セキュリティセンターでは、アラート設定を構成できます。 サーバーのログイン設定を構成できます。 設定には、承認済みのログオン場所、承認済みのログオンIPアドレス、承認済みのログオン時間範囲、および承認済みのログオンアカウントが含まれます。 ブルートフォース攻撃に対する防御ルールの設定、スキャンするカスタムwebディレクトリの指定、アラート処理ルールの管理もできます。 これにより、きめ細かい保護ルールを作成し、ルールを一元管理することができます。 ルールは、アセットに対する脅威を検出し、アセットのセキュリティステータスをリアルタイムで監視するために使用されます。

このタスクについて

[アラート] ページの [設定] パネルでサーバーのアラート設定を構成すると、不正なログオン要求と構成されたルールによってトリガーされたアラートが [アラート] ページのアラートリストに表示されます。 設定には、承認済みのログオン場所、承認済みのログオンIPアドレス、承認済みのログオン時間範囲、承認済みのログオンアカウント、ブルートフォース攻撃に対する防御ルール、スキャン用のカスタムwebディレクトリ、アラート処理ルールが含まれます。 アセットのセキュリティを確保するために、できるだけ早い機会にアラートを処理することを推奨します。 詳細については、「アラートの表示と処理」をご参照ください。

制限事項

次の表に、異なるエディションのSecurity Centerの設定パネルの項目を示します。
説明 表では次の記号が使用されています。
  • ×: アイテムがエディションでサポートされていないことを示します。
  • √: アイテムがエディションでサポートされていることを示します。
項目 ベーシックエディション アンチウイルス版 高度なエディション エンタープライズ版 究極のエディション
承認済みログイン場所 √ √ √ √ √
承認済みログオンIPアドレス × × √ √ √
承認済みログオン時間範囲 × × √ √ √
承認済みログインアカウント × × √ √ √
ブルートフォース攻撃に対する防衛ルール × × √ √ √
スキャン用Webディレクトリ √ √ √ √ √
アラート処理ルール √ √ √ √ √

ログイン設定の構成

アラートページのSettings パネルで、承認済みログオン場所、承認済みログオンIPアドレス、承認済みログオン時間範囲、承認済みログオンアカウントを設定することができます。 ログオン設定を構成すると、Security Centerはサーバー上の不正なログオン要求に対してアラートを生成します。

  1. Security Centerコンソールにログインします。 左側のナビゲーションウィンドウで、[検出と応答] > [アラート] を選択します。
  2. [アラート] ページで、右上隅の [設定] をクリックします。
  3. [設定] パネルで、承認済みのログオン場所、承認済みのログオンIPアドレス、承認済みのログオン時間範囲、および承認済みのログオンアカウントを設定します。
    ログオン設定の各項目の設定方法は、同様です。この例では、承認済みのログオン場所を設定する方法を示します。
    1. [通常のログイン場所] タブで、[通常のログイン場所] セクションの右側にある [管理] をクリックします。
    2. [通常のログオン場所] パネルで、ビジネス要件に基づいてログオン場所を選択し、ログオン場所からログオンを許可するサーバーを選択して、[OK] をクリックします。
    Security Centerを使用すると、選択したログオン場所からのログオンを許可するサーバーを変更し、選択したログオン場所を削除できます。
    • ログオン場所からログオンを許可するサーバーを変更するには、場所を見つけて右側の [編集] をクリックします。
    • ログイン場所を削除するには、その場所を見つけて、右側の [削除] をクリックします。

ブルートフォース攻撃に対する防御ルールの設定

Security Centerを使用すると、サーバーをブルートフォース攻撃から保護するための防御ルールを設定できます。 ログオン失敗の数が指定された期間内に指定されたしきい値を超えた場合、サーバーへのログオン試行を一定期間ブロックするように防御ルールを設定できます。 防御ルールは、サーバーのパスワードが解読されるのを防ぎます。

