セキュリティセンターでは、アラート設定を構成できます。 サーバーのログイン設定を構成できます。 設定には、承認済みのログオン場所、承認済みのログオンIPアドレス、承認済みのログオン時間範囲、および承認済みのログオンアカウントが含まれます。 ブルートフォース攻撃に対する防御ルールの設定、スキャンするカスタムwebディレクトリの指定、アラート処理ルールの管理もできます。 これにより、きめ細かい保護ルールを作成し、ルールを一元管理することができます。 ルールは、アセットに対する脅威を検出し、アセットのセキュリティステータスをリアルタイムで監視するために使用されます。
このタスクについて
制限事項
次の表に、異なるエディションのSecurity Centerの設定パネルの項目を示します。- : アイテムがエディションでサポートされていないことを示します。
- : アイテムがエディションでサポートされていることを示します。
項目 | ベーシックエディション | アンチウイルス版 | 高度なエディション | エンタープライズ版 | 究極のエディション |
---|---|---|---|---|---|
承認済みログイン場所 | |||||
承認済みログオンIPアドレス | |||||
承認済みログオン時間範囲 | |||||
承認済みログインアカウント | |||||
ブルートフォース攻撃に対する防衛ルール | |||||
スキャン用Webディレクトリ | |||||
アラート処理ルール |
ログイン設定の構成
アラートページのSettings パネルで、承認済みログオン場所、承認済みログオンIPアドレス、承認済みログオン時間範囲、承認済みログオンアカウントを設定することができます。 ログオン設定を構成すると、Security Centerはサーバー上の不正なログオン要求に対してアラートを生成します。
ブルートフォース攻撃に対する防御ルールの設定
Security Centerを使用すると、サーバーをブルートフォース攻撃から保護するための防御ルールを設定できます。 ログオン失敗の数が指定された期間内に指定されたしきい値を超えた場合、サーバーへのログオン試行を一定期間ブロックするように防御ルールを設定できます。 防御ルールは、サーバーのパスワードが解読されるのを防ぎます。
スキャンするカスタムwebディレクトリを指定する
Security Centerは、サーバーのwebディレクトリを自動的にスキャンし、動的および静的スキャンタスクを実行します。 スキャンするwebディレクトリを指定することもできます。 既知のWebシェルを使用して疑わしい接続が確立された場合、Security Centerは接続を傍受してアラートを生成します。 アラートは、[アラート] ページのアラートリストに表示されます。
アラート処理ルールの管理
ホワイトリストにアラートを追加すると、アラート処理ルールが作成され、[設定] パネルのアラート処理ルールのリストに表示されます。 [設定] パネルでアラート処理ルールを変更または削除できます。
IPアドレスブロックポリシーの設定
- システムポリシー: 防御ルールを設定し、特定のIPアドレスをブロックするようにルールがトリガーされた場合、Security Centerは自動的にシステムポリシーを生成します。 セキュリティセンターコンソールの [アラート] ページで、右上隅の [設定] をクリックします。 表示されるパネルで、[ブルートフォース攻撃保護] タブをクリックします。 [Anti-brute Force Cracking] セクションで、[Management] をクリックします。 ブルートフォース攻撃保護パネルで、防御ルールを作成します。 システムポリシーはデフォルトで有効です。 防御ルールで指定された期間内にログオンの失敗の数がfailures exceedsパラメーターの値を超えた場合、Security Centerはシステムポリシーを生成します。 システムポリシーは特定のIPアドレスをブロックします。 Disable logonパラメーターの値は、システムポリシーの有効期間を決定します。 詳細については、「ブルートフォース攻撃に対する防御ルールの設定」をご参照ください。
- カスタムポリシーを作成します。カスタムポリシーを作成する場合は、次の操作を行います。Security CenterコンソールのAlertsページで、IP blocking/Allの下の数字をクリックします。 IP Policy Library パネルで、 Custom Rules タブをクリックし、[ルールの作成] をクリックします。 新しいIPブロッキングポリシーパネルで、カスタムポリシーを作成します。 カスタムポリシーを作成して、悪意のあるIPアドレスがクラウド内のアセットにアクセスするのを防ぎます。 カスタムポリシーを使用して、特定のIPアドレスからのアクセスをブロックし、IPアドレスが特定のサーバーにアクセスしないようにすることができます。 カスタムポリシーはデフォルトで無効になっています。 ビジネス要件に基づいて、カスタムポリシーを手動で有効にできます。
- Security Centerコンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
