Google Workspace向けランサムウェアリカバリ
概要
サイバーセキュリティの失敗リスクは、もはや企業の評判や顧客の負担に限定されるものではなく、企業自体の存続に関わるリスクです。ランサムウェアは、すべての企業が大切にしている 1 つの普遍的なもの、つまり自社のデータを使ってビジネスを強要します。言うまでもなく、この危険に備える必要があります。
本ページは、不運にもランサムウェアに攻撃された場合に、Druva によるランサムウェア リカバリがどのように役立つかを理解するのに役立ちます。
感染において、検疫 (Quarantine) とは感染を封じ込めて拡散させないように、感染した部分を隔離することです。ランサムウェアリカバリを使用すると、影響を受けるリソースで感染したスナップショットを隔離できます。これにより、ユーザーまたは管理者が他のリソースにデータをダウンロードまたは復元することを禁止することで、システムがさらなる感染から保護されます。
ダウンタイムと生産性損失を減らすために、安全と思われる最新のセキュアなスナップショットからデータを復元し、リソースを再び操作できるようにすることができます。
ランサムウェア リカバリを使用して、感染したスナップショットを以下の方法で隔離します。
- 影響を受けるリソースを手動で検索し、感染したスナップショットまたはすべてのスナップショットを隔離します。
- サードパーティのセキュリティおよびインシデント対応ソリューションとランサムウェアリカバリを統合し、Ransomware Recovery API を使用してリソースを隔離するための対応を自動化します。
検疫の影響を知る
- スナップショットを隔離すると、そのリソースの管理者とユーザーは、隔離されたスナップショットへのアクセスが行えなくなります。
- 管理者とユーザーは、隔離されたスナップショットからデータをダウンロードしたり、データを復元したりすることはできません。隔離されたスナップショットは、[Restore Data] ウィンドウのスナップショット作成タイムスタンプの横に表示されるロック アイコン (
) で識別できます。隔離されたスナップショットの復元の詳細については、次を参照してください。
リソースの隔離されていない (クリーンな) スナップショット内のデータは引き続きアクセス可能であり、管理者およびユーザーが表示、ダウンロード、または復元できます。
手法を決定する
Druva では、ランサムウェア リカバリへの対応を設定できます。影響を受けるデバイスのスナップショットを手動で隔離するか、Ransomware Recovery API を使用してサードパーティのセキュリティおよびインシデント対応ソリューションと統合することで、隔離プロセスを自動化できます。
感染したスナップショットを手動で隔離する
リソースのスナップショットを手動で隔離する方法は、影響を受けるリソース (Google ドライブ/共有ドライブ)について、ユーザー自身などの信頼できるソースから、またはセキュリティ インフラストラクチャやウイルス対策ソフトウェアによって発生する可能性に関するアラートから知るときに役立ちます。危険。
前提条件
リソースがランサムウェアに感染した可能性のある日付を特定します。リソースのスナップショットを隔離する日付を決定するのに使います。
注: 日付がわからない場合や不明な場合は、現在の日付またはシステム定義の制限である 2019 年 11 月 10 日から、影響を受けるリソースのスナップショットの隔離を開始できます。
影響を受けたデバイスを持つ社内ユーザーと会話し、デバイスに感染した特定の日にファイルのダウンロードや操作を行ったなどの潜在的なアクティビティを追跡できます。
リソースを隔離する最善の方法の選択
次の使用可能な方法のいずれかを使用して、リソースを手動で隔離できます。
- リソースを検索して隔離する - このオプションは、影響を受けるリソースを検索し、スナップショットを特定してから、スナップショットに対して隔離アクションを実行する場合に使用します。このオプションを使用するには、「リソースを検索して隔離する」を参照してください。
- CSV を使用してリソースを一括で隔離する (Google ドライブの場合) - 複数のリソースを隔離する必要があり、労力を節約するために次の情報を利用できる場合は、このオプションを使用します。
- Email (メール) - スナップショットを隔離する必要があるユーザーの電子メール アドレス。
- Resource Type (リソース タイプ) - データ ソースのタイプ - Google ドライブ。
- From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、リソースが影響を受けた日付である必要があります。日付を入力しない場合、Druva は 2019 年 11 月 10 日からリソースのすべてのスナップショットの隔離を開始します。