  1. Security Centerコンソールにログインします。左側のナビゲーションウィンドウで、[検出と応答] > [アラート] を選択します。
  2. [アラート] ページで、右上隅の [設定] をクリックします。 表示されるパネルで、[ブルートフォース攻撃保護] タブをクリックします。
  3. ブルートフォース攻撃に対する防御ルールを初めて設定する場合は、必要な権限を取得する必要があります。
    1. Anti-brute Force Crackingセクションの右側で、薄暗い管理ボタンの上にポインターを移動します。 表示されるメッセージで、[今すぐ許可] をクリックします。
    2. [権限付与ポリシーの確認] をクリックします。
  4. [Anti-brute Force Cracking] セクションの右側にある [Management] をクリックします。
    Security CenterのBasicまたはAnti-virusエディションを使用する場合、防御ルールを設定する前に、Security CenterをAdvancedエディション以上にアップグレードする必要があります。
  5. ブルートフォース攻撃保護パネルで、パラメーターを設定します。
    Security Centerは、防御ルールセクションでデフォルト設定を提供します。 IPアドレスから同じサーバーへのログオン失敗の数が10分以内に80に達すると、IPアドレスは6時間ブロックされます。 デフォルトの設定を保持している場合は、直接サーバーを選択できます。 カスタム防御ルールを作成できます。 下表にパラメーターを示します。
    パラメーター 説明
    防衛ルール名 防御ルールの名前を入力します。
    防衛ルール ルールの内容を指定します。 コンテンツには、測定期間、ログオン失敗回数、および無効化期間が含まれます。 防御ルールが適用されているサーバーへのIPアドレスからのログオン失敗の数が指定された測定期間中に指定された数を超えた場合、防御ルールは無効期間の間IPアドレスをブロックします。 たとえば、IPアドレスから1分以内にログオン失敗の数が3を超えた場合、IPアドレスは30分間ブロックされます。
    デフォルトポリシーとして設定 防御ルールをデフォルトの防御ルールとして指定するかどうかを決定します。 [デフォルトポリシーとして設定] を選択した場合、防御ルールで保護されていないサーバーはデフォルトの防御ルールを使用します。
    説明 [デフォルトポリシーとして設定] を選択した場合、[サーバーの選択] セクションでサーバーを選択したかどうかに関係なく、防御ルールによって保護されていないすべてのサーバーに対して防御ルールが有効になります。
    Select Server(s) 防御ルールを適用するサーバーを選択します。 サーバーリストからサーバーを選択するか、サーバー名またはサーバーIPアドレスを使用してサーバーを検索できます。
  6. OKをクリックすれば。
    重要 サーバーに適用できる防御ルールは1つだけです。
    • 作成した防御ルールに対して選択されたサーバーが別の防御ルールによって保護されていない場合、作成された防御ルールはサーバーで有効になります。
    • 作成したルールとは異なる防御ルールによってサーバーが保護されているが、前者のルールを後者のルールに置き換える場合は、[変更の確認] メッセージの情報を読んで確認し、[OK] をクリックします。
    • サーバーの防御ルールを新しいルールに置き換えると、元のルールで保護されているサーバーの数が減少します。

    [設定] パネルの [ブルートフォース攻撃保護] タブで防御ルールを設定した後、ルールに基づいてIPブロッキングをトリガーできます。 この場合、Security CenterはIPブロッキングポリシーを生成します。 IPブロッキングポリシーの詳細については、「IPアドレスブロックポリシーの設定」をご参照ください。

スキャンするカスタムwebディレクトリを指定する

Security Centerは、サーバーのwebディレクトリを自動的にスキャンし、動的および静的スキャンタスクを実行します。 スキャンするwebディレクトリを指定することもできます。 既知のWebシェルを使用して疑わしい接続が確立された場合、Security Centerは接続を傍受してアラートを生成します。 アラートは、[アラート] ページのアラートリストに表示されます。

