セキュリティセンターには、悪意のあるホスト行動からの保護、ランサムウェア対策、Webシェル防止などのさまざまな機能があります。 機能を有効にして、サーバーを保護できます。 このトピックでは、[ホスト保護の設定] タブで有効にできる機能について説明します。 このトピックでは、機能を有効にする方法についても説明します。
積極的な防衛
概要
予防的防御は、一般的なウイルス、悪意のあるネットワーク接続、およびwebshell接続を自動的に傍受します。 積極的な防御では、餌を使ってランサムウェアをキャプチャすることもできます。 次の表は、プロアクティブ防御の機能を説明しています。
機能 | サポートされているエディション | 説明 |
悪意のあるホスト行動からの保護 | Anti-virus、Advanced、Enterprise、Ultimate | 悪意のあるホスト行動からの保護機能は、ランサムウェア、DDoSトロイの木馬、マイニングプログラム、トロイの木馬、悪意のあるプログラム、Webシェル、コンピュータワームなどの一般的なネットワークウイルスを自動的に検出して削除するのに役立ちます。 Security Center Anti-virus以降を購入すると、すべてのサーバーの悪意のあるホスト行動からの保護機能が自動的に有効になります。 説明 コンピュータウイルスは、悪意のあるプログラムの一種です。 このウイルスは、悪意のあるコードを通常のプログラムファイルに書き込んで実行できます。 これにより、多数の正常なプログラムが感染し、ウイルスホストとして検出されます。 コンピュータウイルスはシステムプロセスを危険にさらします。 システムプロセスが予期せず終了すると、システム安定性のリスクが生じます。 セキュリティセンターは、コンピュータウイルスを自動的に隔離しません。 手動でウイルスを処理する必要があります。 |
ランサムウェア対策 (ブービートラップの検出) | Anti-virus、Advanced、Enterprise、Ultimate | この機能は、おとりを使用して新しいタイプのランサムウェアをキャプチャし、新しいタイプのランサムウェアのパターンを分析してサーバーを保護します。 Security Centerによってサーバー上に構成されたおとりファイルは、新しいタイプのランサムウェアをキャプチャするためにのみ使用されます。 ファイルはサービスを中断しません。 削除されたランサムウェアを表示するには、セキュリティアラートの処理 ページの [アラートタイプ] の下にある [精密防御] をクリックします。 |
Web サイトのバックドア攻撃からの保護 | EnterpriseとUltimate | この機能を有効にすると、Security Centerは、既知のWebシェルおよび検疫関連ファイルによって開始された疑わしい接続を自動的に傍受します。 セキュリティアラートの処理 ページで、関連するアラートと隔離されたファイルを表示できます。 詳細については、「アラートの表示と処理」および「隔離されたファイルの表示と復元」をご参照ください。 説明 Security Center EnterpriseまたはUltimateを購入すると、すべてのサーバーのwebshell防止機能が自動的に有効になります。 |
悪意のあるネットワーク行動からの保護 | EnterpriseとUltimate | この機能を有効にすると、Security Centerはサーバーと公開された悪意のあるアクセスソース間の異常なネットワーク動作を傍受します。 これにより、サーバーのセキュリティが強化されます。 |
能動的な防御体験の最適化 | EnterpriseとUltimate | この機能を有効にすると、サーバーが予期せずシャットダウンした場合、または防御機能が使用できなくなった場合、Security Centerは保護分析のためにサーバーのkdumpデータを収集します。 これにより、セキュリティセンターの保護機能が継続的に強化されます。 |
アクティブディフェンス セクションのすべての機能が無効になっている場合、Security Centerはウイルスが検出された場合にのみアラートを送信します。 Security Centerコンソールにログインし、手動でアラートを処理する必要があります。 サーバーのセキュリティを強化するには、アクティブディフェンス セクションのすべての機能を有効にすることを推奨します。 詳細については、「アラートの表示と処理」をご参照ください。
積極的な防御の機能を有効にする
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
タブで、アクティブディフェンス セクションの 悪意のあるホスト行動からの保護 、ランサムウェア対策 (ブービートラップの検出) 、Web サイトのバックドア攻撃からの保護 、悪意のあるネットワーク行動からの保護 をオンにします。
アクティブディフェンス セクションのすべてのスイッチをオンにすると、Security Centerでは、悪意のあるホストの動作防止、ランサムウェア対策、Webシェル対策、悪意のあるソースへのアクセスに対する防御など、サーバーの機能が有効になります。
各機能の右側にある 管理 をクリックして、検出範囲を設定します。 表示されるパネルで、機能を有効にするサーバーを選択し、[OK] をクリックします。
[プロアクティブ防御] セクションの 悪意のあるホスト行動からの保護 、ランサムウェア対策 (ブービートラップの検出) 、Web サイトのバックドア攻撃からの保護 、悪意のあるネットワーク行動からの保護 をオンにすると、セキュリティセンターは検出されたウイルスに関連するプログラムとプロセスを自動的にブロックし、疑わしい接続を傍受します。
オプションです。 能動的な防御体験の最適化 を選択します。
能動的な防御体験の最適化 を選択すると、例外が発生した場合のサーバーのセキュリティを反映したサーバーデータが収集されます。 サーバーのセキュリティを強化するには、[Proactive Defense] で [User Experience Optimization] を選択することを推奨します。
次のステップ
予防的防御によって隔離されたウイルスは、セキュリティアラートの処理 ページの精密防御関連のアラートのリストに表示されます。 ウイルスを表示するには、ステータスドロップダウンリストから [処理済み] を選択し、[アラートタイプ] の下の [精密防御] をクリックします。
悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出) 、およびWeb サイトのバックドア攻撃からの保護をオンにした後、偽陽性または検疫の失敗が発生する可能性があります。
誤検知により一部のファイルが隔離された場合は、隔離されたファイルパネルで隔離されたファイルを復元できます。 詳細については、「隔離されたファイルの表示と復元」をご参照ください。
セキュリティアラートの処理 ページで、Security Centerが隔離に失敗したファイルを手動で隔離できます。 詳細については、「アラートの表示と処理」をご参照ください。
