AIQUMが同じボリュームに対して、「ランサムウェアアクティビティが検出されました」イベントのステータスが「NEW」と「OBSOLETE」のメールアラートを同時に複数トリガーするのはなぜですか？

最後の更新
PDFとして保存

Views:: 1

Visibility:: Public

Votes:: 0

Category:: active-iq-unified-manager

Specialty:: OM

Last Updated:

環境

ActiveIQ Unified Manager（AIQUM）9.x
すべてのプラットフォーム
ランサムウェアアクティビティ検出イベント

回答

これは Ransomware Activities Detectedイベントの設計によるものです
Ransomware Activities DetectedイベントはAIQUMの特別なイベントであり、ネイティブのイベントとしてではなくONTAP EMSイベントcallhome.arw.activity.seenから提供されます
通常、ネイティブのAIQUMイベントの動作は異なります。1つのイベントがすでにNEWステータスの場合、状況が再発した場合でも、以前のアラートが廃止/解決済みとしてマークされていない限り、AIQUMは同じイベントを複数回トリガーしません
これは、アラート受信者のメールボックスに同じイベントがスパム送信されるのを防ぐためです
サブスクライブされたEMSイベント（自動/手動）の場合、動作はネイティブのAIQUMイベントとは異なり、対応するEMSイベントがONTAPでトリガーされるたびにAIQUMがイベントをトリガーします
OBSOLETEになる前のイベントの保持期間は、自動サブスクリプションと手動サブスクリプションで異なります
自動的にサブスクライブされたEMSの場合、AIQUMは以前の状況が逆転したことを示すイベントが発生するまで保持します
手動でサブスクライブしたEMSの場合、AIQUMは状況ステータスに関係なく、一定時間経過後に廃止とマークします
ただし、Ransomware Activity Detectedは特別なシナリオです。これはEMSに関連しているため、callhome.arw.activity.seenがトリガーされるたびにイベントが生成されますが、これは自動的にサブスクライブされたものでも手動でサブスクライブされたものでもなく、アクティビティが終了したことを示すカウンターイベントもないため、AIQUMはこれを特別なものとして扱い、新しいイベントを取得した後、以前のイベントを自動的に廃止し、最新の発生のみを保持します
これにアラートが設定されているお客様の環境では、2つのメールが届きます：1つ目は NEW（callhome.arw.activity.seenイベントの最新の発生として）と記載され、2つ目は OBSOLETE（新しいイベントがあるため、以前のイベントが自動的に廃止される）と記載されており、これらが連続して届くため、イベントページではNEWとして表示されているにもかかわらず、AIQUMがRansomware Activity検出がOBSOLETEになるというアラートを誤って送信しているように見えるため、混乱を招く可能性があります
以下のスクリーンショットでこの動作を説明します：