- To Date (終了日) - リソースを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離する場合は、Druva がスナップショットを隔離する日付を入力します。日付を入力しない場合、Druva は無期限にスナップショットを隔離し続けます。
このオプションを使用するには 、Google ドライブの CSV を使用してスナップショットを一括で検疫する を参照してください。
- CSV を使用してリソースを一括で隔離する (共有ドライブの場合) - 複数のリソースを隔離する必要があり、労力を節約するために次の情報を利用できる場合は、このオプションを使用します。
- Account Title (アカウントのタイトル) - 隔離する必要がある共有ドライブの詳細。
- URL - 隔離する共有ドライブの URL。
- From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、リソースが影響を受けた日付である必要があります。日付を入力しない場合、Druva は 2019 年 11 月 10 日からリソースのすべてのスナップショットの隔離を開始します。
- To Date (終了日) - リソースを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離する場合は、Druva がスナップショットを隔離する日付を入力します。日付を入力しない場合、Druva は無期限にスナップショットを隔離し続けます。
このオプションを使用するには、共有ドライブの CSV を使用してスナップショットを一括で隔離する を参照してください。
リソースを検索して隔離する
リソースを検索し、スナップショットを特定して隔離する場合は、このオプションを使用します。
手順
- Druva Cloud Platform(DCP)コンソールにログインし ます。
- DCP コンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします。
- 左ペインで [ Quarantine Bay ] をクリックして、隔離されたすべてのリソースのリストを表示します。
- [Add Resources] > [Find Resources] をクリックします。 リソースの種類を選択します。
- Google ドライブの場合: [ユーザーのデータソース]リソース タイプを選択します。
- 共有ドライブの場合:リソース タイプとしてSaaS 組織アプリを選択し、アプリ タイプとして共有ドライブを選択します。
- 影響を受けるリソースを検索します。データ ソースに基づいて、次のいずれかまたは組み合わせを使用してリソースを検索できます。
- Google ドライブの場合:プロファイルとユーザー
- 共有ドライブの場合:共有ドライブ名またはアカウント URL
- スナップショットを隔離するリソースを選択し、 [次へ] をクリックします。Google ドライブの場合は、[デバイス名] を選択します。共有ドライブの場合は、共有ドライブを選択します。
- [検疫応答]ページで、利用可能な情報に基づいて次のいずれかを選択します。
- 影響を受けた日付からすべてのスナップショットを隔離する - リソースが影響を受けた日付が確実な場合にのみ、このオプションを選択します。日付が不明な場合は、次の方法である [ すべてのスナップショットを隔離する] を選択します。[影響を受けた日付からすべてのスナップショットを隔離
する] を選択すると、すべてのスナップショットを隔離する特定の日付を指定できます。Druva は、バックアップのためにリソース上に形成されたすべてのスナップショットを隔離し続けます。すべてのスナップショットを隔離済みとしてマークする日付を選択します。- 2019 年 11 月 10 日より前の検疫用のスナップショットを選択できます。
- Druva は UTC タイムゾーンを使用してリソースを隔離します。ユーザーのデータ ソース (Google ドライブ) の場合、日付を選択する際に、デバイスのタイム ゾーンと UTC ゾーンの違いを考慮する必要があります。
- すべてのスナップショット を隔離する - リソースが影響を受けた正確な日付がわからない場合は、この方法を選択してスナップショットを隔離します。[すべてのスナップショットを隔離する]を選択すると、Druva は 2019 年 11 月 10 日 (システム定義の制限) 以降、すべてのスナップショットを隔離し、バックアップのためにリソース上に形成されたすべてのスナップショットを隔離し続けます。