Webshellの検出と削除
webshellの検出と削除の機能は、Alibaba Cloudが開発したエンジンを使用して一般的なwebshellファイルをスキャンし、スケジュールされたスキャンタスクをサポートし、リアルタイムの保護を提供し、ワンクリックでwebshellファイルを隔離できます。 この機能は、サーバーとwebディレクトリでwebシェルとトロイの木馬を定期的にスキャンします。 Security Centerはサーバーでwebshell検出タスクを実行し、サーバーのwebshell検出と削除を有効にした後にのみアラートを生成します。 次のリストは、Webシェルの検出および削除方法を説明しています。
Security Centerは、毎日早朝にwebディレクトリ全体をスキャンします。 webディレクトリ内のファイルが変更された場合、Security Centerはすぐにwebシェルをスキャンします。
Security CenterがWebシェルをスキャンするアセットを指定できます。
検出されたトロイの木馬ファイルを隔離、復元、または無視できます。
Security Center Basicは、一部の種類のWebシェルのみを検出します。 すべての種類のWebシェルを検出する場合は、Security Center BasicをAnti-virus、Advanced、Enterprise、またはUltimateエディションにアップグレードすることを推奨します。 詳細については、「Security Centerのアップグレードとダウングレード」をご参照ください。
サーバーのwebshellの検出と削除を有効にする
Security Centerは、Security Centerエージェントがインストールされているサーバーに対して、デフォルトでWebシェルの検出および削除機能を有効にします。 パブリックwebサービスを提供するサーバーでは、webshellの検出と削除機能を有効にすることをお勧めします。 サーバーがインターネットから完全に分離されている場合は、以下の手順に従って、サーバーのWebシェルの検出と削除機能を無効にできます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
タブで、Web サイトのバックドア検出 セクションの 管理 をクリックします。
Webshell 検出駆除スコープ パネルで、webshellの検出と削除を無効にするサーバーをクリアし、[OK] をクリックします。
webshellアラートの処理
サーバーのwebshellの検出と削除を有効にすると、Security Centerがサーバー上のWebshellファイルなどのセキュリティ上の脅威を検出したときに、タイプがWebshellのアラートを セキュリティアラートの処理 ページで表示できます。 アラートを処理しない場合、アラートがサーバーに脅威を与える可能性があります。 できるだけ早い機会にアラートを処理することを推奨します。
ワンクリックのwebshellアラート処理機能は、Security CenterのBasicエディションでは使用できません。 アンチウイルス版以上のユーザーは、コンソールでワンクリックで検出されたwebshellファイルを分離できます。 詳細については、「アラートの表示と処理」をご参照ください。
ダイナミック適応型脅威検出機能
デフォルトでは、適応型脅威検出機能は無効になっています。 機能を手動で有効にする必要があります。 適応型脅威検出機能を有効にした後、Security Centerがサーバー上でリスクの高い侵入を検出した場合、Security Centerはサーバーの厳格なアラートモードを7日間自動的に有効にします。 このモードでは、すべての保護ルールとセキュリティエンジンが有効になり、より包括的な方法で侵入を検出できます。
7日間にサーバーの保護モードを手動で設定した場合、サーバーは設定された保護モードで実行されます。 7日間の期間が経過しても、厳密なアラートモードは自動的に無効にならず、サーバーは設定した保護モードで実行され続けます。
制限事項
Security CenterのEnterpriseエディションとUltimateエディションのみがこの機能をサポートしています。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
アダプティブ脅威検出の有効化
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
タブで、アダプティブ脅威検出機能 セクションの [動的適応脅威検出] をオンにします。
説明セキュリティセンターにクラウドリソースへのアクセスを許可していない場合は、画面の指示に従って許可を完了する必要があります。 これにより、Security Centerはクラウドリソースへのアクセスが許可されます。 権限付与が成功すると、Resource Access Management (RAM) は、AliyunServiceRoleForSasという名前のサービスにリンクされたロールを自動的に作成します。 セキュリティセンターは、クラウドリソースにアクセスしてリソースを保護するためにこのロールを引き受けることができます。 詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
アラート設定
Security Centerは、さまざまなシナリオでセキュリティ要件を満たすために、サーバーのさまざまなアラートモードをサポートしています。 既定では、Security Centerは、Security Centerに追加されたすべてのサーバーに対してバランスモードを有効にします。 このモードでは、Security Centerは、誤検出率を最小限に抑えながら、できるだけ多くのリスクを検出しようとします。 このモードは、Alibaba Cloudの専門家によってテストされています。
アラートモードの変更
サーバーのリスクをより厳密に検出する場合は、サーバーのアラートモードを厳密モードに変更できます。
厳密モードを有効にすると、Alibaba Cloudはより疑わしい動作を検出し、アラートを生成します。 ただし、このモードでは偽陽性率が高くなります。 メジャーイベント中にこのモードを有効にすることを推奨します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
タブで、アラート設定 セクションの 厳密モード の右側にある 管理 をクリックします。
厳密モード を有効にするサーバーを選択し、[OK] をクリックします。
関連ドキュメント
サーバーごとに異なるホスト固有の悪意のある動作防御ルールを作成する必要がある場合は、Security Centerの悪意のある動作防御機能を有効にできます。 詳細については、「ホスト固有のルール管理機能の使用」をご参照ください。
アラートの表示と処理方法の詳細については、「アラートの表示と処理」をご参照ください。