サーバー向けキュレートスナップショット
概要
キュレートスナップショットは、単一スナップショット内に最新、最も安全、最もセキュアなバージョンのファイルを収集した特別版のスナップショットです。キュレートスナップショットは、指定された日付範囲内の複数のスナップショットを使ってファイルを処理することによって作成されます。ファイルが処理されると、以下のような侵入の痕跡 (Indicators of Compromise) がないかのスキャンが行われます。
- アンチウイルス
- ファイルハッシュ一致
- ファイル拡張子の除外と暗号化チェック
上記のすべてのインジケーターについてファイルフォルダーがスキャンされた後、そのサーバー(ファイルシステムまたはNAS)に対してキュレートスナップショットが作成され、対象の復元ウィザードから復元できるようになります。詳細については以下を参照してください。
ランサムウェアリカバリサービスが有効になっているインスタンスで、管理者がサーバー(ファイルサーバーまたはNAS)のキュレートスナップショットを作成した場合、キュレートスナップショットがサーバーデータの復元用に使用できるデフォルトのスナップショットとして選択されます。
キュレートスナップショットとは何かがわかったところで、それらの使用方法のワークフローを理解しましょう。
手順1: キュレートスナップショットの作成
手順2: キュレートスナップショットのジョブステータス確認
手順3: キュレートスナップショットからのデータの表示と復元
キュレートスナップショットを作成する
特定の時点で、ワークロードごと、バックアップセットごとにアクティブなキュレートスナップショットを1つだけ作成できます。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCPコンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします。
- 左側のペインで、[Curated Snapshots]>[ Create Curated Snapshots]>[For File Server and NAS] をクリックします。[Resources]ページが表示されます。
- キュレートスナップショットを作成するサーバーを検索します。Organizations (組織)、ワークロードタイプ(Workload Type)、および ワークロード名 (Workload Name) のいずれか、または組み合わせを使用してサーバーを検索できます。
- スナップショットを作成するサーバーを選択し、[Next]をクリックします。
- [Snapshot Details]ページで、スナップショットを作成するためのスナップショットパラメーターを入力します。
- [Submit]をクリックします。上記の日付範囲のすべてのスナップショットに対して、悪意のあるファイルスキャン (Malicious File Scan) または復元スキャンジョブが実行されます。スキャンが完了すると、ファイルの最新クリーンバージョンが取り込まれされ、単一のキュレートスナップショットが生成、作成されます。
- あるワークロードのバックアップセットに、アクティブなキュレートスナップショットがすでに存在する場合、次のオプションが行えます。
- 新しいものを作成し、既存のものを削除します
または
- 既存のスナップショットを保持します
組織の要件に従ってオプションを選択し、[Continue]をクリックします。
キュレートスナップショットの作成ステータスは、[Jobs]ページで確認できます。
Snapshot Details (スナップショットの詳細) ページ
次の表に、キュレートスナップショットを作成するためのスナップショットパラメーター詳細を示します。
フィールド | 説明 |
---|---|
Date Ranger |
キュレートスナップショットを作成するためにスナップショットを処理およびスキャンする日付範囲を定義します。 Star Date (開始日):開始日を選択します。 End Date (終了日):自動的に計算されます。ここに表示される日付は、現在の日付または開始日から180日のいずれか近い方になります。日付範囲の上限は180日です。 たとえば、今日の日付が2021年8月5日の場合、開始日として2021年7月1日を選択します。この場合、180日は未来の日付です。したがって、終了日は今日の日付/現在の日付、つまり2021年8月5日23:59:59PMになります。 |
Retain Snapshot for (スナップショット保持期間) |
キュレートスナップショットが保持され、復元できるまでの日数。 デフォルトでは、保持期間は15日です。保持の上限は30日です。 |
Indicators of Compromise (侵入の痕跡) |
スナップショットをスキャンして悪意のあるデータを検出するためのインジケーターを定義します。 デフォルトでは、スナップショット内のファイルは、暗号化チェック、ウイルス対策、および事前定義されたファイルハッシュの一致のためにスキャンされます。 [Exclude file extensions]チェックボックスをオンにし、ファイル拡張子を指定すると、それらのファイルをキュレートスナップショットから除外します。 |
