異常データ アクティビティ
概要
リソース上のデータの疑わしい変更は、異常データ アクティビティ (UDA)と呼ばれます。ユーザーまたは悪意のあるソフトウェアが、このような疑わしい変更を行うことがあります。たとえば、組織内のリソースが攻撃を受けている場合、リソース上の悪意のあるソフトウェアがそのリソースに存在するファイルの削除を開始する可能性があります。リソースは、データが格納されるデバイスまたはサーバーです。
- 異常データ アクティビティが表示する、保護されているデータに関する分析情報は以下のリソースについてのみです。
- エンドポイント
- NAS
- ファイル サーバー (Windows/Linux)
- 過去 30 日間のデータが表示されます。
このような潜在的な脅威がリソース上のデータを操作する場合、それは本質的に疑わしいものであり、リソース所有者がそのリソース上のデータを操作する方法とは異なります。このタイプの異常は注意が必要な問題を示していることが多いため、Druva Realize はリソース内のそのような異常な動作にフラグを立て、アラートを生成します。
Druva Realize が UDA を検出する方法
Druva Realize は、特定のリソースのデータ アクティビティの傾向を監視し、十分なサンプル サイズの後に異常ベースラインを構築します。Druva Realize がリソースのスキャンを開始するための前提条件は次のとおりです。
- 33 個のスナップショット (エンドポイントの場合) : リソースには、過去 30 日間に少なくとも 33 個の正常にバックアップされたデータ スナップショットが必要です。
- 20 個のスナップショット (ファイル サーバー/NASの場合) : リソースには、過去 30 日間に正常にバックアップされたデータ スナップショットが少なくとも 20 個必要です。
最初の 30 日間の動作
エンドポイントの場合: ライセンスが有効化された後かデバイスがアクティベートされた後、 33 個 のスナップショットごとに異常データ アクティビティ アラートが生成される場合があります。
ファイル サーバー/NAS の場合: ライセンスが有効化された後かバックアップ セットがアクティベートされた後、 20 個 のスナップショットごとに異常データ アクティビティ アラートが生成される場合があります。
この情報は理解のみを目的としています。Druva Realize はバックグラウンドで、複数のパラメーターを使用して異常データ アクティビティを検出する複雑なアルゴリズムを実行します。
次の表では、UDA の動作について詳しく説明します。
日にち | アクティビティ | スナップショット番号 | ファイル数 |
---|---|---|---|
シナリオ: UDA が既に有効になっており、バックアップの頻度が 8 時間ごとの場合 | |||
7月1日 | バックアップ用に構成されたリソース | 1 | 400 |
7月10日 | 10 個のファイルが削除されました | 30 | 390 |
7月20日 | 10 個のファイルが削除されました | 60 (最小 33 の正常にバックアップされたスナップショットの基準が満たされている) |
380 |
7月31日 | 300 個のファイルが削除されました | 92 | 80 (300 個のファイルが削除されたことを通知する削除アラートが生成されます) |
管理者は、組織のセキュリティ ポリシーに基づいてアクションを実行し、潜在的な脅威を特定して隔離し、さらなる損失を防ぐことができます。
異常検出は、バックアップ ジョブが完了し、スナップショットが作成された後にのみ開始されます。不完全なバックアップ ジョブまたは中断されたバックアップ ジョブの場合、異常な振る舞いは追跡されません。
UDAアラートを表示
注: 削除されたリソース (デバイス、バックアップセット、仮想マシン) の場合、それらのリソースのアラートを表示することはできません。ただし、 ロールバック アクション オプションを使用して削除されたリソースを戻した場合、それらのアラートを表示することができます。
Druva コンソールに ログインし、Ransomware Recovery > Security Events に移動します。Unusual Data Activity Alerts カードには、定義された期間内のアクティブなアラートの数が表示されます。
異常データ アクティビティを示すリソースについて通知を受けると、ランサムウェア攻撃や侵害されたユーザーなど、環境内の潜在的な脅威を特定するのに役立ちます。カードをクリックして、生成されたアラートの詳細を表示します。
生成されたアラートの詳細には、次の情報が含まれます。
- Resource Name (リソース名): アラートが生成されたリソースの名前。クリックすると、このリソースに対して生成されたアラートの詳細が表示されます。
- User Name (ユーザー名): デバイスに関連付けられているユーザーの名前。このフィールドは、 エンドポイントについてのみ表示されます。
- Server Name (サーバー名): バックアップセットに関連付けられたサーバーの名前。このフィールドは、 サーバーの場合にのみ表示されます。
- Affected Snapshot (影響を受けたスナップショット): 影響を受けたスナップショットのタイムスタンプ。
- Alert Type (アラート タイプ): 次のアラート タイプがあります。
- Creation (作成): 短いスパンで作成されたファイルが多すぎます。
- Modification (変更): 編集または変更されたファイルが多すぎます。
- Deletion (削除): スナップショットからいくつかのファイルが削除されました。
- Encryption (暗号化): ファイルは暗号化されており、アクセスできません。
- #Impacted Files (影響を受けるファイル数) : 影響を受けるスナップショット内のファイルの数。スナップショットに複数のタイプの異常な動作がある場合、異常なアクティビティの詳細を提供する番号の横に情報アイコンがあります。
- Status (ステータス): 次の 2 つのステータスがあります。
- Active (アクティブ): アラートに対してアクションが実行されていないことを示します。
- Resolved (解決済み): アラートが調査され、必要なアクションが実行されたことを示します。
特定のアラートのログをダウンロードして、詳細な調査に使用することもできます。
リソースの名前をクリックして、リソースの詳細とそのリソースに対して生成されたアラートを表示します。
Data Activity Trend (データ アクティビティの傾向) は、スナップショットによってリソースにバックアップされたデータをグラフィカルに表現したものです 。
アラートへの対応
異常データ アクティビティ アラートでは、次のいずれかを実行できます。
- アラートを無視する (Ignore the alert): アラートを誤検知とみなした場合は、リソース名をクリックして誤検知アラートを選択します。[Ignore] をクリックしてアラートを解決します。
- リソースを隔離する (Quarantine the resource): アラートを選択し、[Quarantine Resource] をクリックして、ランサムウェアの拡散を阻止します。隔離する前に、「隔離の影響を知る」を参照 して、リソースを隔離することの影響の詳細を確認してください。リソースを隔離するためのオプションについては、 Quarantine Responseを参照してください。
アクションを実行すると、アラートのステータスが Resolvedに変わります。