ARP false positivesアラートの発生についてはどうでしょうか。

環境

• ONTAP 9.10.1以降
• ランサムウェア対策（ARP）

回答

• ONTAPでのARPによるフォールスポジティブの検出は、いくつかの要因によって異なります。これらの要因を理解することは、誤検出の発生を管理および削減するのに役立ちます。
• false positives ARPアラートに影響を与える要因：
  • ファイル拡張子
    ：ARPは、異常なファイル拡張子を検出してランサムウェア攻撃の可能性を特定します。ボリュームに、これまでに確認されたことのない一意のファイル拡張子または新しいファイル拡張子が含まれている場合、ARPはこれらの拡張子を疑わしいとフラグを付け、誤検出を引き起こす可能性があります。 
    これは、固有のファイル拡張子を生成する自動プロセスがある環境では特に一般的です。
  • 不適切なワークロード：
    短時間に多数のファイルを作成、削除、名前変更するなど、頻繁にファイルを操作すると、ARPアラートがトリガーされることがあります。これは、ARPがファイル操作の急増をランサムウェア攻撃の可能性として解釈するためです。 
    VMwareバックアップなど、高いファイルI/O処理が本質的に伴うワークロードでは、誤検出が頻繁に発生する可能性があります。
  • ラーニングモード期間：
    ARPは、ボリュームの通常の動作を理解するために、最初に「ラーニングモード」で動作します。学習期間が不十分な場合、ARPは正常なアクティビティと疑わしいアクティビティを正確に区別できず、誤検出につながる可能性があります。推奨される学習期間は7～30日です。
  • 検出パラメータ：
    ARP検出パラメータの設定は、誤検出の頻度に大きく影響します。 
    Detection only based on never seen before File Extension、新しいファイル拡張子のしきい値、高いエントロピーデータレート、ファイル操作のサージなどのパラメータは、特定のワークロードに適しており、誤検知を減らすように調整できます。
  • 攻撃を検出したときのユーザー操作:
    攻撃が偽陽性としてマークされると、ARPはその攻撃の今後の発生を 疑わしいものとしてフラグを立てなくなります。これにより、繰り返し発生する誤検出を減らすことができます。
  • サージ検出:
    ARPは、サージ検出を使用して、ファイル操作の異常なスパイクを特定します。サージ検出のベースラインは、ワークロードの履歴情報に基づいて計算されます。サージ検出パラメータを調整すると、通常のワークロードの変動によってトリガーされる誤検知を最小限に抑えることができます。

追加情報

詳細については、「ONTAPでの自律型ランサムウェア対策」を参照してください。