キュレートされたスナップショットがどのように作成されるかを知る
この例では、指定された日付範囲と検出された侵入の痕跡(アンチウイルス、ファイルハッシュの一致、ファイル拡張子の除外、または暗号化)によってキュレートスナップショットがどのように作成されるかを説明します。
リソース名 (Resource Name):WINS3RV3R-KA1W(ファイルサーバー)
リソースタイプ (Resource Type):ファイルサーバー (File Server)
スナップショット-作成日 | バージョン | ファイル | アクション |
---|---|---|---|
スナップショット1-2021年8月1日 | 16 | ファイル1、ファイル2、ファイル3 | ファイル追加 |
スナップショット2-2021年8月1日 | 17 | ファイル1、ファイル2、ファイル3 | 変化なし |
スナップショット3-2021年8月2日 | 18 | ファイル1、ファイル2、ファイル3、ファイル4、ファイル5 |
追加:ファイル4、ファイル5、ファイル6 変更:ファイル1 |
スナップショット4-2021年8月2日 | 19 | ファイル1、ファイル3、ファイル4、ファイル5 | 削除:ファイル2 |
キュレートスナップショットを作成する場合、最大の日付範囲の制限は180日です。
今日の日付が2021年8月5日であると想定します。
- 開始日として2020年1月1日を選択した場合、終了日は2020年1月1日+180日になります。
- 開始日として2021年7月1日を選択した場合、+180日は未来の日付です。したがって、現在の日付/今日の日付が終了日と見なされます。つまり、2021年8月5日23:59:59です。
上記の例の場合、開始日として7月1日を選択すると、終了日は2021年8月5日23:59:59になります。日付範囲が指定されると、悪意のあるファイルスキャンまたは復元スキャンジョブがスナップショットバージョン16、17、18、19で実行されます。
スキャン中に、ファイル1でファイルハッシュの一致が検出され、バージョン18のファイル5でファイル拡張子の除外が検出されました。バージョン18のファイル1は、キュレートスナップショットからスキップされます。
次に、ファイル1を含む以前のバージョン(バージョン16)でスキャンが実行されます。スキャンで、ファイルに対する悪意のある攻撃を示す侵入の痕跡が検出されない場合、バージョン16のファイル1が作成されたと見なされます。厳選されたスナップショット。また、ファイル5はキュレートスナップショットには含まれません。
したがって、作成される最終的なキュレートスナップショットには次のものが含まれます。
- バージョン16:ファイル1、ファイル2、ファイル3
- バージョン18:ファイル4、ファイル6
キュレートスナップショットジョブのステータスを確認する
キュレートされたスナップショットの作成 (Create Cureted Snapshot) リクエストを送信するたびに、スキャンジョブが開始されます。[Jobs]タブからすべてのスキャンジョブを監視および管理できます。ページ詳細が最後に更新された日時を知るため、最終更新日時 (The Last Updated at) がページ見出しの横に表示されます。
ジョブが完了した後でのみ、キュレートスナップショットが作成されます。[Jobs]ページからスキャンジョブの概要を表示できます。
誤ってリクエストを開始した場合、またはキュレートスナップショットを作成する必要がなくなった場合は、進行中のジョブをキャンセルできます。
Job IDをクリックして、以下のジョブ詳細を表示します。
フィールド | 説明 |
---|---|
Job Details (ジョブの詳細) セクション | |
Job ID (ジョブID) |
スキャンジョブの一意のID。 |
Resource Name (リソース名) |
データソースの名前。 |
Resource Type (リソースタイプ) |
データソースのタイプ。例:ファイルサーバー |
Workload Name (ワークロード名) |
ワークロードの名前。 |
Created By (作成者) |
ジョブを開始した管理者の名前。 |
Start Time (開始時間) |
スキャンジョブが開始された時刻。 |
End Time (終了時間) |
スキャンジョブが終了した時刻。キャンセルまたは失敗のためにジョブが途中で終了した場合、このフィールドにはそのタイムスタンプが表示されます。 |
Organization Name (組織名) |
組織の名前。 |
Snapshot Creation Status (スナップショット作成ステータス) |
ジョブの現在のステータス。次のいずれかになります。
|
Curated Snapshot セクション | |
Snapshot (スナップショット) |
スナップショットの名前。 |
Size (サイズ) |
スナップショットのサイズ。 |
Date Range (日付範囲) |
スナップショットの作成のために選択された開始日と終了日。 |
Retained Till (保持期間) |
スナップショットの有効期限が切れる日付とタイムスタンプ。 |
#Files Included (含まれるファイル数) |
