Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。
2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー
3回目:Veeam ONE Client – データ保護環境の監視および考察
4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム
5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム
6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須
7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう
8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用
9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用
10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート
11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート
12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能
4回目は「Veeam ONE Client – ランサムウェア対策のための事前定義アラーム」です。
ランサムウェア対策として事前に定義された2つのアラームをご紹介します。アラームの管理(オペレーション)に関してはユーザーガイドを参照ください。
事前に定義されたアラーム
事前に定義されたアラームは、「Alarm Management」から確認することができます。
「VMware vSphere」「Microsoft Hyper-V」「Veeam Backup & Replication」「Veeam Backup for Microsoft 365」「Internal」の5つのセクションに分けられます。
「Alarm Details (アラームの詳細)」から、「Knowledge (情報)」「Cause (原因/理由)」「Resolution (解決策)」を得ることができます(赤点線枠内)。
Suspicious incremental backup size
「Suspicious incremental backup size」アラームは、「Veeam Backup & Replication」セクションにあります。このアラームのデフォルト設定は有効です。
以前作成された増分バックアップと比較し、異常に大きいサイズのバックアップが作成された場合にこのアラームは通知されます。
「Alarm Details」を確認します。
< Knowledge >
「The size of the recently created incremental restore point is significantly different from the size of the previously created ones. (最近作成された増分リストアポイントのサイズが、以前に作成されたリストアポイントのサイズと大きく異なる。)」と記述があります。
< Cause >
増分バックアップのサイズが増えた原因/理由として次の3つが挙げられています。
- ランサムウェアの可能性
- 前回のバックアップジョブセッション以降、ワークロードのデータブロックの大幅な変更をした場合
- バックアップジョブで「Use per-machine backup files」オプションを無効に設定したバックアップリポジトリを指定し、増分リストアポイントのサイズに大きな変化がある状況において、バックアップジョブに追加されたワークロードのリストが変更された(バックアップ対象が追加された)場合
< Resolution >
次の解決策が提示されています。
- 増分リストアポイントサイズの変更原因の特定
原因を特定するために、下記レポートを利用することができます。影響を受けたワークロード、バックアップデータ、それらの変更サイズに関する情報をレポートから得ます。レポートは9回目以降でご紹介します。
- Data Change Rate History
- Job History
- Agent Backup job and Policy History
- Workload Protection History
- ワークロードがランサムウェアの影響を受けていないことの確認
- ウイルス定義が更新された最新のソフトウェアを使用し、ワークロードのウィルススキャンを実行
- セキュリティ脅威が検出された場合、直ちにワークロードを本番環境から分離し、調査を開始
- ランサムウェアの侵入によりワークロードのファイルにアクセスできない場合は、ワークロード全体のリストア、または以前のバックアップから必要なファイルのリストアを実行
「Suspicious incremental backup size」アラームのルール
アラートのルールで設定されたしきい値を超える / 下回ると、「Warning (警告)」または「Error (エラー)」のアラートが表示されます。図3のデフォルトのルールでは直近3つ(緑色点線枠内)の増分リストアポイントを比較する設定になっています。
警告:最新の増分リストアポイントと以前に作成されたリストアポイントを比較し、サイズが150%を超えている場合 / 80% を下回っている場合
エラー:最新の増分リストアポイントと以前に作成されたリストアポイントを比較し、サイズが200%を超えている場合 / 70% を下回っている場合
増分リストアポイントサイズの大幅な変更が予想される場合は、アラートを抑止するために、アラームのしきい値の変更をご検討ください。
バックアップの「Properties…」からファイルサイズの確認
バックアップの「Properties…」からファイルサイズを確認することもできます。
下図のスクリーンショット取得時、増分バックアップサイズが異常に増えていたため、「Suspicious incremental backup size」のアラートが通知されていました。本番環境はランサムウェアに狙われた形跡はありませんでしたが、念のためにSureBackup(自動検証機能)ジョブを実行します。
安心のためのSureBackupジョブの実行
「Suspicious incremental backup size」アラートが通知された仮想マシンのバックアップを対象にSureBackupジョブを実行します。結果すべての検証テストをSuccessで終えることができ、まずは一安心です。リストア後、正常にOSやアプリケーションが動作することを確認できました。
今回はWindows Defender (現Microsoft Defender)を使用し、ウィルススキャンを行いました。
※v12から、SureBackupジョブの対象はイメージバックアップです。Agentで取得したバックアップやクラウドのバックアップも対象とします。ただし、SureBackupジョブでは仮想ラボを使用するため、VMware vSphere / Microsoft Hyper-Vの環境が必要です。
※SureBackupジョブのAntivirus scanはSecure Restore機能を使用しています。そのため対象はWindowsのみです。
参考情報として、「Veeam Data Integration API」を使用してもバックアップのウィルススキャンが可能です。Veeam Data Integration APIでは、任意のタイプのバックアップディスクをWindowsベースのOS(iSCSIプロトコルを使用)とUnixベースの OS(FUSEプロトコルを使用)の両方にマウントします。そのマウントされたディスクをスキャン対象とすることができます。
Possible Ransomware Activity
「Possible Ransomware Activity」アラームは、「VMware vSphere」および「Microsoft Hyper-V」セクションにあります。このアラームのデフォルト設定は無効です。
データストアへの書き込み率の高さまたはネットワーク転送量の多さによって、平均CPU使用率が高い場合、このアラームは通知されます。
「Alarm Details (アラームの詳細)」を確認します。
仮想マシンのデータストアへの書き込み率とCPU使用率が高かったため、ランサムウェアの活動が原因ではないか(疑いがある)と、「Knowledge」と「Cause」で述べられています。
「Resolution」として、次の3点が提示されています。
- VM上のファイルがランサムウェアによって暗号化されていないかを確認後、最新のセキュリティソフトウェアを実行し、ランサムウェアの伝播を防ぐ。
- ファイルが修復できない場合、VMまたは暗号化されたファイルを以前のバックアップからリストアする。
- VMがランサムウェアの影響を受けていない場合、アラームのしきい値を上げる。
まとめ
事前定義されたランサムウェア対策用の2つのアラームをご紹介しました。
「データ保護環境」や「仮想環境」をリアルタイムに監視/可視化し、ランサムウェアによる御社内のデータ損失のリスク発生要因(脅威)を特定するツールとしてVeeam ONEを活用いただけましたら幸いです。
◆参考情報 ※Webブラウザの日本語翻訳機能をご利用ください。
・Working with Alarms
https://helpcenter.veeam.com/docs/one/monitor/alarms_guide.html?ver=120
・SureBackup
https://helpcenter.veeam.com/docs/backup/vsphere/surebackup_recovery_verification.html?ver=120
・Secure Restore ※SureBackupのウィルススキャンはSecure Restoreを実行しています。
https://helpcenter.veeam.com/docs/backup/vsphere/av_scan_about.html?ver=120
・Veeam Data Integration API
https://helpcenter.veeam.com/docs/backup/vsphere/data_integration_api.html?ver=120