Veeam ONEによるランサムウェア検知に必要な構成、通知、アクション

Veeam ONEによるランサムウェア対策は様々ありますが、重要なのはアラームやレポートが適切なユーザーに届くようにすることです。この記事では、最も重要な4つのアラームと1つのレポート、およびこれらを発生させる条件の処理方法について説明します。

ランサムウェアアクティビティアラームの可能性

このアラームは、VMwareとHyper-Vの両方のAlarm Managementセクションにあり、2つのルールセットを調べます。また、持続的なネットワーク転送（抽出）にも注目します。少なくとも、このアラームには2人以上の人（バックアップ管理者、セキュリティチームなど）に電子メールを送信します。

また、アクションセクションに移動し、チームのサイバーセキュリティの実践に関連する何かを実行するスクリプトを挿入することをお勧めします。たとえば、SIEMプラットフォームがある場合。小さなPowerShellスクリプトを作成して、そのプラットフォームにランサムウェアアクティビティの可能性を警告し、問題に注意を向けさせます。

ここでは、Veeam ONEが作成するすべてのアラーム情報を、PowerShellスクリプトの一部として使用して、読みやすく、期待通りのアラームを作成するための属性を説明します。

• %1 –アラーム名
• %2 –影響を受けるオブジェクト名
• %3 –アラームの概要
• %4 –時間
• %5 –アラームステータス
• %6 –以前のアラームステータス
• %7 –アラームID

Veeam Backup & Replicationアラーム

最初のアラームは、運用データセットでトリガーできるアラームです。Veeam ONEには、バックアップインフラストラクチャを検討する高度なロジックもあります。Veeam ONEアラームのBackup & Replicationセクションで、次の3つのアラームを使用して同様のアプローチを取ることをお勧めします。

• Immutability change tracking（不変性の変化の追跡）
• Immutability state（不変性状態）
• Suspicious incremental backup size（疑わしい増分バックアップサイズ）

これらの3つのアラームは、異常な変更率で取得されたバックアップの側面（疑わしい増分バックアップサイズ）と、バックアップリポジトリの不変性設定への変更（オフも含む）を監視します。Immutability change trackingアラームの条件を示しています。

これらの3つのアラームは、少なくとも2人以上に電子メールを送信するとともに、SIEMプラットフォームでイベントをログに記録するなどのより重要なタスクを実行するスクリプトを作成することをお勧めします。Veeam ONEコンソールがアラームにフラグを立て、誰もそれを見ず、その情報に対して何もしないのでは意味がありません。

Veeam Backup & Replicationレポート

最後の推奨は、Veeam ONEの主要なレポートを、バックアップ管理者とセキュリティチームに自動的に送信することです。Restore Operator Activityレポートは、データが他の場所に移動していることを示す非常に重要な指標となります。これはデータがいつリストアされたかを示すもので、意図したリストアアクションの場合だけではありません。しかし、誰かがデータを停電のためではなく、別の場所に復元したとしたらどうでしょう。これを「流出」と呼ぶこともできます。以下は、1ヶ月分のRestore Operator Activityレポートからの表示例です。

レポートから浮かび上がってくる疑問の1つは、なぜrick.vanoverというユーザー名が2つの異なるアカウントでリストアしたのか、ということです。これは計画的なものなのでしょうか、それとも違反なのでしょうか？このレポートの次のページでは、各セッションで何がリストアされたかを説明しています。このレポートを自動的に電子メールで送信することは、Veeam ONE Web Clientで非常に簡単に行えます。

追加–攻撃者の可能性のある行動

攻撃者の行動についてもレポートで知ることができます。たとえば、攻撃者がインフラストラクチャ内に数か月ではなくても数週間滞在している場合です。

覚えのないリポジトリにバックアップがコピーされているかもしれません。

毎週、または少なくとも毎月、バックアップインフラへの変更を確認するようにしてください。

• Backup Infrastructure Audit

また、Veeamは、VMware vSphereで何が起こっているかについての洞察も提供しています。

• Infrastructure Changes Audit

安全なバックアップは最後の防衛線です。そしてVeeam ONEは、予期しない動作を示すために何が起こっているかを教えてくれます。

関連トピックス

• アラームのオプション機能について【VMWare専用 監視ソフト Veeam Monitor】
• 様々な状況に対応するアラーム機能【Veeam ONE】
• VEEAM ONE 9.5でのvSphereのvSANアラーム(Alarm)設定
• [ VeeamONE ] 最新Ver9.5の製品デモ動画集
• ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
• Veeam ONE V12で強化されたイミュータビリティ・モニタリング
• トラブルシューティングにおけるVeeam ONEの威力を探求する
• 【Veeam ONE】vCloud Directorとの連携で大規模環境も簡単に監視
• Veeam ONEのアラーム、監視情報をSNMPにより通知
• 一定時間以上実行されているジョブをアラームで検出、強制停止する方法 Veeam ONEのアラーム活用② [Veeam Backup & Replication用]