  1. Security Centerコンソールにログインします。左側のナビゲーションウィンドウで、[検出と応答] > [アラート] を選択します。
  2. [アラート] ページで、右上隅の [設定] をクリックします。 表示されるパネルで、[Webディレクトリ定義] タブをクリックします。
  3. [スキャンターゲットの追加] セクションの右側にある [管理] をクリックします。
  4. 一般的に使用するwebディレクトリを指定し、指定したwebディレクトリをスキャンするサーバーを選択します。
    説明 スキャンのパフォーマンスと効率を確保するために、ルートディレクトリを指定しないことをお勧めします。
  5. OKをクリックすれば。

アラート処理ルールの管理

ホワイトリストにアラートを追加すると、アラート処理ルールが作成され、[設定] パネルのアラート処理ルールのリストに表示されます。 [設定] パネルでアラート処理ルールを変更または削除できます。

  1. Security Centerコンソールにログインします。左側のナビゲーションウィンドウで、[検出と応答] > [アラート] を選択します。
  2. [アラート] ページで、右上隅の [設定] をクリックします。
  3. [設定] パネルで、[アラート処理ルール] タブをクリックします。
  4. [アラート処理ルール] セクションで、アラート処理ルールを変更または削除します。
    • アラート処理ルールの変更
      1. 変更するルールを見つけて、[操作] 列の [編集] をクリックします。
      2. [ルールの編集] パネルで、アラートルールが有効になるサーバーを追加または削除します。
      3. OKをクリックすれば。 ルールが変更されました。
    • アラート処理ルールの削除
      1. 削除するルールを見つけて、[操作] 列の [削除] をクリックします。
      2. 表示されるメッセージボックスで、[OK] をクリックします。 ルールが削除されました。

IPアドレスブロックポリシーの設定

ブルートフォース攻撃から防御するようにIPアドレスブロックポリシーを設定できます。 Security Centerには、システムポリシーとカスタムポリシーの2種類のポリシーがあります。
  • システムポリシー: 防御ルールを設定し、特定のIPアドレスをブロックするようにルールがトリガーされた場合、Security Centerは自動的にシステムポリシーを生成します。 セキュリティセンターコンソールの [アラート] ページで、右上隅の [設定] をクリックします。 表示されるパネルで、[ブルートフォース攻撃保護] タブをクリックします。 [Anti-brute Force Cracking] セクションで、[Management] をクリックします。 ブルートフォース攻撃保護パネルで、防御ルールを作成します。 システムポリシーはデフォルトで有効です。 防御ルールで指定された期間内にログオンの失敗の数がfailures exceedsパラメーターの値を超えた場合、Security Centerはシステムポリシーを生成します。 システムポリシーは特定のIPアドレスをブロックします。 Disable logonパラメーターの値は、システムポリシーの有効期間を決定します。 詳細については、「ブルートフォース攻撃に対する防御ルールの設定」をご参照ください。
  • カスタムポリシーを作成します。カスタムポリシーを作成する場合は、次の操作を行います。Security CenterコンソールのAlertsページで、IP blocking/Allの下の数字をクリックします。 IP Policy Library パネルで、 Custom Rules タブをクリックし、[ルールの作成] をクリックします。 新しいIPブロッキングポリシーパネルで、カスタムポリシーを作成します。 カスタムポリシーを作成して、悪意のあるIPアドレスがクラウド内のアセットにアクセスするのを防ぎます。 カスタムポリシーを使用して、特定のIPアドレスからのアクセスをブロックし、IPアドレスが特定のサーバーにアクセスしないようにすることができます。 カスタムポリシーはデフォルトで無効になっています。 ビジネス要件に基づいて、カスタムポリシーを手動で有効にできます。
  1. Security Centerコンソールにログインします。左側のナビゲーションウィンドウで、[検出と応答] > [アラート] を選択します。
  2. [アラート] ページで、[IP blocking / All] 列の下にある番号をクリックして、[IP Policy Library] パネルに移動します。 IPポリシーライブラリパネルでは、システムルールまたはカスタムIPブロッキングポリシーを管理できます。 IPブロッキング /すべて
    • カスタムIPブロッキングポリシーの作成
      1. [カスタムルール] タブをクリックします。 [IPポリシーライブラリ] パネルの [カスタムルール] タブで、カスタムIPブロックポリシーを作成します。

