Azure NetApp Files ボリュームの高度なランサムウェア保護を構成する

ランサムウェア攻撃は、データの整合性と信頼性に大きな脅威を与えます。 Azure NetApp Filesの高度なランサムウェア保護により、データのストレージ レベルで防御線が追加されます。 高度なランサムウェア保護では、machine learningを使用してボリュームのプロファイルを開発し、知覚された脅威を警告します。 高度なランサムウェア保護は、追加料金なしでAzure NetApp Filesに提供されます。

高度なランサムウェア保護は、次のような多くの入力に基づいてプロファイルを構築します。

  • ボリューム内のファイル拡張子の種類
  • ボリューム内のデータ エントロピ パターン
  • ボリューム内の IOPS パターン

このデータを使用すると、高度なランサムウェア対策によって、観察されたパターンから逸脱したパターンと拡張機能の種類についてボリュームが監視され、ランサムウェアの脅威としてマークされます。 高度なランサムウェア保護は、machine learningからプロファイルを構築し、使用パターンに基づいてワークロードの理解を改善し続けます。 高度なランサムウェア保護は、脅威に対応する際に学習する入力に基づいてこのプロファイルを強化します。

高度なランサムウェア保護のアラート メカニズムを使用すると、データに対するランサムウェア攻撃を防ぎ、ワークロードの回復性を維持することに注意を保ちます。 脅威が検出された場合、Azure NetApp Filesはボリュームの特定の時点のスナップショットを作成します。 その後、脅威を評価し、必要に応じてスナップショットに基づいてボリュームを復元し、データの継続性と安全性を確保できます。

考慮事項

  • 攻撃レポートは 30 日間保持されます。
  • ランサムウェアの脅威通知は、Azureアクティビティ ログに送信されます。
  • パフォーマンスの問題を軽減するために、高度なランサムウェア保護を使用して、Azure サブスクリプションあたり 10 個以下のボリュームを有効にすることをお勧めします。 Azure サブスクリプションごとに 10 を超えるボリュームを有効にする場合は、Azure サポート要求を発生させます。 詳細については、「 要求の制限の引き上げ」を参照してください。
  • 高度なランサムウェア保護の潜在的なパフォーマンスへの影響により、QoS 容量を 5 ~ 10% 増やすことをお勧めします。 影響の規模は、Azure NetApp Filesデプロイ全体の構成によって異なる場合があります。
  • 高度なランサムウェア保護Azure NetApp Filesは、次のワークロードに適しています。
    • 画像とビデオ
    • Windowsまたは Linux ホーム ディレクトリ
      学習期間中に検出されなかった拡張子を持つファイルを作成できます。 これにより、このワークロードで誤検知が発生する可能性が高くなります。 その例として、医療記録と電子設計自動化 (EDA) データを含む拡張機能があります。
  • 高度なランサムウェア保護Azure NetApp Filesは、次のワークロードには適していません。
    • テスト/開発ワークロード - ファイルの作成/削除の頻度が高くなります (数秒で数十万ファイル)
    • 脅威検出では、ファイルの作成、名前変更、または削除アクティビティの異常な急増がランサムウェア アクティビティとして認識されます。 正当なアプリケーションでこの種類のファイル アクティビティが表示される場合は、ランサムウェア アクティビティとして識別される可能性があります。
    • アプリケーション/ホストがデータを暗号化するワークロード。 高度なランサムウェア保護は、受信データを暗号化または暗号化されていないものとして分析します。 アプリケーション自体がデータを暗号化している場合、高度なランサムウェア保護の有効性が低下します。 ただし、ファイル アクティビティ (削除、上書き、作成、または新しいファイル拡張子を使用して作成または名前変更) とファイルの種類に基づいてランサムウェアを検出することはできます。

新しいボリュームで高度なランサムウェア保護を有効にする

  1. ワークフローに従って、新しい NFSSMB、または dual-protocol ボリュームを作成します。
  2. [基本] タブの [ Advanced Ransomware Protection ] フィールドで、[ 有効] を選択します。
  3. ボリュームを作成したら、ボリュームの概要で設定を確認できます。 ランサムウェア保護を有効にした場合、 Advanced Ransomware Protection は有効と表示されます。

既存のボリュームに対して高度なランサムウェア保護を有効にする

  1. 高度なランサムウェア保護を有効にするボリュームに移動します。

  2. サイドバーの Storage services メニューの下にある Advanced Ransomware Protection を選択します。

  3. [ 保護を有効にする] を選択する

    ランサムウェア保護を有効にするスクリーンショット。

  4. [ はい ] をクリックして、ランサムウェアからの保護を有効にすることを確認します。

    ランサムウェア保護を有効にすることを確認するスクリーンショット。

  5. 保護の状態が [有効] になっていることを確認します。

    ランサムウェア保護の状態のスクリーンショット。

ランサムウェアの脅威に対応する

  1. サイドバーの Storage services メニューの下にある Advanced Ransomware Protection を選択します。

  2. 攻撃の可能性は、 アクティブな脅威の下に表示されます。 各脅威を展開して、疑わしいファイルを表示します。

    ランサムウェアの脅威のスクリーンショット。

  3. ファイルがアクティブな脅威 でない ことがわかっている場合は、アクティブな脅威を 誤検知としてマークします。

    ファイルが脅威であると思われる場合は、[ 脅威] を選択します。 その後、脅威の前にキャプチャされた最後のスナップショットに基づいて ボリュームを元に戻 すことができます。

  4. 脅威を解決したら、アーカイブされたランサムウェア レポートを同じページで表示できます。 レポートは 30 日間アーカイブされます。

ランサムウェアの保護を一時停止する

  1. ランサムウェア保護を一時停止するボリュームに移動します。 サイドバーのStorage サービス メニューの下にある Advanced Ransomware Protection を選択します。
  2. [ 保護の一時停止] を選択します。
  3. 保護を再度有効にするには、ボリュームの [Advanced Ransomware Protection] メニューに戻り、[ 保護の再開] を選択します。

ランサムウェア保護を無効にする

  1. ランサムウェア保護を一時停止するボリュームに移動します。 サイドバーの[Storageサービス]メニューの下にある[Advanced Ransomware Protection]\(高度なランサムウェア保護\) を選択します。
  2. [ ランサムウェア保護を無効にする] を選択します
  • Last updated on