ARP 誤検知アラートを引き起こす要因は何ですか?
環境
- ONTAP 9.10.1以降
- 自律型ランサムウェア防御 (ARP)
回答
- ONTAPにおけるARP誤検出につながる主な要因は:
- ファイル拡張子:
- ARP は見慣れないファイル拡張子を疑わしいものとしてフラグ付けします。
- 固有の拡張子を生成する自動プロセスを備えた環境では、誤検知が多くなる可能性があります。
- ワークロードの種類:
- 頻度の高いファイル操作(作成、削除、名前の変更)によってアラートがトリガーされる可能性があります。大量のファイル I/O を伴う VMware バックアップなどのワークロードでは、特にこの問題が発生しやすくなります。
- 参照 KB:ソフトウェアのバックアップにより ONTAP でランサムウェア対策スナップショットが作成される
- 学習モードの期間:
- ARPでは、正常な活動と異常な活動を区別するために十分な学習期間(7~30日)が必要です。
- 学習が不十分だと誤検知が増えます。
- ファイル拡張子:
- 以下の対策は、ONTAPにおけるARPの誤検知を防ぐのに役立ちます:
- 検出パラメータ:
- 新しいファイル拡張子、高エントロピー データ、ファイル操作の急増などの ARP パラメータを調整すると、誤検知を減らすことができます。
- ユーザーフィードバック:
- アラートを誤検知としてマークすると、ARPが将来同様のイベントにフラグを立てるのを防ぐことができます。
- サージ検出:
- ARP は、履歴ベースラインに基づいてファイル操作の急増を検出します。
- サージ検出設定を調整すると、通常のワークロードの変動による誤検知を最小限に抑えることができます。
- 検出パラメータ: