Veeam ONEを活用したランサムウェア対策


Veeam ONEは、仮想、物理、バックアップ環境を可視できる素晴らしいツールです。バックアップが失敗した場合、または警告付きでバックアップされた場合にユーザに通知することができ、ユーザはその問題に速やかに対処して修正することができます。特にランサムウェア攻撃を受けた後には、マルウェアのないバックアップ・データから復元できるようにすることが不可欠です。

ランサムウェアが感染するのを防ぐための1つの明白な解決策は、環境を綿密に監視し、不審な動きや異常な動きに注意を払うことです。ユーザの環境のアクティビティを監視するとき、ユーザは何が正常な動作で何がそうでないかをすでに知っているはずです。Veeam ONEがデータセンターで発生している疑わしい活動を通知するための一つの方法は、Possible Ransomware Activity アラームです。

Veeam ONEでCPU使用率、データストア書き込みレート、ネットワーク送信レートを分析することで、特定のマシンに通常よりも高いアクティビティがあるかどうかを識別するのに役立ちます。アラームがトリガーされると、すぐにユーザに通知され、マシンを検査し、リソース・カウンターを見て、アクティビティが正常かどうかをユーザ自分で判断します。正常でない場合は、ユーザがランサムウェアが犯人かどうかを判断するために、さらに多くの手順を踏む必要があることを判断する良い指標となります。

このアラームには「Possible(可能性)」という言葉が含まれています。これはマルウェアが存在するときにデータセンタで発生する典型的な活動や動作、すなわちランサムウェアの間接的な兆候を追跡するためです。CPU 使用率、ディスク I/O、ネットワーク アクティビティを分析することで、「潜在的な」ランサムウェア攻撃を特定するのに役立ちます。しかし、データベースサーバのように、通常はリソースの使用量が多いマシンを使用している場合、活動が忙しい時間帯にアラームが発生することがあります。この場合、マシンが通常高いアクティビティを起こす特定の時間帯にアラームを除外するように変更したり、環境に合わせてリソースのしきい値を編集したりすることが簡単にできます。

このアラームを使用しているとき、ユーザを補助できる機能として、Remediation Actions(修復アクション)設定があります。Remediation Actionsは、Veeam ONE 9.5 Update 4で導入され、アラームがトリガーされたときに、事前定義されたアクションを設定したり、カスタム・スクリプトを実行したりすることができます。この場合、Possible Ransomware Activityアラームでは、ネットワーク上の他のコンピュータから感染したマシンを分離するカスタム・スクリプトの実行、共有ストレージからマシンを移動、またはマシンの電源を切るなどの修復アクションを設定することができます。このアクションは、警告またはエラー アラートに基づいてアラームがトリガーされたときに自動的に発生するように設定することも、手動で発生するように設定することもできます。これは、[actions:アクション] タブの [alarm] で設定できます。

Veeam ONEでは、タスク、イベント・パフォーマンス・カウンター、ゲスト・プロセスとサービスに基づいてアラームを作成することもできます。仮想環境で発生している異常な活動を識別するために、これらのカウンタに基づいてルールを作成することができます。たとえば、アプリケーションを監視する場合、VM内で実行されているサービスやプロセスに基づいてアラームを作成できます。1 つまたは複数のサービスが追加された場合、アラームをトリガーして通知することができます。これは、不要なサービスが実行されていたり、未承認のソフトウェアがインストールされていたりすることによるVM上のランサムウェア サービスの可能性を示す指標となります。

アラームを作成するには、Veeam ONE Monitorのアラーム管理タブで開始します。そこから、ホスト、クラスター、仮想マシンなど、アラームを適用するオブジェクト・タイプを選択します。オブジェクト・タイプは、モニターの左側にリストされています。この例では、仮想マシンにアラームを適用することを選択します。オブジェクトタイプを選択したら、アクションペインに移動して “NEW(新規 )”を選択します。そこから、アラーム名の選択、ルールの作成、インフラストラクチャまたはビジネス ビュー グループに基づいたアラームの割り当て、アラームがトリガーされたときのアクションの確立、および通知の設定を行うことができます。

VMの変更率を注意深く監視することも、異常なアクティビティを検出するためのもう一つの手段です。バックアップに高い変更率が発生している場合、潜在的な脅威の可能性があります。では、Veeam ONEではユーザが実行して分析できるレポートがいくつかあります。

VM Change Rate Historyレポートを毎日実行して、仮想ディスクから読み込んだ後に変更されたデータ量に基づいてVMがどのように変化しているかを特定することができます。このレポートでは、VMディスク上で発生した変更を確認し、バックアップの総増分変更量とファイルサイズに関する情報を提供します。バックアップジョブの増分実行中に異常な変化が発生した場合、これは赤信号で、より詳細に調べる必要があります。

Veeam Backup Files Growth レポートでは、バックアップファイルで使用されている総容量が表示されます。このレポートでは、バックアップファイルの種類、フルまたはインクリメンタルかどうか、そしてリストアポイントのサイズが識別されます。このレポートは、Veeamリポジトリの容量計画を立てる際に実行するのに適していますが、マシン上で発生した異常なアクティビティを認識するのにも役立ちます。復元ポイントのサイズを見ることで、このマシンの変更率やバックアップファイルの増加が異常なのか、通常よりも高いのかを知ることができます。そしてこの特定のマシンを詳しく調べる必要があるかどうかを示す指標となります。

ランサムウェア攻撃から組織が回復する明白な方法の一つは、バックアップから復元することですが、最後のバックアップが失敗した場合やVMが全くバックアップされていなかった場合はどうでしょうか?Veeam ONEは、データの最新コピーが安全であるかどうかを確証するために、識別するためのいくつかの機能を持っています。バックアップの状態を監視し、情報を得るためには、 VM with no backups  アラームを活用して、バックアップがリカバリポイントの目標を満たしていない場合に通知することができます。

さらにProtected VMs Reportも便利で、どのマシンが保護されていて、どのマシンにバックアップがないのかを知ることができます。Job History Report (ジョブ履歴レポート)は、環境で実行されているすべてのジョブの全体的なビューを提供し、これらのジョブに基づいて詳細な統計情報を提供します。

Veeam ONE はランサムウェアのユーザ防衛最前線となりえます!

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください