メインコンテンツへスキップ
この検出ルールは、Shield Proアドオンの一部としてのみ利用可能です。 ランサムウェアアクティビティの検出ルールは、ユーザーのデバイスがランサムウェアによって侵害されていることを示す、Box上の大規模な暗号化のインスタンスを特定しようとします。 ユーザーアクティビティの監視とBox機械学習の利用により、ランサムウェア攻撃の兆候となる可能性のある不審なファイル拡張子を特定します。 ランサムウェアアクティビティの検出ルールは、管理対象ユーザー外部ユーザー、匿名ユーザーのアクティビティを監視します。

ランサムウェアアクティビティの検出ルールの作成、編集、削除

この検出ルールを作成または変更するには、Box Shieldアドオンが有効になっているアカウントで管理者権限 (または [会社のShield構成を作成、編集、削除する] 権限が有効になっている共同管理者権限) が必要です。 脅威検出ルールの作成、編集、削除のガイダンスに特化したページを参照してください。
: 各Boxアカウントに対して作成できるランサムウェアアクティビティの検出ルールは1つのみです。

ランサムウェアアクティビティのアラート

ランサムウェアアクティビティが検出されると、Shieldダッシュボードにアラートが表示されます。 アラートには、アラートID、日付、アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス、リスクスコア、アラートの原因になったアクセスが行われたIPアドレスが含まれます。 アラートの詳細を確認するには、次の手順に従います。
  1. [管理コンソール] > [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。
  3. (省略可) アラートに [ランサムウェアアクティビティ] でフィルタをかけます。
  4. アラートの一覧表で、アラートをクリックします。
  5. アラートの詳細ページが表示されます。
アラートの詳細ページには、次の内容が表示されます。
  • アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、アラートの作成日、ターゲットユーザーを含む、アラートの概要。
  • アクティビティの概要: 名前変更されたファイルの総数、変更された一意のファイル拡張子、影響を受けたコンテンツ所有者を含む、検出された不審なファイル拡張子と関連付けられた異常なアクティビティに関する情報。
  • ターゲットユーザーの詳細: IPアドレス、IP登録者、利用可能な地域/国のデータを含む、アラートがトリガーされた際のターゲットユーザーの位置に関する情報。
  • ファイルへの影響: 影響を受けた上位5人のコンテンツ所有者や上位5つのファイル拡張子を示す、ユーザーのアクティビティから影響を受けたファイルの概要。 ファイルの復元もここから開始できます。
: 過去1週間のアラート数は、[検出ルール] ページから確認できます。 さらに長い期間については、Shieldダッシュボードを確認してください。
ダッシュボードでは、アラートの後にフィードバックボックスが表示されます。 これを使用すると、機能の改善に役立つ提案やコメントをBoxに提供できます。

エンドユーザーへの影響

  • ランサムウェアアクティビティがユーザーのアカウントから検出されても、エンドユーザーには通知されません。このアクティビティが通知されるのはShieldの管理者のみです。
  • 管理者がアラートへの対応としてユーザーのセッションを終了することにした場合、ユーザーにはメールでこの操作が通知されます。

アラートの処理と是正

この検出ルールには、ランサムウェア攻撃の兆候となる可能性のある不審なファイル拡張子が特定された場合に考えられる以下の処理が用意されています。

アクティブなセッションをすべて終了する

管理者は、ランサムウェア検出のアラートにフラグを付けた管理対象ユーザーのアクティブなユーザーセッションをすべて終了できます。
  1. [ランサムウェアアクティビティ] アラートページに移動します。
  2. アラートページから [セッションを終了] を選択します。
: [セッションを終了] ボタンは、アラートが作成されてから29日が経過すると無効になります。
管理対象ユーザーは、アクティブなセッションが終了した後、Boxに再度ログインできます。 セッションが終了すると、エンドユーザーには、何が起こったかを説明するメールが届きます。

コンテンツを復元する

ランサムウェアアクティビティの検出アラートが生成されたら、ランサムウェアによる影響を是正できます。 Shieldダッシュボードから [コンテンツリカバリ] を開始できます。 コンテンツを復元するには、次の手順に従います。
  1. [ランサムウェアアクティビティ] アラートページに移動します。
  2. アラートページから [コンテンツを復元] を選択します。
  3. インシデントが収束したと確信しているかどうかを確認するポップアップが表示されます。 チェックボックスをオンにすると、復元を進めることができます。
  4. 新しいコンテンツリカバリタスクが以下の情報とともに表示されます。
    • ターゲットユーザー。
    • 開始日時 (管理者が設定したタイムゾーン)。
      • モデルの検出時刻に24時間のバッファを加算して算出されます。
    • 終了日時 (現地時間)。
      • 管理者がShieldアラートで [コンテンツを復元] ボタンを選択した時刻によって算出されます。
  5. [ファイルを復元] を選択します。
  6. 詳細を確認し、[復元] を選択します。 コンテンツリカバリプロセスは、開始すると、変更または一時停止できません。
  7. 完了すると、コンテンツリカバリを確認するメールが届きます。
詳細については、コンテンツリカバリについてを参照してください。
:
  • 復元タスクが作成された後、[コンテンツを復元] ボタンは、関連付けれらた復元タスクにリンクするように更新されます。
    • 復元タスクが削除されると、ボタンは元の状態に戻るため、(アラートが作成されてから29日以内であれば) 別の復元タスクを作成できます。
  • [コンテンツを復元] ボタンは、アラートが作成されてから29日が経過すると無効になります。
  • [コンテンツリカバリ] で編集した復元タスクは、Shieldアラートとの関連付けが解除されます。