ランサムウェアの可能性を検知するアラートを設定する方法
作成日:2022年11月8日 | 更新日:2023年11月10日
本ナレッジでは、ランサムウェアの可能性を検知するアラートを設定する手順を説明します。
ランサムウェアの概要
ランサムウエアとはマルウエアの一種であり、身代金要求型不正プログラムとも呼ばれています。ランサムウエアは、感染したデバイスをロックしたり、ファイルを暗号化したりすることによってユーザによるアクセスを制限し、「元に戻して欲しければ」とランサム(身代金)の支払いを要求します(JPCERT/CCのページ参照)。
ランサムウェアに感染すると、PCのディスク上のファイルおよびネットワーク共有されているファイルが短時間で大量に変更される(暗号化される)事例があります。
ADAudit Plusのファイル監査アラートを設定することで、大量のファイルが短期間で変更された際にアラートを検知できます。
前提
- 本アラートを設定するためには、監査対象共有フォルダーが保存されたファイルサーバーを、ADAudit Plusに監査対象として追加している必要があります(Windowsファイルサーバーの追加手順はこちらを参照)。
- 本アラートはランサムウェアの可能性を検知できます。しかし、ランサムウェアの発生を防いだり、ランサムウェアへの対応を自動で実施したりはしません。
ランサムウェア攻撃でファイルを暗号化されたときに備え、定期的なバックアップの取得を推奨します。
手順
ビルド7080より、デフォルトアラート「考えられるランサムウェアアクティビティが<ドメイン名>で検出されました」を追加しました。本デフォルトアラートと、以下の手順で設定するアラートの内容は同じです。
1. 「アラート」→「新規アラートプロファイル」をクリック
2. 「名前」「説明」「基準」を入力
3. 「カテゴリ」にて、+アイコンをクリック
4. 「ドメイン」にて、監査対象ファイルサーバーが属するドメインを選択
5. 「カテゴリ」にて、「ファイル監査」を選択
6. 「ファイル/フォルダーの変更」をクリック
7. 「高度な設定」にて、「しきい値ベースのアラート」にチェック
8. 以下のフィルターを設定
イベント数 <任意の数字>/発生 within <任意の数字(分単位)> 同様の <プロセス名, ユーザー名, プロセスID>
※「同様の <プロセス名, ユーザー名, プロセスID>」を設定することで、何かしらのツールを使用した大量のファイル変更を検知できます。
9. 「アラートアクション」を任意で設定
10. [保存]をクリック
※その他アラート設定手順の詳細はこちらのナレッジをご参照ください。
手順は以上です。