイプの変更。つまり、新しい拡張子は、通常使用される拡張子タイプと一致しません。デフォルトは、ボリュームで以前に確認されていないファイル拡張子を持つ 20 個のファイルです。

  • ファイル IOPS の変更。これは、暗号化されたデータによる異常なボリュームアクティビティの急増を意味します。

必要に応じて、ボリュームのランサムウェア検出パラメータを変更できます。たとえば、ボリュームが多くのタイプのファイル拡張子をホストしている場合です。詳細については、NetApp ドキュメントセンターの「Manage ONTAP Autonomous Ransomware Protection attack detection parameters」を参照してください。

注記

ARP は、認証情報を持つ不正な管理者が FSx for ONTAP ファイルシステムにアクセスするのを防ぐものではありません。 は AWS Backup、ONTAPスナップショット、 などのレイヤードセキュリティアプローチ AWS を推奨しますSnapLock。

ARP を使用して疑わしい攻撃に対応する方法

ARP が攻撃を検出すると、復旧ポイントとして使用できるスナップショットが生成されます。スナップショットはロックされており、通常の方法で削除することはできません。攻撃の重大度に応じて、影響を受けるボリューム、攻撃の確率、および攻撃タイムラインを示す EMS アラートも生成されます。新しいスナップショットの作成またはボリューム上の新しいファイル拡張子の監視に関するアラートを受信する場合は、これらのアラートを送信するように ARP を設定できます。詳細については、NetApp ドキュメントセンターの「ARP アラートの設定」を参照してください。

レポートを生成して、疑わしい攻撃に関する詳細情報を表示できます。レポートを確認した後、アラートが誤検出または疑わしい攻撃によって生成されたONTAPかどうかを確認できます。アラートに疑わしい攻撃としてラベルを付ける場合は、攻撃の範囲を決定し、ARP が作成したスナップショットからデータを復元する必要があります。攻撃に誤検出としてラベルを付けると、ARP が作成したスナップショットは自動的に削除されます。詳細については、「Autonomous Ransomware Protection アラートへの対応」を参照してください。

ONTAP CLI および REST API で、ファイルシステムの EMS メッセージとボリュームのステータスをモニタリングすることをお勧めします。ARP の EMS メッセージの詳細については、「」を参照してくださいAutonomous Ransomware Protection の EMS アラートについて

トピック

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.