ランサムウェアの侵入を検知し、アラート通知で迅速に対応する

Netwrix Auditorを使用したランサムウェアの攻撃対策

2016年以降、ランサムウェアが猛威をふるっています。国内での被害報告も急増しているとのことです。ランサムウェアはPCやデータを暗号化することにより、これらを「人質」として、もとに戻すことと引き換えに身代金を要求するという誘拐・脅迫マルウェアです。(身代金要求型不正プログラムとも呼ばれます。)

 Netwrix Auditorでは、アラート設定で『検知』をすることが可能です。『検知』することにより、状況を把握して、迅速にその後の対策を検討することは企業にとって非常に重要です。ここではNetwrix Auditorでランサムウェアを検知する方法の一例をご紹介いたします。

ランサムウェアの可能性がある動きを検知した場合、アラートメールを送信する

あるユーザーが1分間に100個のファイルを変更した場合、ランサムウェアが活動している可能性があります。ファイルサーバーの異常な動作に関するアラート(しきい値ベース)を活用し、侵入を阻止するための適切な対策を講じます。

潜在的に有害なファイルの場所を見つける

ランサムウェア・クライアントの実行可能ファイルなど、潜在的なマルウェアがどこにあるかを特定し、これらのファイルをすぐにブロックすれば、データの暗号化を阻止することができます。

侵害されたユーザーアカウントを検出する

どのアカウントを使用して有害な行動を起こしたのかを明らかにします。次に、対応する番号をクリックして各インシデントの詳細をドリルダウンし、どのように攻撃が進行し、どのデータが影響を受けたのかを明らかにします。

リネームされたファイルとフォルダを検出する

リネームされたコンテンツのリストを取得し、各ファイルまたはフォルダの変更前と変更後の名前を知ることで、被害を最小限に抑えるための対策を迅速に実行できます。

データ回復プロセスを最適化する

ランサムウェアが識別されて削除されたら、Netwrix Auditorのビルトインレポートを使用して、バックアップからリストアする必要があるファイルとフォルダのリストを取得します。