- 影響を受けた日付からすべてのスナップショットを隔離する - リソースが影響を受けた日付が確実な場合にのみ、このオプションを選択します。日付が不明な場合は、次の方法である [ すべてのスナップショットを隔離する] を選択します。[影響を受けた日付からすべてのスナップショットを隔離
8. [完了] をクリックします。
Druva は、指定された日付からスナップショットの隔離を開始し、定期的なバックアップの一部として作成されたスナップショットも隔離します。 推奨される一連のアクションを実行するには、次のステップを参照してください。
CSV を使用してスナップショットを一括で検疫する (Google ドライブの場合)
複数の Google ドライブ ユーザーのスナップショットを隔離する場合は、このオプションを使用します。
手順
- Druva Cloud Platform (DCP) コンソールにログインし ます。
- DCP コンソール ダッシュボードの[ サイバー レジリエンス] で、ランサムウェア リカバリ サービスをクリックします 。
- 左ペインで [隔離ベイ ] をクリックして、隔離されたすべてのリソースのリストを表示します。
- [ リソースの追加] > [CSV のインポート] をクリックします。 [ CSV からインポート ] ダイアログ ボックスが表示されます。
- サンプル CSV ファイルをダウンロードします。
- CSV ファイルを開き、次の情報を必要な形式で提供します。
- 電子メール - スナップショットを隔離する必要があるユーザーの電子メール アドレス。
- リソース タイプ- データ ソースのタイプ - Google ドライブ。
- 開始日- スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、リソースが影響を受けた日付である必要があります。
日付を指定しない場合、Druva は 2019 年 11 月 10 日からデバイスのすべてのスナップショットの隔離を開始します。
- To Date - リソースを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離する場合は、Druva がスナップショットを隔離する日付を入力します。
終了日を指定しない場合、Druva は無期限にスナップショットを隔離し続けます。
- CSV を保存します。
- [CSVからインポート] ダイアログ ボックスで、CSV ファイルを選択し、[ インポート] をクリックします。
CSV を使用してスナップショットを一括で隔離 (共有ドライブの場合)
複数の共有ドライブのスナップショットを隔離する場合は、このオプションを使用します。
手順
- Druva Cloud Platform (DCP) コンソールにログインし ます。
- DCP コンソール ダッシュボードの[ サイバー レジリエンス] で、ランサムウェア リカバリ サービスをクリックします 。
- 左ペインで [隔離ベイ ] をクリックして、隔離されたすべてのリソースのリストを表示します。
- [ リソースの追加] > [CSV のインポート] をクリックします。 [ CSV からインポート ] ダイアログ ボックスが表示されます。
- サンプル CSV ファイルをダウンロードします。
- CSV ファイルを開き、次の情報を必要な形式で提供します。
- サイト タイトル/アカウント タイトル- 隔離する必要がある共有ドライブのアカウントの詳細。
- URL - 隔離する共有ドライブの URL。
- 開始日- スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、リソースが影響を受けた日付である必要があります。
日付を指定しない場合、Druva は 2019 年 11 月 10 日から共有ドライブのすべてのスナップショットの隔離を開始します。
- To Date - リソースを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離する場合は、Druva がスナップショットを隔離する日付を入力します。
終了日を指定しない場合、Druva は無期限にスナップショットを隔離し続けます。
- CSV を保存します。
- [CSVからインポート] ダイアログ ボックスで、CSV ファイルを選択し、[ インポート] をクリックします。
CSV の検証後、Druva は、CSV に記載されている Google ドライブ ユーザーと共有ドライブのデバイス上のスナップショットの検疫を開始します。
感染したリソースの隔離に成功したため、ランサムウェア攻撃を封じ込めることができます。ランサムウェア リカバリ ページを更新して、隔離されたリソースのリストを表示します。
次は何ですか?
