ADAudit Plus ナレッジベース

ランサムウェアの可能性を検知するアラートを設定する方法


本ナレッジでは、ランサムウェアの可能性を検知するアラートを設定する手順を説明します。

ランサムウェアの概要

ランサムウエアとはマルウエアの一種であり、身代金要求型不正プログラムとも呼ばれています。ランサムウエアは、感染したデバイスをロックしたり、ファイルを暗号化したりすることによってユーザによるアクセスを制限し、「元に戻して欲しければ」とランサム(身代金)の支払いを要求します(JPCERT/CCのページ参照)。

ランサムウェアに感染すると、PCのディスク上のファイルおよびネットワーク共有されているファイルが短時間で大量に変更される(暗号化される)事例があります。

ADAudit Plusのファイル監査アラートを設定することで、大量のファイルが短期間で変更された際にアラートを検知できます。

 

前提

  • 本アラートを設定するためには、監査対象共有フォルダーが保存されたファイルサーバーを、ADAudit Plusに監査対象として追加している必要があります(Windowsファイルサーバーの追加手順はこちらを参照)。
  • 本アラートはランサムウェアの可能性を検知できます。しかし、ランサムウェアの発生を防いだり、ランサムウェアへの対応を自動で実施したりはしません。

ランサムウェア攻撃でファイルを暗号化されたときに備え、定期的なバックアップの取得を推奨します。

 

手順

ビルド7080より、デフォルトアラート「考えられるランサムウェアアクティビティが<ドメイン名>で検出されました」を追加しました。本デフォルトアラートと、以下の手順で設定するアラートの内容は同じです。

1. 「アラート」→「新規アラートプロファイル」をクリック
2. 「名前」「説明」「基準」を入力
3. 「カテゴリ」にて、+アイコンをクリック
4. 「ドメイン」にて、監査対象ファイルサーバーが属するドメインを選択
5. 「カテゴリ」にて、「ファイル監査」を選択
6. 「ファイル/フォルダーの変更」をクリック
7. 「高度な設定」にて、「しきい値ベースのアラート」にチェック
8. 以下のフィルターを設定

イベント数 <任意の数字>/発生     within <任意の数字(分単位)>     同様の <プロセス名, ユーザー名, プロセスID>

※「同様の <プロセス名, ユーザー名, プロセスID>」を設定することで、何かしらのツールを使用した大量のファイル変更を検知できます。

9. 「アラートアクション」を任意で設定
10. [保存]をクリック

※その他アラート設定手順の詳細はこちらのナレッジをご参照ください。

手順は以上です。