アラートのスキャン範囲とアラート処理ルールの設定方法 - Security Center

アラート設定機能を使用すると、アセット上の Web ディレクトリを管理し、アラートのホワイトリストルールを設定できます。これにより、より詳細な脅威保護ルールを作成し、一元的に管理できます。これにより、アセット上のセキュリティ脅威を迅速に検出し、そのセキュリティステータスをリアルタイムで監視できます。このトピックでは、カスタム Web ディレクトリとアラート処理ルールの設定方法について説明します。

アラート生成ルールの設定

一部のアラートは、システムの機能設定に依存します。これらの機能のルールは、それぞれのページで管理できます。

ホスト保護：悪意のある動作の防御、承認済みログイン管理、ウイルス対策などの機能は、Precise Defense、Unusual Logon、Account Errors、Malicious Softwareなどのタイプのアラートを生成します。
コンテナ保護：コンテナーのプロアクティブ防御やコンテナーファイル保護などの機能は、Container Escape Prevention、コンテナのプロアクティブディフェンス、[コンテナークラスターの異常]などのタイプのアラートを生成します。
機能の設定: ホスト保護設定やコンテナ保護設定などの機能により、Precise Defense、Webshell、Container Escape Prevention、[コンテナクラスターの異常]、およびSuspicious Process Behaviorなどのタイプのアラートが生成されます。

カスタム Web ディレクトリの管理

Security Center は、サーバー上の Web ディレクトリを自動的に検出し、動的検出と静的スキャンを実行します。この機能は、サーバー上の標準的な Web ディレクトリを自動的に検出および監視するだけでなく、手動でカスタム Web ディレクトリを追加して、包括的なセキュリティスキャンおよび保護システムに含めることもできます。

ハッカーが既知の Web シェルを使用して異常な接続を試みると、Security Center はその接続をアクティブにブロックし、アラートを生成します。その後、アラートは [アラート] ページのアラートリストに表示されます。

メリット

セキュリティの死角の排除：Web アプリケーション、Web サイトのソースコード、またはプロジェクトファイルが、/data/wwwroot/my_project や /opt/app などの非標準のカスタムパスにデプロイされることがあります。これらのパスは、通常の自動スキャンでは見逃される可能性があり、セキュリティの死角を生み出します。カスタムディレクトリを手動で追加することで、デプロイ場所に関係なく、すべての Web アセットを Security Center の監視下に置くことができます。
検出精度の向上：実際の Web ディレクトリにスキャンを集中させることで、Web 以外のファイルの不要なスキャンを削減します。これにより、検出効率と精度が向上します。
ビジネスアーキテクチャへの柔軟な適応：この機能は、カスタムサーバーのデプロイと運用保守 (O&M) の慣行を完全にサポートします。これにより、セキュリティポリシーがビジネスアーキテクチャと密接に連携することが保証されます。

注意事項

ルートディレクトリを追加しない：サーバーのパフォーマンスとスキャン効率を確保するため、Linux の / や Windows の C:\ などのサーバーのルートディレクトリを Web ディレクトリとして追加しないでください。
説明
パフォーマンスと効率を確保するため、ルートディレクトリを Web ディレクトリとして追加することはできません。
特定の Web パスを追加する：Web アプリケーションが保存されている特定のパスのみを追加してください。無関係なディレクトリを追加すると、誤検知や不要なパフォーマンスオーバーヘッドが発生する可能性があります。

操作手順

Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
左側のナビゲーションウィンドウで、レスポンス検出 > [アラート] を選択します。
説明
Agentic SOC を有効化している場合、左側のナビゲーションウィンドウのパスは 脅威の分析と応答 > セキュリティアラート に変わります。
[アラート] ページで、右上隅にある Cloud Workload Alert Management > セキュリティアラートの設定 をクリックします。
セキュリティアラートの設定 パネルで、Web ディレクトリ定義 セクションの [管理] をクリックします。
Web ディレクトリ定義 パネルで、パスとサーバー情報を設定します。
- 監視したい Web ディレクトリの絶対パス (例：/home/www/my_app) を入力します。
- パスを有効にするサーバーを選択します。
[OK] をクリックしてディレクトリを追加します。

アラート処理ルールの管理

アラート処理ルールの管理機能は、一元的な管理インターフェイスを提供します。セキュリティアラートを処理し、Add to Whitelist または Defense Without Notification を選択すると、システムは自動的に処理ルールを生成します。この機能を使用して、これらのルールを一元的に表示、編集、削除し、セキュリティポリシーが効果的かつ正確であり続けることを保証できます。

Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
左側のナビゲーションウィンドウで、レスポンス検出 > [アラート] を選択します。
説明
Agentic SOC を有効化している場合、左側のナビゲーションウィンドウのパスは 脅威の分析と応答 > セキュリティアラート に変わります。
[アラート] ページで、右上隅にある Cloud Workload Alert Management > セキュリティアラートの設定 をクリックします。
セキュリティアラートの設定 パネルで、アラート処理ルール タブをクリックします。
アラート処理ルール セクションで、対象のルールを編集または削除できます。
- アラート処理ルールの編集
  1. 編集したいルールを見つけ、[操作] 列の編集をクリックします。
  2. ルールの編集 パネルで、アラート処理ルールが適用されるサーバーを変更します。
  3. [OK] をクリックして変更を保存します。
- アラート処理ルールの削除
  重要
  ルールを削除すると、デフォルトの検出およびアラート動作が再開されます。たとえば、ホワイトリストルールを削除すると、以前は無視されていた同様のアラートが再度生成されるようになります。ルールを削除する前に、その影響を必ず理解してください。
  1. 削除したいルールを見つけ、[操作] 列の [削除] をクリックします。
  2. [OK] をクリックしてルールを削除します。