アセットエクスポージャー分析の機能は、インターネット上のElastic Compute Service (ECS) インスタンスのエクスポージャーを自動的に分析し、ECSインスタンスとインターネット間の通信リンクを視覚化します。 この機能は、公開されたECSインスタンスで検出された脆弱性の詳細も集中的に表示します。 このようにして、インターネット上のアセットのエクスポージャーをすばやく特定し、機能によって提供される提案に基づいて脆弱性を修正できます。 このトピックでは、Security Centerのアセットエクスポージャー分析を使用する方法について説明します。
制限事項
この機能は、Security Center の Enterprise および Ultimate エディションでのみサポートされています。 これらのエディションを使用していない場合は、この機能を使用する前に、Security Center を Enterprise または Ultimate エディションにアップグレードする必要があります。 Security Center の購入およびアップグレード方法の詳細については、「セキュリティセンターの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。 各エディションでサポートされる機能の詳細については、「機能と特徴」をご参照ください。
制限事項
アセットエクスポージャー分析の機能は、ECSインスタンスのみをサポートします。 この機能は、Alibaba Cloudにデプロイされていないサーバーをサポートしていません。
統計値
アセットエクスポージャーの分析結果は、毎日自動的に更新されます。 [エクスポージャー分析] ページには、インターネットで公開されているアセットの統計とエクスポージャーの詳細が表示されます。 次の表に、露出の統計を示します。
項目 | 説明 |
---|---|
公開アセット /パブリックIP | インターネット上に公開されているECSインスタンスとIPアドレスの総数。 |
ゲートウェイ | インターネット上に公開されているゲートウェイ資産の総数。 ゲートウェイアセットには、NATゲートウェイとServer Load Balancer (SLB) インスタンスが含まれます。 ゲートウェイの下の番号をクリックすると、[ゲートウェイ] パネルに移動できます。 パネルでは、インターネット上に公開されているゲートウェイアセットを表示できます。 公開されたゲートウェイアセットの名前をクリックして、アセットの詳細ページに移動することもできます。 |
露出ポート | インターネット上で公開されているポートの総数。 公開ポートの下の番号をクリックして、公開ポートパネルに移動します。 パネルでは、インターネット上で公開されているポートを表示できます。 公開されているポートの番号をクリックして、そのポートを使用しているアセットを表示することもできます。 |
露出コンポーネント | ECSインスタンスで実行され、インターネットに公開されているシステムコンポーネントの総数。 コンポーネントには、OpenSSLとOpenSSHが含まれます。 公開コンポーネントの下の数字をクリックすると、公開コンポーネントパネルに移動できます。 パネルでは、インターネット上で公開されているコンポーネントを表示できます。 公開されたコンポーネントの名前をクリックして、そのコンポーネントを使用するアセットを表示することもできます。 |
Exploitable Vul | 攻撃者によって悪用される可能性のある脆弱性の総数と、高リスク、中リスク、および低リスクの脆弱性の数。 高リスク、中リスク、または低リスクの脆弱性の数をクリックすると、脆弱性ページに移動できます。 さまざまな重症度の脆弱性はさまざまな色でマークされます。
|
弱いパスワード | インターネットに公開されているECSインスタンスで検出された弱いパスワードの総数。 弱いパスワードの下の番号をクリックすると、弱いパスワードが検出された公開ECSインスタンスが表示されます。 |
前提条件
アセットエクスポージャー分析は、アセットのフィンガープリントで収集されるミドルウェア情報に依存します。 ミドルウェア情報を収集するには、ミドルウェア情報を収集する間隔を、1時間に1回収集、3時間に1回収集、12時間に1回収集、または1日に1回収集に設定する必要があります。 間隔を [無効] または [7日に1回収集] などの長い収集サイクルを示す値に設定した場合、アセットエクスポージャー分析は分析結果を毎日更新しません。 詳細については、「サーバーの指紋を収集する」をご参照ください。
アセットエクスポージャーの詳細を表示
- Security Centerコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。
- [エクスポージャー分析] ページで、アセットエクスポージャーの詳細を表示します。
- アセットエクスポージャーの全体的なデータの表示
[エクスポージャー分析] ページの上部で、アセットエクスポージャーの全体的なデータを表示します。 データには、Weak PasswordsとExploitable Vulが含まれます。 各項目の下部にある番号をクリックすると、詳細を表示できます。
- 指定された資産エクスポージャーのデータの表示
[エクスポージャー分析] ページで検索条件を指定して、さまざまなディメンションでアセットのエクスポージャーを検索します。 たとえば、脆弱性が存在するかどうかを指定し、アセットグループを選択し、ポートを入力できます。
- アセットのエクスポージャーの詳細の表示公開の詳細を表示するアセットを見つけて、[操作] 列の [公開の詳細] をクリックします。 表示されるパネルで、アセットの通信リンクトポロジ、リンクの詳細、および検出された弱いパスワードと脆弱性に関する情報を表示します。
- [弱いパスワード] タブをクリックして、検出された弱いパスワードの詳細を表示します。 弱いパスワード項目の名前をクリックすると、アセットの詳細ページに移動できます。 [ベースラインリスク] タブでは、アセットで検出されたすべてのベースラインリスクを表示できます。 攻撃者は、ECSインスタンスの弱いパスワードを悪用してECSインスタンスにログインし、ECSインスタンス上のデータを盗んだり、ECSインスタンスを侵害したりする可能性があります。 弱いパスワードの脆弱性をできるだけ早く修正することを推奨します。
- [Exploitable Vul] または [すべてのVul] タブで、脆弱性のURLをクリックして、脆弱性の詳細ページに移動します。 詳細ページでは、脆弱性に関する情報を表示し、提供されている修正の提案に基づいて脆弱性を手動で修正できます。 リスクの高い脆弱性をできるだけ早く修正することを推奨します。
- ECSインスタンスが複数の方法でインターネットにアクセスする場合、通信リンクトポロジにはインターネットにアクセスするための複数のパスが表示されます。 たとえば、ECSインスタンスがNATゲートウェイとSLBインスタンスを使用してインターネットにアクセスする場合、通信リンクトポロジにはインターネットにアクセスするための2つのパスが表示されます。
各アクセスパスのアセットをクリックすると、パスに切り替えてパスの詳細を表示できます。
説明 通信リンクトポロジの異なる色は、各アセットで検出される脆弱性の異なる重大度を示す。
- 赤: アセットでリスクの高い脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
- オレンジ: アセットで中リスクの脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
- グレー: アセットに低リスクの脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
- 緑: 攻撃者がインターネット上で悪用する可能性のある弱いパスワードや脆弱性は、アセット上で検出されません。
色と脆弱性の重大度の間のマッピングは、アセットにのみ適用されます。 マッピングは、インターネットなどの通信リンクトポロジ内の他のコンポーネントには適用されません。 デフォルトでは、インターネットを示すアイコンは灰色です。
- アセットエクスポージャーのデータのエクスポート
公開された資産リストの右上隅にあるアイコンをクリックして、資産公開の詳細をエクスポートし、コンピューターに保存します。 エクスポートされたファイルはExcel形式です。
- アセットエクスポージャーの全体的なデータの表示