サーバーが侵害された場合、Cloud Firewallの侵害認識機能は、侵入イベントを早期に検出して特定し、大きな損失からビジネスを保護するのに役立ちます。 このトピックでは、サーバーにセキュリティの脅威が存在するかどうかを確認し、予防モードを設定する方法について説明します。
前提条件
インターネットファイアウォールが有効になっています。 詳細については、「インターネットファイアウォールの有効化」をご参照ください。
脅威検出エンジンのブロックモードが有効になります。 詳細については、「IPS設定」をご参照ください。
手順
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
違反認識ページで、侵入イベントの詳細を表示します。
[違反認識] ページでは、ビジネス要件に基づいて次の操作を実行できます。
侵入イベントリストの表示
侵入イベントリストでは、リスクレベル、影響を受ける資産のUIDとIPアドレス、イベントステータスなどの情報を表示します。
侵入イベントの検索
侵入イベント一覧の上にある検索ボックスにフィルター条件または検索条件を指定して、侵入イベントを検索します。 フィルタ条件は、リスクレベル、イベントタイプ、イベントステータス、および検出時間範囲を含む。 検索条件には、インスタンスIPアドレス、インスタンスID、インスタンス名、UIDが含まれます。 あいまい一致はサポートされていません。
脅威検出エンジンのブロックモードを有効にする
デフォルトでは、インターネットファイアウォールが有効になった後、脅威検出エンジンのブロックモードが有効になります。 ブロックモードを無効にすると、違反認識機能はリスクイベントのみを検出できますが、リスクイベントをブロックすることはできません。 イベントの [操作] 列で [クイックブロッキング] をクリックすると、脅威検出エンジンのブロックモードが有効になります。 脅威検出エンジンが [防御設定] ページに表示されます。
重要クイックブロッキング機能は、単一のイベントでは有効になりません。 [クイックブロッキング] をクリックすると、Cloud Firewallの侵入防止機能が有効になります。
侵入イベントを無視する
侵入イベントリストで、通常のイベントと見なされる侵入イベントを見つけ、[操作] 列の [無視] をクリックして、侵入イベントを無視します。
説明侵入イベントを無視すると、侵入イベントは侵入イベントリストから削除され、Cloud Firewallはこのイベントのアラートを生成しなくなります。
侵入イベントの詳細を表示する
侵入イベントリストで、詳細を表示する侵入イベントを見つけ、[操作] 列の [詳細の表示] をクリックします。 [詳細] パネルで、侵入イベントの詳細とセキュリティの提案を表示します。
次に何をすべきか
Cloud Firewallの予防設定機能を使用して、脅威検出エンジンの動作モードを設定できます。 脅威インテリジェンス、基本的な保護、インテリジェントな防御、仮想パッチ機能を設定して、侵入の試みを効果的に識別してブロックすることもできます。 詳細については、「IPS設定」をご参照ください。
侵入防止システム (IPS) を使用して、攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、およびDoS攻撃によって生成される悪意のあるトラフィックをリアルタイムで事前に検出およびブロックできます。 これにより、クラウド内のエンタープライズ情報システムとネットワークアーキテクチャが攻撃から保護されます。 詳細については、「侵入防止の概要」および「侵入防止」をご参照ください。
Cloud Firewallは、サイバー攻撃によって悪用される脆弱性を検出し、脆弱性から防御することができます。 詳細については、「脆弱性防止」をご参照ください。
データベースセキュリティ防御のベストプラクティス