すべてのプロダクト
Search

このプロダクト

    Security Center:アプリケーションのホワイトリスト機能の使用

    ドキュメントセンター

    Security Center:アプリケーションのホワイトリスト機能の使用

    最終更新日:Dec 09, 2024

    Security Centerは、不正なプログラムがサーバー上で実行されないようにするアプリケーションのホワイトリスト機能を提供します。 アプリケーションのホワイトリスト機能により、サーバーの信頼できる実行環境が保証されます。 このトピックでは、アプリケーションのホワイトリスト機能の使用方法について説明します。

    使用上の注意

    アプリケーションのホワイトリスト機能はパブリックプレビュー中です。 この機能のトライアルを申請することはできません。 フィーチャーのトライアルを申請し、フィーチャーが使用中の場合は、引き続きフィーチャーを使用できます。

    背景情報

    アプリケーションのホワイトリスト機能を使用すると、特別な保護が必要なサーバーをホワイトリストに追加できます。 特定のプログラムをホワイトリストに追加すると、Security Centerは信頼できる、疑わしい、悪意のあるプログラムを識別します。 これにより、ホワイトリストに追加されていないプログラムがサーバー上で実行されなくなります。 この機能は、信頼できない悪意のあるプログラムからサーバーを保護し、リソースの使用を改善します。

    アプリケーションのホワイトリストポリシーを作成した後、疑わしいまたは悪意のあるプログラムを検出するために特別な保護が必要なサーバーに適用できます。 Security Centerがホワイトリストにないプログラムを検出した場合、Security Centerはこのプログラムのアラートを生成します。

    説明

    アプリケーションのホワイトリストにないプログラムが起動すると、アラートが生成されます。 このプログラムは、新しく起動された通常のプログラムであるか、侵害されたサーバーに挿入された悪意のあるプログラムである可能性があります。 プログラムが通常のプログラム、頻繁に使用されるプログラム、または自分がインストールしたサードパーティプログラムの場合は、アプリケーションのホワイトリストに追加することを推奨します。 アプリケーションのホワイトリストにプログラムを追加すると、次回のプログラムの起動時に、Security Centerはこのプログラムのアラートを生成しなくなります。 プログラムが悪意のあるものである場合は、このプログラムを直ちに削除し、cronタスクなどの設定ファイルが改ざんされていないか確認することを推奨します。

    手順1: アプリケーションのホワイトリストポリシーの作成

    1. Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンとして 中国 を選択します。

    2. 左側のナビゲーションウィンドウで、[保護設定] > [ホスト保護] > [アプリケーションホワイトリスト] を選択します。

    3. ポリシータブで、ポリシーの作成をクリックします。

    4. では、ホワイトリストポリシーの作成パネル、パラメータを設定し、次へをクリックします。

      • ポリシー名: アプリケーションのホワイトリストポリシーの名前。

      • インテリジェント学習期間: セキュリティセンターがインテリジェント学習を実行する期間。 有効な値: 1、3、7、および15。 単位:日 インテリジェント学習機能は、機械学習を使用して、大量のアラートデータを自動的に収集および分類します。 これにより、Security Centerは疑わしいまたは悪意のあるプログラムを特定できます。

      • インテリジェント学習用サーバー: アプリケーションホワイトリストポリシーを適用するサーバー。

    5. 適用せずに作成をクリックします。

      アプリケーションのホワイトリストポリシーが作成されると、ポリシーの詳細が [ポリシー] タブのポリシーリストに表示されます。

      パラメーター

      説明

      ポリシー名

      アプリケーションのホワイトリストポリシーの名前。

      サーバー

      アプリケーションホワイトリストポリシーが適用されるサーバーの数。

      ステータス

      ポリシーのステータス。

      • 適用: インテリジェントな学習が完了しました。 ポリシーはサーバーに適用されています。

      • 保留中の確認: インテリジェント学習が完了しました。 ポリシーを確認して有効にする必要があります。

        インテリジェントな学習が完了したら、[ポリシーステータス] 列のスイッチをオンにして、このポリシーを有効にする必要があります。 ポリシーは有効になった後にのみ有効になります。 セキュリティセンターは、サーバー上のプログラムを信頼できる、疑わしい、または悪意のあるものとして自動的に識別します。

      • 一時停止: インテリジェント学習は手動で一時停止します。 [操作] 列の [続行] をクリックすると、インテリジェントな学習を再開できます。

      • 学習: インテリジェント学習が進行中です。

        アプリケーションのホワイトリストポリシーを作成すると、Security Centerはポリシーに基づいてインテリジェントな学習を実行します。 新しいアプリケーションのホワイトリストポリシーのステータスは [学習] です。

      アプリケーション

      ポリシーが適用されるすべてのサーバー上の各タイプのプログラムの数。 プログラムタイプには、TrustedSuspiciousMaliciousがあります。

      アクション

      ポリシーに対して実行できる操作。 次の操作を実行できます。

      • 適用: [ホワイトリストポリシーの適用] パネルでポリシーが適用されているサーバーを追加または削除します。

      • 変更: [ホワイトリストポリシーの変更] パネルでポリシーを変更します。 ポリシー名インテリジェント学習期間の値を変更したり、インテリジェント学習が自動的に実行されるサーバーを追加または削除したりできます。

