メインコンテンツまでスキップ
お問い合わせ
Dummy text to avoid mindtouch from removing the blank div

文書化
チャットチケットを送信
Druva

仮想マシン向けランサムウェアリカバリ (VMwere)

  1. 最後の更新
  2. PDFとして保存

概要

サイバーセキュリティの失敗リスクは、もはや企業の評判や顧客の負担に限定されるものではなく、企業自体の存続に関わるリスクです。ランサムウェアは、すべての企業が大切にしている 1 つの普遍的なもの、つまり自社のデータを使ってビジネスを強要します。言うまでもなく、この危険に備える必要があります。

本ページは、不運にもランサムウェアに攻撃された場合に、Druva によるランサムウェア リカバリがどのように役立つかを理解するのに役立ちます。

感染において、検疫 (Quarantine) とは感染を封じ込めて拡散させないように、感染した部分を隔離することです。ランサムウェアリカバリを使用すると、影響を受けるリソースで感染したスナップショットを隔離できます。これにより、ユーザーまたは管理者が他のリソースにデータをダウンロードまたは復元することを禁止することで、システムがさらなる感染から保護されます。

ダウンタイムと生産性損失を減らすために、安全と思われる最新のセキュアなスナップショットからデータを復元し、リソースを再び操作できるようにすることができます。

ランサムウェア リカバリを使用して、感染したスナップショットを以下の方法で隔離します。

  • 影響を受けるリソースを手動で検索し、感染したスナップショットまたはすべてのスナップショットを隔離します。
  • サードパーティのセキュリティおよびインシデント対応ソリューションとランサムウェアリカバリを統合し、Ransomware Recovery API を使用してリソースを隔離するための対応を自動化します。

隔離の影響を知る 

  • スナップショットを隔離すると、そのリソースの管理者とユーザーは、隔離されたスナップショットへのアクセスが行えなくなります。
  • 管理者とユーザーは、隔離されたスナップショットからデータをダウンロードしたり、データを復元したりすることはできません。隔離されたスナップショットは、[Restore Data] ウィンドウのスナップショット作成タイムスタンプの横に表示されるロック アイコン (Quarantine_Snapshot_icon_1.png) で識別できます。隔離されたスナップショットの復元の詳細については、「仮想マシンの隔離復元」を参照してください。

    隔離スナップショット_VMware_HW.png
     

リソースの隔離されていない (クリーンな) スナップショットのデータへは引き続きアクセス可能であり、管理者は表示、復元することができます。

手法を決定する

Druva では、ランサムウェア リカバリへの対応を設定できます。影響を受ける仮想マシンのスナップショットを手動で隔離するか、Ransomware Recovery API を使用してサードパーティのセキュリティおよびインシデント対応ソリューションと統合することで、隔離プロセスを自動化できます。

感染したスナップショットを手動で隔離する

リソース上のスナップショットを手動で隔離する方法は、潜在的なリスクについて仮想マシン管理者自身や、セキュリティ インフラストラクチャやウイルス対策ソフトウェアによって生成されたアラートなど、信頼できるソースから影響を受けた仮想マシンについて把握したときに役立ちます。

前提条件
リソースがランサムウェアに感染した可能性のある日付を特定します。リソースのスナップショットを隔離する日付を決定するのに使います。

注: 日付がわからない場合、現在の日付またはシステム定義の制限である 2020 年 1 月 6 日から 、影響を受けるリソースのスナップショットの隔離を開始できます。

影響を受けた仮想マシンについて社内で会話し、仮想マシンに感染した特定の日にファイルのダウンロードや操作を行ったなどの潜在的なアクティビティを追跡できます。

リソースを隔離する最善の方法の選択

次の使用可能な方法のいずれかを使用して、仮想マシンを手動で隔離できます。

  • リソースを検索して隔離する - このオプションは、影響を受けるリソースを検索し、スナップショットを特定してから、スナップショットに対して隔離アクションを実行する場合に使用します。このオプションを使用するには、「リソースを検索して隔離する」を参照してください。
  • CSV を使用してリソースを一括で隔離する - 複数の仮想マシンを隔離する必要があり、工数を削減するために以下の情報を利用できる場合は、このオプションを使用します。
    • Organization Name (組織名) - 隔離する仮想マシンを含む組織の名前。 
    • Virtual Machine Name (仮想マシン名) - 隔離する vCenter の名前または ESXi ホスト名。
    • HostIP - ホスト名の IP アドレス。
    • From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、仮想マシンが影響を受けた日付である必要があります。日付を入力しない場合、Druva は 2020 年 1 月 6 日から仮想マシンのすべてのスナップショットの隔離を開始します。
    • To Date (終了日) - 仮想マシンを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離したい場合は、Druvaがスナップショットを隔離する日付を入力します。日付を入力しない場合、Druvaは無期限にスナップショットを隔離し続けます。 
    • Resource Type (リソースタイプ)隔離するリソース タイプ。たとえば、VMware。
    • このオプションを使用するには、「CSV を使用してスナップショットを一括で隔離する」を参照してください。

