セキュリティセンターは、攻撃認識機能をサポートしています。 この機能は、アセットに対する攻撃をリストして分析します。 このトピックでは、攻撃分析機能によって提供される統計について説明します。 統計には、攻撃の総数、攻撃タイプの分布、上位5つの攻撃ソース、上位5つの攻撃資産、および攻撃リストが含まれます。
制限事項
Security CenterのEnterpriseエディションとUltimateエディションのみがこの機能をサポートしています。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
背景情報
攻撃認識機能は、Alibaba Cloudの保護機能に基づいた基本的な攻撃の検出と防止を提供します。 Security Centerが基本的な攻撃を検出すると、Security Centerは攻撃をブロックして処理します。 攻撃統計は [攻撃認識] ページに表示されます。 あなたは攻撃を処理する必要はありません。 ソースアドレスに基づいて、重大なリスクを引き起こす可能性のある攻撃を分析またはトラブルシューティングできます。 ファイアウォールを最適化し、ビジネスセキュリティを強化するために、より洗練された正確な防御システムを開発することをお勧めします。
Security Centerコンソールにログインします。 管理するアセットのリージョンを選択します。 中国または全世界 (中国を除く)を選択できます。 次に、左側のナビゲーションウィンドウで を選択して、指定された期間内のアセットに対する攻撃の詳細を表示します。
機能を有効にしている場合は、 ページの右上隅にある をクリックします。
ページを表示している場合は、まず右上隅の をクリックし、 ページの右上隅の をクリックします。
ページのアセットに対する攻撃の詳細は次のとおりです。
攻撃: 特定の時間範囲内のアセットに対する攻撃の総数。
攻撃タイプの分布: 攻撃タイプと各タイプの攻撃数。
上位5つの攻撃ソース: 攻撃を開始するために最も頻繁に使用される上位5つのIPアドレス。
上位5つの攻撃された資産: 最も多くの攻撃に遭遇した上位5つの資産。
攻撃リスト: すべての攻撃に関する詳細。 詳細には、攻撃時間、送信元IPアドレス、攻撃されたアセット、攻撃タイプ、および攻撃ステータスが含まれます。
[攻撃認識] ページで、時間範囲を指定して攻撃の詳細を表示できます。 当日、過去7日間、または過去30日間の攻撃分析統計を表示できます。 時間範囲を [カスタム] に設定して、過去30日間の時間範囲の統計を表示することもできます。
Alibaba Cloudサービスを購入した後、Alibaba Cloudサービスの攻撃統計がSecurity Centerに同期されるまで約3時間待つ必要があります。 同期が完了したら、攻撃の詳細を表示できます。
攻撃認識機能によって分析される攻撃統計は、Security Center、Alibaba Cloud、およびWeb Application Firewall (WAF) によって収集されます。 WAFが攻撃統計を収集する前に、WAFを有効化する必要があります。
攻撃
[攻撃] セクションで、指定された時間範囲内の攻撃の傾向がグラフに表示されます。 グラフのピーク値と谷値を表示できます。 グラフの上にポインターを移動すると、攻撃日、攻撃時間、および攻撃数を表示できます。
攻撃タイプの分布
[攻撃タイプの分布] セクションでは、攻撃タイプと各タイプの攻撃数を表示できます。
トップ5の攻撃ソース
[上位5つの攻撃ソース] セクションでは、攻撃を開始するために最も頻繁に使用される上位5つのIPアドレスと、各IPアドレスから開始される攻撃の数を表示できます。
攻撃された資産トップ5
[上位5つの攻撃された資産] セクションでは、最も多くの攻撃が発生した上位5つの資産のパブリックIPアドレスと、各資産に対する攻撃の数を確認できます。
攻撃リスト
攻撃リストでは、攻撃時間、送信元IPアドレス、攻撃されたアセット、攻撃タイプ、攻撃方法、攻撃ステータスなどの攻撃の詳細を表示できます。
リストには、最大10,000件の攻撃に関する詳細が表示されます。 [時間範囲] を指定すると、指定した時間範囲内の攻撃の詳細を表示できます。
攻撃リストのパラメーター
パラメーター | 説明 |
攻撃された | 攻撃が検出された時刻。 |
攻撃ソース | 攻撃が開始されたソースIPアドレスとリージョン。 |
攻撃された資産 | 攻撃されたアセットの名前、パブリックIPアドレス、およびプライベートIPアドレス。 |
攻撃方法 | 攻撃を開始するために使用されるHTTPリクエストメソッド。 メソッドにはPOSTとGETが含まれます。 |
ポート | 攻撃されたアセットが使用するポート。 このパラメーターは、攻撃の種類がSSHブルートフォース攻撃の場合にのみ表示されます。 |
攻撃タイプ | SSHブルートフォース攻撃や実行中のコードなど、攻撃の種類。 |
攻撃ステータス | 攻撃のステータス。 Security Centerは、Alibaba Cloudの保護機能を使用して、一般的な攻撃をブロックします。 ブロックされた攻撃のステータスはblockedです。 侵入イベントは [アラート] ページに表示されます。 |
攻撃リストでは、次の操作を実行できます。
攻撃の検索
攻撃を検索して攻撃の詳細を表示するには、攻撃リストの上に検索条件を指定します。 検索条件には、攻撃タイプ、攻撃されたアセット、送信元IPアドレス、ポート番号が含まれます。
攻撃されたアセットの詳細を表示する
攻撃されたアセットの詳細を表示するには、[攻撃されたアセット] 列の攻撃されたアセットの名前の上にポインターを移動します。
攻撃リストのエクスポートExport the attack list
攻撃リストをコンピュータにエクスポートして保存するには、攻撃リストの左上隅にあるアイコンをクリックします。 エクスポートされたファイルはExcel形式です。
防衛ルールを無効にする
[AntSword Communication with Webshells] 、[Chopper Communication with Webshells] 、または [XISE Communication with Webshells] タイプの攻撃を自動的にブロックする防御ルールを無効にするには、次の操作を実行します。[attack type] 列のアイコンの上にポインターを移動します。 では、ルールを無効にしてもよろしいですか。 ダイアログボックスで、悪意のある行動防御ページに移動します。 [悪意のある行動防御] ページで、防御ルールを無効にします。