      • 一時停止: インテリジェントな学習を一時停止します。

      • 続行: インテリジェントな学習を再開します。

        [続行] をクリックすると、ポリシーのステータスが [学習] に変わります。 [ステータス] 列で、ポリシーの学習の進行状況を確認できます。

      • 削除: ポリシーを削除します。

        ポリシーが削除されると、ポリシーが適用されるサーバーはポリシーによって保護されなくなります。

    手順2: 作成したアプリケーションのホワイトリストポリシーをサーバーに適用する

    アプリケーションホワイトリストポリシーをサーバーに適用する前に、アプリケーションホワイトリスト機能に十分なクォータを購入する必要があります。

    1. Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンとして 中国 を選択します。

    2. 左側のナビゲーションウィンドウで、[保護設定] > [ホスト保護] > [アプリケーションホワイトリスト] を選択します。

    3. [アプリケーションのホワイトリスト] ページのサーバータブで、サーバーの追加をクリックします。

    4. では、サーバーの追加パネル、パラメータを設定します。

      [サーバーの追加] パネルのパラメーターを次に示します。

      • ホワイトリストポリシー: ドロップダウンリストから、作成したアプリケーションのホワイトリストポリシーを選択します。

      • イベント処理: デフォルト値はAlertです。これは、疑わしいプログラムが検出されたときにSecurity Centerがアラートを生成することを示します。

        アプリケーションのホワイトリストにないプログラムが起動すると、Security Centerは自動的にアラートを生成します。 [疑わしいイベント] 列の番号をクリックすると、サーバーの詳細ページの [アラート] タブに移動し、アラートの詳細を表示できます。

      • サーバー: アプリケーションホワイトリストポリシーを適用するサーバーを選択します。 複数のサーバーを選択できます。

        サーバーを検索するには、[サーバー] 検索ボックスにサーバー名を入力し、検索アイコンをクリックします。 ファジーマッチがサポートされています。

    5. [OK] をクリックします。 アプリケーションホワイトリストポリシーは、選択したサーバーに適用されます。

      アプリケーションホワイトリストの作成後、[サーバー] タブのサーバーリストで、保護されているサーバーとアプリケーションホワイトリストポリシーの名前を表示できます。

      [サーバー] タブには、保護されたサーバーに関する次の情報が表示されます。

      • サーバー名 /IP: アプリケーションホワイトリストポリシーが適用されるサーバーの名前とIPアドレス。

      • ホワイトリストポリシー: サーバーに適用されるアプリケーションのホワイトリストポリシーの名前。

      • 疑わしいイベント: アプリケーションホワイトリストに含まれておらず、開始されたプログラムの数。 不審なプログラムがサーバーで起動すると、Security Centerはアラートを生成します。

      • イベント処理: デフォルト値はAlertです。これは、疑わしいプログラムが検出されたときにSecurity Centerがアラートを生成することを示します。

        アプリケーションのホワイトリストにないプログラムが起動すると、Security Centerは自動的にアラートを生成します。 [疑わしいイベント] 列の番号をクリックすると、サーバーの詳細ページの [アラート] タブに移動し、アラートの詳細を表示できます。

      • アクション: [アクション] 列の [削除] をクリックすると、アプリケーションのホワイトリストポリシーはサーバーに適用されなくなります。

        [操作] 列の [削除] をクリックすると、アプリケーションのホワイトリストポリシーがサーバーに対して無効になります。 この場合、ホワイトリストに追加されたプログラムがこのサーバーで起動すると、Security Centerはアラートを生成します。

    アプリケーションのホワイトリストにプログラムを追加または削除する

    サーバーのアプリケーションホワイトリストポリシーを設定した後、[サーバー] タブのサーバーリストに詳細情報を表示できます。 情報には、保護されたサーバーの詳細と、サーバーに適用されるアプリケーションホワイトリストポリシーの名前が含まれます。 [ホワイトリストポリシー] 列のポリシー名をクリックすると、サーバーで実行されているプログラムを表示できます。 信頼できる、疑わしい、悪意のあるプログラムの数とその詳細情報を表示することもできます。

    サーバー上の各プログラムに関する次の情報が表示されます。

    • Type: プログラムのタイプ。 プログラムは、信頼できるプログラム、疑わしいプログラム、および悪意のあるプログラムに分類される。

    • プロセス名: プログラムの名前。

    • Hash: プログラムのハッシュ関数。 ハッシュ関数は、プログラムが一意であるかどうかを識別するために使用される。 これにより、悪意のあるプログラムからサーバーを保護できます。

    • Path: サーバー上のプログラムのファイルパス。

    • Degree of Trustability: プログラムの信頼性の程度。 このパラメーターは、Security Centerによって決定されます。 有効な値: 0% 、60% 、100% 値0% は悪意のあるプログラムを示し、60% は疑わしいプログラムを示し、100% は信頼できるプログラムを示す。

      説明

      信頼性の学位が0% されているプログラムをできるだけ早い機会に処理することをお勧めします。

    • アクション: プログラムで実行できる操作。 サーバーにデプロイされたサービスに基づいて、プログラムをホワイトリストに追加するかどうかを決定できます。 次の操作を実行できます。

      • ホワイトリストに追加: プログラムを信頼できる場合は、ホワイトリストに追加します。

      • ホワイトリストから削除: ホワイトリストからプログラムを削除すると、Security Centerはプログラムを信頼できないものとして識別します。 このプログラムが起動すると、Security Centerはアラートを生成します。