感染したスナップショットを隔離したので、次に何をすべきか疑問に思うかもしれません。次のアクションを実行してランサムウェアを封じ込め、リソースを起動して生産性を再開できます。
このような状況を解決するために、データ セキュリティおよび IT チームと協力して適切な措置を講じることを強くお勧めします。
- 感染したデータとリソースをさらに分析するために 、影響を受けたデバイス/共有ドライブを組織のデータおよび情報セキュリティ チームと共有します。
- (Google ドライブの場合) 疑わしいファイルとフォルダーをバックアップから除外します。 ランサムウェアの影響を受ける名前、ファイルの種類、またはファイル拡張子を特定したら、ファイルとフォルダーの除外リストを作成し、 それらが他のユーザー デバイスからバックアップされないように制限できます。
- (Google ドライブの場合) ユーザーに新しいデバイスを提供します。感染したデバイスを新しいデバイスと交換する場合、デバイスの交換 プロセス 中に最新のクリーンなスナップショットを新しいデバイスに復元でき デバイスを交換したら、影響を受けるデバイスの将来のスナップショットを隔離解除してください。そうしないと、Druva は新しいデバイスでもスナップショットを隔離し続けます。リソースの隔離を解除するには、リソースの隔離を解除する を参照してください 。
- (共有ドライブの場合) ファイルとフォルダーをバックアップから除外します。 ランサムウェアの影響を受ける共有ドライブを特定したら、 [除外 ] オプションを使用して、特定のファイルとフォルダー データを除外し、それらのバックアップを制限できます。
- (共有ドライブの場合) バックアップ用に新しい共有ドライブを提供します。 感染したサイトを新しい共有ドライブに置き換える場合、最新のクリーンなスナップショットを新しいサイトに復元できます。サイトを置き換えたら、影響を受けるサイトの今後のスナップショットを隔離解除してください。そうしないと、Druva は新しいサイトでもスナップショットを隔離し続けます。リソースの隔離を解除するには、リソースの隔離を解除する を参照してください 。
リソースの隔離を解除する
データ セキュリティ チームと IT チームの助けを借りて、影響を受けたリソースについて必要な調査を完了した後、一部のリソースがランサムウェアの影響を受けたと誤ってマークされていることに気付く場合があります。この場合、隔離された状態からリソースとスナップショットを削除し、クリーンとしてマークすることをお勧めします。
スナップショットの隔離を解除した後、inSync 管理者とユーザーは、これらのクリーンなスナップショットからデータを安全に復元およびダウンロードできるため、データが失われることはありません。
手順
- Druva Cloud Platform (DCP) コンソールにログインし ます。
- DCP コンソール ダッシュボードの[ サイバー レジリエンス] で、ランサムウェア リカバリ サービスをクリックします 。
- 左ペインで、[ 隔離ベイ] をクリックします。
- 削除する リソース名を選択します。
- [その他のオプション] > [ 隔離ベイから削除] をクリックします。
削除すると、ユーザーと管理者は隔離されていないスナップショットのデータにアクセスし、ダウンロードして復元できます。
感染したリソースのスナップショットを削除する
バックアップ構成でそのリソースに対してData Lock が有効になっている 場合、そのリソースのスナップショットを削除することはできません 。
データまたは情報セキュリティ チームが影響を受けるリソースの分析を完了した後、既存のデバイス/共有ドライブをクリーンアップするか、新しいデバイス/共有ドライブをユーザーに提供する必要がある場合があります。
スナップショットの削除は回復不可能なアクティビティです。削除されたスナップショットからデータにアクセスして復元することはできません。削除されたスナップショットは 、inSync 管理コンソールの復元 ウィンドウに表示されません。また、これらはinSyncクライアントおよびWeb 復元ウィンドウには表示されません。
注 : リソースの最後のクリーン スナップショットは削除できません。最後のクリーンなスナップショットには、スナップショットを削除できないことを示す情報アイコンが表示されます。
手順
- Druva Cloud Platform (DCP) コンソールにログインし ます。
- DCP コンソール ダッシュボードの[ サイバー レジリエンス] で、ランサムウェア リカバリ サービスをクリックします 。
- 左ペインで、[ 隔離ベイ] をクリックします。
- リソース名をクリックして、そのリソースのスナップショットを表示します。
- [スナップショット] タブをクリックします。感染したすべてのスナップショットのリストが表示されます。
- [削除の確認 ] 確認ポップアップで、削除の理由を指定し (理由は 10 ~ 150 文字の範囲で必須です)、[削除 ] をクリックします。一度削除されたデータは復元できません。削除の理由は、 監査目的で監査証跡に記録されます。
API を使用して、感染したスナップショットを自動的に隔離する
API を使用して、ランサムウェア リカバリを既存のセキュリティ ツールと統合したり、カスタム スクリプトを作成して、ランサムウェア攻撃があった場合に自動的にアクションを実行したりできます。
開始するのに役立ついくつかのリンクを次に示します。
- Druva API の詳細については、開発者ポータルにアクセスしてください。
- 組織をより安全にするために提供されている API を試すには、 Ransomware Recovery APIを参照し てください。
感染したデバイスの ID と感染日がわかっている場合に、API を使用してスナップショットを隔離する場合、次のようなワークフローが考えられます。