ランサムウェア対策ソリューション「Cyber Recovery Manager」技術レポート
こんにちは。サービスマネージメントグループの八幡です。
主にIsilon/Powerscaleの構築・提案・コンサルティングなどを業務としています。
前回からかなり時間が空いてしまいましたが、久しぶりにSupernaの機能紹介をしたいと思います。
さて、まずSuperna Eyeglass Suiteのライセンス体系は現在以下のようになっています。
Eyeglass Data Security Editionの最新版は現在2.9.0です。
前回私が記事を書いた時2023年9月頃はまだ2.6.3が出るか出ないかの時期だったので、1年ちょいの間に結構バージョンが進んだ気がします。
ここ1年間での主な更新は以下の通りです。
<Eyeglass DR>
・Eyeglass UIの拡張: Appliance IDコピーボタンの実装、OSバージョンのUI表示
・OneFS対応バージョンがOneFSv9.7.xまで対応
・Writable Snapshotを利用したDR Testモードの実装
・Pool Failover時に複数のPoolを選択可能に
・SupernaOneへの対応
・Quotaのフェイルオーバー機能の拡張(OneFSv9.4以降はquota設定のexport/import機能をAPIを利用して実装)
・Dellのベストプラクティスに準拠するためにresync prepを実行する前にソースクラスタからquotaの削除を実施
・Alarm Codesの拡張(AirGap関連)
・不具合の修正
<Ransomware Defender、AirGap>
・マルチプラットフォーム対応の実装
①ロックアウトとリストアジョブは全てのプラットフォームで該当ユーザに対して実施
②検知時のスナップショットの作成は、設定されている全てのプラットフォームの全SMB共有・NFS exportsに対して取得
・ユーザ表示の標準化
①Ransomware Defenderのイベントをユーザ+プラットフォーム形式から、ユーザのみに変更
②ユーザ表示は全プラットフォームで表示形式を統一
・Cyber Recovery ManagerのECSへの対応
・Cyber Recovery Managerのマルチバイト文字列への対応
・ECAのNTPの設定同期
・Cyber Recovery Managerにスナップショットのキャッシュをリフレッシュするボタンの追加
・不具合の修正
Cyber Recovery Managerの紹介
通常ファイルを復旧する場合には、一番簡単なのはスナップショットからもどすことですが、どのスナップショットが正常なものとして最新なのか各ファイルごとに判断するという処理が必要になります。
ファイルが1個や2個であれば人力でもその判断はさほど手間はかかりませんが、対象のファイルが100以上となったときには相応の稼働がかかることが予想されます。
Cyber Recovery ManagerはNISTフレームワークの「回復」に該当する部分をより容易にし、ユーザーの回復に伴う負担を軽減する実装となります。
Ransomware Defender及びEasy Auditorの一部として実装され、汚染されたファイルや削除されたファイルの復旧を簡単に行うことができる便利な機能となります。
1年前に私が記事を書いた時点ではマルチバイトには非対応だったのですが、現在では問題なく対応しています。
今回は改めてEasyAuditorでのCRMの使い方の流れを説明させていただきます。
今回はMass Deleteでの検知時を例に説明させていただきたいと思います。
検証環境では今回以下の画面のような設定になっています。
/ifs/testフォルダで1分間に1000件のファイルの削除が発生した場合には検知するという設定になります。
該当フォルダにはあらかじめ2400個ほどの日本語ファイル名が含まれるファイルが配置されています。
では早速選択している該当のフォルダの日本語ファイルを1000個削除します。
testフォルダのファイル数が1400個に減っています。
EasyAuditorの画面を確認すると16:03にMass Deleteをトリガーとして検知しているのがわかります。
Easy Auditorの場合は、Active Events欄にあるActionsをクリックすることで以下のような画面が表示されます。
画面中央にあるCyberRecoveryManagerのボタンをクリックすることで、復旧画面に遷移可能です。
右側のFiltersは、クラスタ、パス、復旧ステータスなどで対象を絞り込むことが可能です。
下段は対象となるファイルのパス、クラスタ名、Events(画面では削除により検知されている為DELETEになっています)、スナップショット名、スナップショットの対象パス、スナップショットの取得日時が表示されています。
Cyber Recovery Managerは汚染されたファイルや削除されたファイルをスナップショットから復旧する際に最適なスナップショットを自動的に判定し、選択してくれます。
Snapshot Nameの欄で、Index-SnapshotではじまるIsilon上に設定されている定期的なスナップショットで復旧する形になっていますが、
ファイルの更新タイミングなどによっては、Supernaが取得したigls-ではじまるスナップショットで復旧可能な場合は、そちらの方のスナップショットが選択されている形になる場合もあります。
1個1個指定して復旧することも可能ですが、今回は下段にあるSelect allを選択して、Recoverをクリックします。
Recoverを押した後、確認のための画面が出るのでYesを押すと、以下のようなポップアップが出ます。
View Running JobsのボタンをクリックするとJobs画面が開き以下のようにRecovery Jobが実行中なのがわかります。
現在どこまで処理が進んでいるかも、ツリーを開けばわかります。
StatusがFinishedになれば完了です。何らかのエラーにより復旧できなかったファイルがあった場合には、エラーが記録されます。
ファイルの復旧状況はCyberRecoveryManagerの画面からも確認可能です。
以下の図のように、ファイルのステータスにRECOVERY_RESTOREDとなっていれば該当ファイルは復旧済みとなります。
また画面中央にあるTotalは対象ファイルの数で、Recovered 100.00%となっていますので全ファイルが復旧できたことを示しています。
RansomwareDefenderで検知していた場合には、この過程で汚染ファイルの隔離処理が発生しており、検知ディレクトリの最上階層に .ransomwaredefender ディレクトリが作成され、復旧前のファイルはそのフォルダに隔離され、調査に利用可能ですが、EasyAuditorの場合MassDelete及びDataLossPreventionでの検知は対象ファイルがそもそも削除されているまたはRead処理による検知で変更されていないということもありこの部分の処理は行われません。
いかがでしたでしょうか。
ブロードバンドタワーでは個別デモ、イベント、検証機の貸出等も実施しておりますので興味がわいた方はぜひブロードバンドタワー 営業までお問い合わせください。
X(旧Twitter)でも情報を発信しております。ぜひフォローお願いします!