リソースを検索して隔離する

仮想マシンを検索し、スナップショットを特定して隔離する場合は、このオプションを使用します。

手順

  1. Druva Cloud Platform(DCP)コンソールにログインし ます。 
  2. DCP コンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recoveryサービスをクリックします。
  3. 左ペインで [ Quarantine Bay ] をクリックして、隔離されたすべてのリソースのリストを表示します。
  4. [Add Resources]  >  [Find Resources] をクリックします。 リソースの種類として[Files (File Server and NAS)]を選択します。
  5. 影響を受けた仮想マシンを検索します。Organizations (組織)vCenter/ESXi Host Name (ホスト名)、およびVirtual Machine Name (仮想マシン名) のいずれかまたは組み合わせを使用して、仮想マシンを検索できます
    Add resources to Qbay_VMware.png
  6. スナップショットを隔離する仮想マシンを選択し、[Next] をクリックします。
  7. [Quarantine Response]ページで、入手可能な情報に基づいて次のいずれかを選択します。
    • Quarantine all snapshots from the impacted date (影響を受けた日付からすべてのスナップショットを隔離する) - リソースが影響を受けた日付が確実な場合にのみ、このオプションを選択します。日付が不明な場合は、次の方法である [Quarantine all snapshots (すべてのスナップショットを隔離する)] を選択します。[Quarantine all snapshots from the impacted date] を選択すると、すべてのスナップショットを隔離する特定の日付を指定できます。Druvaは、Druvaバックアップにより仮想マシン上に形成されたすべてのスナップショットを隔離し続けます。すべてのスナップショットを隔離済みとしてマークする日付を選択します。
      •  2020 年 1 月 6 日より前の隔離スナップショットを選択できます。
      •  Druvaは UTC タイムゾーンを使用してリソースを隔離します。日付を選択するときは、仮想マシンのタイム ゾーンと UTC ゾーンの違いを考慮に入れる必要があります。 
    • [Quarantine all snapshots] (すべてのスナップショットを隔離する) - リソースが影響を受けた正確な日付がわからない場合は、この方法を選択してスナップショットを隔離します。[Quarantine all snapshots]を選択すると、Druva は 2020 年 1 月 6 日以降 (システム定義の制限) にすべてのスナップショットを隔離し、Druva バックアップのために仮想マシン上に形成されたすべてのスナップショットを隔離し続けます。選択したdate.pngからすべてのスナップショットを四分する
  8.  [Finish] をクリックします。

Druva は、指定された日付からスナップショットの隔離を開始し、通常の Druva バックアップの一部として作成されたスナップショットも隔離します。 推奨される一連のアクションを実行するには、次の手順を参照してください。

CSV を使用してスナップショットを一括で隔離する

複数の仮想マシンのスナップショットを隔離する場合は、このオプションを使用します。

手順

  1. Druva Cloud Platform(DCP)コンソールにログインし ます。  
  2. DCP コンソール ダッシュボードの[Cyber Resilience]で、[Ransomware Recovery] サービスをクリックします 。
  3.  左ペインで [ Quarantine Bay ] をクリックして、隔離されたすべてのリソースのリストを表示します。
  4. [Add Resources] > [Import CSV] をクリックします。 [Import from CSV] ダイアログ ボックスが表示されます。
  5. サンプル CSV ファイルをダウンロードします。
  6. CSV ファイルを開き、次の情報を必要な形式で提供します。
    • Organization Name (組織名) - 隔離する仮想マシンを含む組織の名前。 
    • Virtual Machine Name (仮想マシン名) - 隔離する仮想マシンの名前。 
    • From Date (開始日) - スナップショットを隔離する開始日 (YYYY-MM-DD 形式)。これは、仮想マシンが影響を受けた日付である必要があります。
      日付を入力しない場合、Druva は 2020 年 1 月 6 日から仮想マシンのすべてのスナップショットの隔離を開始します。
    • Resource Type (リソースタイプ)隔離するリソース タイプ。たとえば、VMware。
    • To Date (終了日) - 仮想マシンを隔離する日付 (YYYY-MM-DD 形式)。特定の期間にスナップショットを隔離したい場合は、Druvaがスナップショットを隔離する日付を入力します。日付を入力しない場合、Druvaは無期限にスナップショットを隔離し続けます。

      終了日を指定しない場合、Druva は無期限にスナップショットを隔離し続けます。
      CSV_VMware.png をインポート

  7. CSV を保存します。 
  8. [Import from CSV] ダイアログ ボックスで、CSV ファイルを選択し、[Import] をクリックします。

CSV の検証後、Druva は、CSV に記載されている仮想マシンでスナップショットの隔離を開始します。

感染したリソースの隔離に成功したため、ランサムウェア攻撃を封じ込めることができます。[Quarantine Bay] ページを更新して、隔離された仮想マシンのリストを表示します。

