攻撃パス分析機能を使用して、ECS (Elastic Compute Service) インスタンスに割り当てられたRAM (Resource access Management) ロールを使用してOSS (Object Storage Service) バケットを制御するアクセスパスなど、Alibaba Cloudサービス間のアクセスパスを包括的にスキャンおよび分析できます。 この機能は、スキャン結果を視覚化して、クラウド内のリソースアクセスのセキュリティステータスを理解するのに役立ちます。 このトピックでは、攻撃パス分析機能の使用方法について説明します。
機能の説明
攻撃パス分析機能を使用して、異なるクラウドサービス間の関係と潜在的なリスクを理解できます。 これにより、不要な直接アクセス許可と悪用される可能性のある弱いリンクを特定できます。 たとえば、過度に緩い許可設定と暗号化されていないデータ送信は弱いリンクです。 一方、Security Centerは、リソースのアクセス許可設定を調整するのに役立つセキュリティ提案を自動的に生成します。 これにより、潜在的な脅威が軽減され、システム全体のセキュリティが向上します。 この機能は、攻撃者によって悪用される可能性のあるセキュリティの脆弱性を事前に特定して修正し、重要なデータとアプリケーションを攻撃から保護するのにも役立ちます。
サポート対象資産
攻撃パス分析機能を使用すると、Alibaba Cloudアカウント内の次の要件を満たすアセットをスキャンできます。
攻撃パスのエントリポイント (侵入アセット) は、ECSインスタンス、RAMロール、またはAccessKey IDである必要があります。
攻撃パスのターゲット (ターゲットアセット) は、ECSインスタンス、Alibaba Cloudアカウント、RAMユーザー、RAMポリシー、RAMユーザーグループ、RAMロール、またはOSSバケットである必要があります。
エントリポイントが次の脆弱なシナリオの少なくとも1つに関与している場合にのみ、エントリポイントが攻撃パスのアラートとして報告されます。
ECSインスタンスで緊急の脆弱性が検出されました。
ECSインスタンスがインターネットに公開され、ECSインスタンスで少なくとも1つのリスクが検出されます。
ECSインスタンスで緊急アラートが生成され、ECSインスタンスの
ページにアラートが表示されます。RAMロールのAccessKeyペアで緊急アラートが生成されます。 アラートは、Cloud Workload Protect Platform (CWPP) タイプである必要があります。
RAMロールは、アカウント間で引き受けることができます。
攻撃パスタイプ
Security Centerは、攻撃パスの種類と攻撃パスのシナリオに基づいて要件を満たすアセットをスキャンし、攻撃パスがあるアセットのアラートをレポートします。 攻撃パスタイプは、異常なAccessKeyペア、機密資産、役割による特権のエスカレーション、およびユーザーによる特権のエスカレーションです。
異常なAccessKeyペア
異常なAccessKeyペアが属するRAMユーザーは、RAMを管理できます。
異常なAccessKeyペアが属するRAMユーザーには管理者権限があります。
機密資産
攻撃パス分析機能を使用すると、機密アセットを設定し、攻撃パススキャンタスクのターゲットアセットとして指定できます。 アセットをスキャンして、攻撃パスのシナリオを特定できます。
ECSインスタンスに割り当てられているロールは、機密アセットにアクセスできます。
異常なAccessKeyペアが属するRAMユーザーは、機密アセットにアクセスできます。
ロールは機密資産にアクセスし、他のAlibaba Cloudアカウントが引き受けることができます。
攻撃パスのスキャンで機密アセットを設定しない場合、スキャンの完了後に攻撃パスは検出されません。 機密アセットの設定方法の詳細については、このトピックの「機密アセットの設定」をご参照ください。
役割による特権のエスカレーション
ECSインスタンスは、ECSインスタンスに割り当てられているRAMロールを使用して管理者権限を取得できます。
ECSインスタンスに割り当てられているRAMロールは、RAMを管理できます。
ECSインスタンスは、ECSインスタンスに割り当てられているロールにポリシーをアタッチすることで、特権をエスカレートできます。