- [アラート] ページで、[IP blocking / All] 列の下にある番号をクリックして、[IP Policy Library] パネルに移動します。 IPポリシーライブラリパネルでは、システムルールまたはカスタムIPブロッキングポリシーを管理できます。
- カスタムIPブロッキングポリシーの作成
- [カスタムルール] タブをクリックします。 [IPポリシーライブラリ] パネルの [カスタムルール] タブで、カスタムIPブロックポリシーを作成します。
初めてカスタムポリシーを作成する場合は、必要なクラウドリソースへのアクセスをSecurity Centerに許可する必要があります。 セキュリティセンターを許可するには、[ルールの作成] にポインターを移動し、[今すぐ許可] をクリックします。 [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックします。 次に、IPポリシーライブラリパネルの [カスタムルール] タブに戻ります。
- [ポリシーの作成] をクリックします。 [新しいIPブロッキングポリシー] パネルでパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 インターセプトされたオブジェクト ブロックするIPアドレス。 All Assets ポリシーが適用されるサーバー。 複数のサーバーを選択できます。 検索ボックスにサーバー名またはサーバーIPアドレスを入力して、サーバーを検索することもできます。 説明 Alibaba Cloud ECS (Elastic Compute Service) インスタンスのみがサポートされています。ルールの方向 ブロックするトラフィックの方向。 有効な値: InboundおよびOutbound。 セキュリティグループ IPアドレスブロックポリシーに関連付けられているセキュリティグループ。 デフォルト値: Cloud Security Center Block Group ポリシーを有効にすると、セキュリティグループにブロックルールが自動的に作成されます。 ポリシーの有効期限が切れるか無効になった場合、セキュリティグループ内のルールは自動的に削除されます。 有効期限 ポリシーの有効期限。 ポリシーの有効期限が切れると、ポリシーのステータスは [無効] に変わります。 デフォルトでは、ポリシーは無効です。 ポリシーを有効にするには、ポリシーを手動で有効にする必要があります。
- [カスタムルール] タブをクリックします。 [IPポリシーライブラリ] パネルの [カスタムルール] タブで、カスタムIPブロックポリシーを作成します。
- カスタムIPブロックポリシーの変更
変更するIPブロックポリシーを見つけて、[操作] 列の [編集] をクリックします。 [IPブロッキングポリシーの編集] パネルで、ブロッキングポリシーが有効になるアセットとポリシーの有効期限を追加または削除します。 OK をクリックします。 Security Centerは、最新のポリシーに基づいてIPアドレスからのアクセス要求をブロックします。
ポリシーが無効状態の場合のみ、ポリシーを編集できます。 有効状態のポリシーを編集する場合は、まずポリシーを無効にする必要があります。
- ポリシーの有効化または無効化
特定のポリシーを有効にして、ビジネス要件に基づいて悪意のあるIPアドレスからのアクセス要求をブロックできます。 通常のトラフィックがブロックされている場合は、関連ポリシーを無効にできます。 ポリシーを無効にすると、Security Centerはポリシーで指定されたIPアドレスからのアクセス要求をブロックしなくなります。
IPポリシーライブラリパネルの [システムルール] または [カスタムルール] タブでポリシーを見つけ、ポリシーを無効または有効にします。- 有効にする: [ポリシーステータス] 列のスイッチをオンにします。 [IPポリシーの有効化] メッセージで、[OK] をクリックします。 その後、ポリシーが有効になり、ポリシーのステータスが [有効] に変わります。 Security Centerは、ポリシーで指定されたIPアドレスからのアクセス要求をブロックします。
説明 カスタムポリシーを有効にしてもポリシーの有効期限が切れた場合、ポリシーはポリシーを有効にした時点から2時間有効です。 ポリシーを有効にする前に、ポリシーの有効期間を変更することを推奨します。
- 無効: [ポリシーステータス] 列のスイッチをオフにします。 [IPポリシーの無効化] メッセージで、[OK] をクリックします。 ポリシーを無効にすると、ポリシーは無効になり、ポリシーのステータスは [無効] に変わります。 Security Centerは、ポリシーで指定されたIPアドレスからのアクセス要求をブロックしなくなりました。
- 有効にする: [ポリシーステータス] 列のスイッチをオンにします。 [IPポリシーの有効化] メッセージで、[OK] をクリックします。 その後、ポリシーが有効になり、ポリシーのステータスが [有効] に変わります。 Security Centerは、ポリシーで指定されたIPアドレスからのアクセス要求をブロックします。
- カスタムIPブロッキングポリシーの作成