次の手順

感染したスナップショットを隔離したので、次に何をすべきか疑問に思うかもしれません。次のアクションを実行してランサムウェアを封じ込め、リソースを起動して業務を再開できます。 

 このような状況を解決するために、データ セキュリティおよび IT チームと協力して適切な措置を講じることを強くお勧めします。

  • 疑わしいファイルとフォルダーをバックアップから除外します。 ランサムウェアの名前、ファイルの種類、ファイル拡張子を特定したら、それらのファイル タイプを除外し、他の仮想マシンからのバックアップを制限できます。
  • 感染したデータと仮想マシンをさらに分析するために、影響を受けた仮想マシンを組織のデータおよび情報セキュリティ チームと共有します。
  • ユーザーに新しい仮想マシンを割り当てます。感染した仮想マシンを新しい仮想マシンに置き換える場合、[Restore To Alternate Location (別の場所に復元)] オプションを使用して、最新のクリーンなスナップショットを新しい仮想マシンに復元できます。仮想マシンを交換したら、影響を受ける仮想マシンの将来のスナップショットを隔離解除してください。そうしないと、Druva は新しい仮想マシンでもスナップショットを隔離し続けます。リソースの隔離を解除するには、リソースの隔離を解除するを参照してください 

リソースの隔離を解除する 

データ セキュリティ チームと IT チームの助けを借りて、影響を受けたリソースについて必要な調査を完了した後、一部のリソースがランサムウェアの影響を受けたと誤ってマークされていることに気付く場合があります。この場合、リソースとスナップショットを隔離された状態から戻し、クリーンとしてマークすることをお勧めします。

スナップショットの隔離を解除した後、Druva 管理者とユーザーは、これらのクリーンなスナップショットからデータを安全に復元およびダウンロードできるため、データが失われることはありません。

手順

  1. Druva Cloud Platform(DCP)コンソールにログインし ます。 
  2. DCPコンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery サービスをクリックします 。
  3. 左ペインで、[Quarantine Bay] をクリックします。
  4. 削除するリソースを選択します。 

    Q_bay_listing_March21.png
  5. [(3ドットメニュー)] > [Remove from Quarantine Bay] をクリックします。 

削除すると、ユーザーと管理者は隔離されていないスナップショットのデータにアクセスし、ダウンロードして復元できます。

感染したリソースのスナップショットを削除する

バックアップ ポリシーでそのリソースに対してData Lockが有効になっている 場合、そのリソースのスナップショットを削除することはできません。

データまたは情報セキュリティ チームが影響を受けるリソースの分析を完了した後、既存の仮想マシンをクリーンアップするか、ユーザーに新しい仮想マシンを提供する必要がある場合があります。 

新しい仮想マシンへのアクセスを受け取った後、ユーザーは古い仮想マシンの最新のクリーンなスナップショットを復元できます。復元アクティビティが完了したら、仮想マシンの感染したスナップショットを削除できます。

スナップショットの削除は回復不可能なアクティビティです。削除されたスナップショットからデータにアクセスして回復することはできません。削除されたスナップショットは 、Druva 管理コンソールのRestore Dataウィンドウに表示されません。

手順

  1. Druva Cloud Platform(DCP)コンソールにログインし ます。 
  2. DCPコンソールダッシュボードの[Cyber Resilience]で、[Ransomware Recovery サービスをクリックします 。
  3. 左ペインで、[Quarantine Bay]  をクリックします。
  4. リソース名をクリックして、そのリソースのスナップショットを表示します。 
  5. [Snapshots] タブをクリックします。感染したすべてのスナップショットのリストが表示されます。
    snapshots listed servers.png
     
  6. [Confirm Deletion] 確認ポップアップで、削除の理由を指定し (理由は 10 ~ 150 文字の範囲で必須です)、[Delete] をクリックします一度削除されたデータは復元できません。削除の理由は、監査目的で監査証跡に記録されます。  

: 削除されたバックアップセットの場合、それらのバックアップセットの検疫範囲を表示することはできません。ただし、 ロールバック アクション オプションを使用して、削除された仮想マシンを取得し、隔離範囲を表示できます。

API を使用して、感染したスナップショットを自動的に隔離する

API を使用して、ランサムウェア リカバリを既存のセキュリティ ツールと統合したり、カスタム スクリプトを作成して、ランサムウェア攻撃があった場合に自動的にアクションを実行したりできます。 

開始するのに役立ついくつかのリンクを次に示します。

  • Druva API の詳細については、開発者ポータルにアクセスしてください。 
  •  組織をより安全にするために提供されている API を試すには、 Ransomware Recovery APIを参照してください。

感染した仮想マシンの ID と感染日がわかっている場合に、API を使用してスナップショットを隔離する場合、次のようなワークフローが考えられます。 

 

clipboard_e471d17c960f4e5ed256e24c1c5b0aef7.png

  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. Article type
    Topic
  2. タグ
    このページにはタグがありません。