ECSインスタンスは、ECSインスタンスに割り当てられているロールにアタッチされているポリシーを変更することで、特権をエスカレートできます。
ECSインスタンスは、ECSインスタンスに割り当てられているロールにアタッチされているポリシーのデフォルトバージョンを変更することで、特権をエスカレートできます。
ECSインスタンスは、ECSインスタンスに割り当てられているロールを変更することで特権をエスカレートできます。
ECSインスタンスは、AccessKeyペアを作成することで長期アクセス資格情報を取得できます。
ECSインスタンスは、RAMユーザーのコンソールログオンを有効にすることで、長期アクセス認証情報を取得できます。
ECSインスタンスは、RAMユーザーのログイン設定を変更することで、コンソールログオンを有効にできます。
ECSインスタンスは、RAMユーザーにポリシーをアタッチすることで特権をエスカレートできます。
ECSインスタンスは、RAMユーザーにアタッチされているポリシーを変更することで特権をエスカレートできます。
ECSインスタンスは、RAMユーザーが属するユーザーグループを変更することで特権をエスカレートできます。
ECSインスタンスは、RAMユーザーが属するユーザーグループにポリシーをアタッチすることで、特権をエスカレートできます。
ECSインスタンスは、RAMユーザーが属するユーザーグループにアタッチされたポリシーを変更することで、権限をエスカレートできます。
ECSインスタンスは、高リスクの信頼ポリシーを変更することで特権をエスカレートできます。
ECSインスタンスは、RAMユーザーが引き受けることができるロールにアタッチされたポリシーを変更することで、特権をエスカレートできます。
ECSインスタンスは、RAMユーザーが引き受けることができるロールを引き受けることで、特権をエスカレートできます。
ECSインスタンスは、ECSインスタンスに割り当てられたロールが引き受けることができるロールを引き受けることで、特権をエスカレートできます。
ECSインスタンスは、別のECSインスタンスに割り当てられているロールの高リスク権限を取得することで、特権をエスカレートできます。
ロールには管理者権限があり、他のAlibaba Cloudアカウントが引き受けることができます。
ロールはRAMを管理し、他のAlibaba Cloudアカウントが引き受けることができます。
ロールにはリスクの高い権限が付与され、他のAlibaba Cloudアカウントが引き受けることができます。
ロールは、自身にポリシーをアタッチすることで特権をエスカレートでき、他のAlibaba Cloudアカウントが引き受けることができます。
ロールは、自身に付与されたポリシーを変更することによって特権をエスカレートし、他のAlibaba Cloudアカウントによって引き受けられます。
ユーザーによる特権のエスカレーション
RAMユーザーは、自身にポリシーをアタッチすることで特権をエスカレートできます。
RAMユーザーは、自身にアタッチされたポリシーを変更することで特権をエスカレートできます。
RAMユーザーは、RAMユーザーが属するユーザーグループにポリシーをアタッチすることで、権限をエスカレートできます。
RAMユーザーは、RAMユーザーが属するユーザーグループにアタッチされたポリシーを変更することで、権限をエスカレートできます。
RAMユーザーは、ロールの信頼ポリシーを変更し、ロールを引き受けることで、特権をエスカレートできます。
RAMユーザーは、ECSインスタンスでコマンドを実行してロールの権限を取得することで、権限をエスカレートできます。
RAMユーザーは、ECSインスタンスからファイルを送信してロールの権限を取得することで、権限をエスカレートできます。
RAMユーザーは、ECSインスタンスのwebシェルコンソールでセッションを開始して、ロールの高リスク権限を取得することで、特権をエスカレートできます。
RAMユーザーは、ECSインスタンスのパスワードをリセットして、ロールの高リスク権限を取得することで、特権をエスカレートできます。
RAMユーザーは、SSHキーペアをLinxサーバーにバインドして、ロールの高リスクの権限を取得することで、権限をエスカレートできます。