スナップショットの作成に含まれるファイルの数。 |
Snapshot Availaility (スナップショットの可用性) |
スナップショットのステータス。次のいずれかになります。
|
レポートをダウンロードして、スキャンしたファイルの詳細を表示できます。
レポートをダウンロード
[Job details]ページで、[Download Report]をクリックして、キュレートスナップショットのレポートをダウンロードし、このスナップショット内の悪意のあるファイルの詳細を表示します。レポートは、 <Druva_CuratedSnapshot_JobID_ <JobIDnumber> _<curatedsnapshotname>.csv.zip 形式でダウンロードされます。たとえば、 <Druva_CuratedSnapshot_JobID_45_Sep_16_2021_12_02>.csv.zipのような名前になります。
zipフォルダーを展開してCSVファイルを表示します。CSVファイルには次の詳細が含まれています。
フィールド | 説明 |
---|---|
File Name (ファイル名) | スキャンしたファイルの名前。 |
File Type (ファイルタイプ) | ファイルの種類。ファイルまたはフォルダのいずれかです。 |
Path (パス) | ファイルの場所。 |
Backup Folder (バックアップフォルダ) | ファイルの作成元のフォルダー。 |
Modified time (変更された時間) |
ファイルに変更が加えられた日付とタイムスタンプ。これは管理者のタイムゾーンです。 たとえば、2020年6月23日15:04。 |
Is skipped from Curated Snapshot (キュレートスナップショットからスキップされたかどうか) |
キュレートスナップショットのためにファイルがスキップされた場合、「True」を表示します。 ファイルがキュレートされたスナップショットからスキップされなかった場合、「False」を表示します。 |
Reason to skip from Curated Snapshot (キュレートスナップショットからスキップした理由) |
ファイルがスキップされた理由の詳細。 |
Snapshot Name (スナップショット名) |
キュレートスナップショットの作成にファイルが使用されるスナップショットの名前。 たとえば、Tue Aug 3112:23:432201。 |
スナップショットを削除する
アクティブなキュレートスナップショットの一部であるスナップショットを削除することはできません。
不要になったスナップショットを削除できます。
- キュレートスナップショットダッシュボードで、削除するスナップショットを選択します。
- [Delete Snapshot] 確認ポップアップで、削除の理由を指定し(理由は 必須であり、文字数の制限は10〜150です)、[Delete]をクリックします。一度削除したスナップショットは取得できません。削除の理由は、 監査目的で監査証跡に記録されます。
注: バックアップセットが削除されている場合、そのバックアップセットのキュレートスナップショットを表示することはできません。ロールバック アクション オプションを使用して、削除されたバックアップセットを取得すると、キュレートスナップショットを表示できます。
キュレートスナップショットからのデータの表示と復元
このセクションでは、キュレートスナップショットが正常に作成され、 [Curated Snapshot]>[Snapshot]タブに一覧表示されていることが前提条件です。
ファイルサーバーの場合
手順
[Curated Snapshot]>[Snapshot]タブで、データを表示および復元するファイルサーバーのスナップショットをクリックします。[File Backup Sets] >[ Backup] ページにリダイレクトされ ます。
キュレートスナップショットカードが表示され、このスナップショットからデータを復元できます。詳細については、ファイルサーバーを参照してください。
アイコンは、キュレートされたスナップショットの作成に使用されるスナップショットの横に表示されます。
NASの場合
手順
[Curated Snapshot]>[Snapshot]タブで、データを表示および復元するNASデバイスのスナップショットをクリックします。[File Backup Sets] >[ Backup] ページにリダイレクトされ ます。
キュレートスナップショットカードが表示され、このスナップショットからデータを復元できます。詳細については、NASを参照してください。
キュレートスナップショットの作成に使用されるスナップショットの横にアイコンが表示されます。
注:キュレートスナップショットからの復元は、ホットスナップショットと ウォームスナップショットでのみサポートされます。
ランサムウェアリカバリサービスが有効になっているインスタンスで、管理者がサーバー(ファイルサーバーまたはNAS)のキュレートスナップショットを作成した場合、キュレートスナップショットがサーバーデータの復元用に使用できるデフォルトのスナップショットとして選択されます。
アクティブなキュレートスナップショットの一部であるスナップショットを削除することはできません。