        初めてカスタムポリシーを作成する場合は、必要なクラウドリソースへのアクセスをSecurity Centerに許可する必要があります。 セキュリティセンターを許可するには、[ルールの作成] にポインターを移動し、[今すぐ許可] をクリックします。 [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックします。 次に、IPポリシーライブラリパネルの [カスタムルール] タブに戻ります。

      2. [ポリシーの作成] をクリックします。 [新しいIPブロッキングポリシー] パネルでパラメーターを設定し、[OK] をクリックします。
        パラメーター 説明
        インターセプトされたオブジェクト ブロックするIPアドレス。
        All Assets ポリシーが適用されるサーバー。 複数のサーバーを選択できます。 検索ボックスにサーバー名またはサーバーIPアドレスを入力して、サーバーを検索することもできます。
        説明 Alibaba Cloud ECS (Elastic Compute Service) インスタンスのみがサポートされています。
        ルールの方向 ブロックするトラフィックの方向。 有効な値: InboundおよびOutbound
        セキュリティグループ IPアドレスブロックポリシーに関連付けられているセキュリティグループ。 デフォルト値: Cloud Security Center Block Group ポリシーを有効にすると、セキュリティグループにブロックルールが自動的に作成されます。 ポリシーの有効期限が切れるか無効になった場合、セキュリティグループ内のルールは自動的に削除されます。
        有効期限 ポリシーの有効期限。 ポリシーの有効期限が切れると、ポリシーのステータスは [無効] に変わります。

        デフォルトでは、ポリシーは無効です。 ポリシーを有効にするには、ポリシーを手動で有効にする必要があります。

    • カスタムIPブロックポリシーの変更

      変更するIPブロックポリシーを見つけて、[操作] 列の [編集] をクリックします。 [IPブロッキングポリシーの編集] パネルで、ブロッキングポリシーが有効になるアセットとポリシーの有効期限を追加または削除します。 OK をクリックします。 Security Centerは、最新のポリシーに基づいてIPアドレスからのアクセス要求をブロックします。

      ポリシーが無効状態の場合のみ、ポリシーを編集できます。 有効状態のポリシーを編集する場合は、まずポリシーを無効にする必要があります。

    • ポリシーの有効化または無効化

      特定のポリシーを有効にして、ビジネス要件に基づいて悪意のあるIPアドレスからのアクセス要求をブロックできます。 通常のトラフィックがブロックされている場合は、関連ポリシーを無効にできます。 ポリシーを無効にすると、Security Centerはポリシーで指定されたIPアドレスからのアクセス要求をブロックしなくなります。

      IPポリシーライブラリパネルの [システムルール] または [カスタムルール] タブでポリシーを見つけ、ポリシーを無効または有効にします。
      • 有効にする: [ポリシーステータス] 列のスイッチをオンにします。 [IPポリシーの有効化] メッセージで、[OK] をクリックします。 その後、ポリシーが有効になり、ポリシーのステータスが [有効] に変わります。 Security Centerは、ポリシーで指定されたIPアドレスからのアクセス要求をブロックします。
        説明 カスタムポリシーを有効にしてもポリシーの有効期限が切れた場合、ポリシーはポリシーを有効にした時点から2時間有効です。 ポリシーを有効にする前に、ポリシーの有効期間を変更することを推奨します。
      • 無効: [ポリシーステータス] 列のスイッチをオフにします。 [IPポリシーの無効化] メッセージで、[OK] をクリックします。 ポリシーを無効にすると、ポリシーは無効になり、ポリシーのステータスは [無効] に変わります。 Security Centerは、ポリシーで指定されたIPアドレスからのアクセス要求をブロックしなくなりました。