RAMユーザーは、インスタンスを作成し、インスタンスのロールをRAMユーザーに割り当てて、ロールの高リスク権限を取得することで、権限をエスカレートできます。
RAMユーザーは、インスタンスのロールバインディング構成を変更して、ロールの高リスク権限を取得することで、権限をエスカレートできます。
攻撃パス分析機能の有効化
サブスクリプションまたは従量課金方法を使用して構成評価機能を購入した後、攻撃パス分析機能を使用できます。 攻撃パス分析機能は、構成評価機能のクォータを消費しません。 構成評価機能の購入方法の詳細については、「サービスの承認と有効化」をご参照ください。
統計
攻撃パス分析機能の統計は、毎日自動的に更新されます。 統計情報は、設定アセスメントページの [攻撃パス] タブに表示されます。 統計は、脆弱な資産に対する攻撃経路の詳細および資産情報を提供する。 次の表に、統計項目を示します。
統計アイテム | 説明 |
優先度の高い攻撃パス | 優先度の高い攻撃パスの総数。 |
リスクのある資産 | 攻撃パスに関与する脆弱なアセットの総数。 |
攻撃パス情報 | 攻撃パスによってトリガーされたアラートのリスト。 アラート情報には、攻撃パス名、パスタイプ、侵入アセット、およびターゲットアセットが含まれます。 |
攻撃パスのスキャン設定の管理
機密アセットの設定
攻撃パススキャンタスクを実行して、機密アセットの攻撃パスをスキャンします。 したがって、機密アセットを設定する必要があります。 機密アセットを設定しない場合、スキャンタスクの完了後に攻撃パスは検出されません。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンとして 中国 を選択します。
左側のナビゲーションウィンドウで、 .
設定アセスメントページの [攻撃パス] タブで、右上隅の [ポリシー管理] をクリックするか、[攻撃パス] セクションの [スキャン設定] をクリックします。
[スキャンする機密アセット] タブの左側で、アセットタイプをクリックします。 タブの右側で、必要なアセットを選択します。
[OK] をクリックします。
ホワイトリストルールの設定
特定のエントリポイントとターゲット間の特定の攻撃パスをスキャンしたくない場合は、ホワイトリストルールに攻撃パスを追加できます。 セキュリティセンターは、ホワイトリストルールに追加されたアセットからの攻撃パスに関する情報を報告しません。
設定アセスメントページの [攻撃パス] タブで、右上隅の [ポリシー管理] をクリックするか、[攻撃パス] セクションの [スキャン設定] をクリックします。
[ホワイトリストルール] タブで、[攻撃パス] タブをクリックします。
[攻撃パス] タブで、[ホワイトリストルールの作成] をクリックします。 表示されるパネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ホワイトリスト名
ホワイトリストルールの名前を入力します。 名前には、英数字、アンダースコア (_) を使用できます。
攻撃パスタイプ
ホワイトリストルールに追加する攻撃パスのタイプを選択します。 有効な値: 異常なAccessKeyペア、機密資産、ロールによる特権のエスカレーション、およびユーザーによる特権のエスカレーション。
攻撃パス
[攻撃パスタイプ] パラメーターに指定したタイプの攻撃パスを選択します。
資産スコープ
ホワイトリストルールを適用するアセットを選択します。 有効な値: [すべての資産] および [特定の資産] 。
[特定の資産] を選択した場合、[エントリポイント] および [ターゲット] セクションでも資産を選択する必要があります。
攻撃パスの自動スキャン
Security Centerは、サポートされているアセットでサポートされている攻撃パスタイプを毎日1回自動的にスキャンします。
機密アセットを設定しない場合、スキャンの完了後に攻撃パスは検出されません。
特定の攻撃パスにホワイトリストルールを設定した場合、Security Centerはエントリポイントとターゲットの間の攻撃パスをスキャンしたり、攻撃パスのアラートを生成したりしません。
攻撃パスのスキャンタスクを手動で実行
設定アセスメントページの [攻撃パス] タブで、[攻撃パスのスキャン] セクションの [クイックスキャン] をクリックします。
スキャンタスク情報の表示
デフォルトでは、[タスク管理] パネルには、過去7日間に実行された自動および手動スキャンタスクのレコードが表示されます。
設定アセスメントページの右上隅で、[タスク管理] をクリックします。
[攻撃パス] パネルには、[タスクID] 、[タスクタイプ] 、[開始時刻 /終了時刻] 、[ステータス] 、[進行状況] の情報が表示されます。 ステータス値には、Started、Complete、Timed Out、Handling、およびFailedが含まれます。
タスクを見つけ、[操作] 列の [詳細] をクリックして、スキャンされたアセットの詳細 (脆弱なアセットの数、攻撃パスの数、タスクが正常に実行されたアセットの数、タスクが失敗したアセットの数、アセットのリストなど) を表示します。
タスクのステータス、アセットタイプ、およびアセットIDによって、特定のアセットのスキャンタスクの結果を照会および表示できます。
攻撃パスの詳細の表示
設定アセスメントページの [攻撃パス] タブで、攻撃パススキャンの設定に基づいて検出された攻撃パスを表示します。 次の表に、攻撃パスの詳細を示します。
アラートメトリック
説明
重大度
攻撃パスの優先度。 優先順位は、それぞれ赤、オレンジ、灰色の緊急、不審、通知です。
攻撃パス名
攻撃パスの名前。
パスタイプ
攻撃パスのタイプ。 有効な値: 異常なAccessKeyペア、機密資産、ロールによる特権のエスカレーション、およびユーザーによる特権のエスカレーション。
侵入資産と対象資産
攻撃パスが検出されるエントリポイントとターゲット。
最後に発生しました
攻撃パスが最後に検出された時刻。
攻撃パスを見つけ、[操作] 列の [詳細] をクリックして、基本情報、攻撃パス情報、ソリューション、攻撃ダイアグラムの情報を表示します。
基本情報: 攻撃パスの優先度、攻撃パスの種類、パスが最初に検出された時刻、およびパスが最後に検出された時刻を表示します。
侵入アセットとアセットタイプおよびターゲットアセットとアセットタイプ: 侵入アセットとターゲットアセットのインスタンスIDとタイプを表示します。 インスタンスIDをクリックすると、[アセット] モジュールの関連アセットの詳細ページに移動できます。
攻撃パス情報: 攻撃パスを検出するロジックを表示します。
解決策: 攻撃パスを修正する方法に関する提案と指示を提供します。
攻撃パスグラフ: 攻撃パスの影響を受けるアセット間の関係を表示します。
ノードを結ぶ赤い線は、リスクが存在することを示します。 赤い線をクリックすると、リスクを修正する方法に関する提案を表示できます。
ノードをクリックすると、ノードの基本情報とノードに関連する脆弱性を表示できます。
攻撃パスグラフの右上隅にあるアイコンをクリックすると、ノードアイコンとその説明が表示されます。
攻撃パスグラフの右上隅にあるアイコンをクリックすると、グラフの配置モードを設定できます。
攻撃パスグラフの右上隅にあるアイコンをクリックして、グラフをダウンロードできます。 攻撃パスグラフを関連するセキュリティ管理者と共有して、対象資産のトレーサビリティと分析効率を向上させることができます。
ホワイトリストへの攻撃パスの追加
検出された攻撃パスが後続のスキャンで無視できる場合は、攻撃パスのホワイトリストルールを設定できます。
設定アセスメントページの [攻撃パス] タブで攻撃パスを見つけ、[アクション] 列の [ホワイトリストに追加] をクリックします。
表示されるダイアログボックスで、[ホワイトリスト名] フィールドに名前を入力し、ホワイトリストルールのアセットスコープを選択します。 アセットスコープの有効値:
すべてのアセット: システムは攻撃パスを検出しなくなり、新しいアセットを含むすべてのアセットでアラートを生成しなくなりました。
現在の資産: システムは攻撃パスを検出しなくなり、現在の侵入資産と対象資産に関するアラートを生成しなくなりました。
[OK] をクリックします。
既存のホワイトリストルールに関する情報を表示するには、[ポリシー管理] パネルの [ホワイトリストルール] タブの [攻撃パスによる] タブに移動します。
関連ドキュメント
アセットで検出された脆弱性を処理する場合は、次のトピックを参照してください。
アセットで生成された緊急アラートを処理する場合は、「アラートの表示と処理」をご参照ください。