[その他の設定] タブでは、グローバルログのフィルタリング、セキュリティ制御、およびアクセス制御の機能を有効にできます。 このトピックでは、機能と機能を有効にする方法について説明します。
グローバルログフィルター
Security Centerは、セキュリティを確保するためのグローバルログフィルタリング機能を提供します。 この機能は、ログストレージを効果的に使用し、運用効率を向上させます。
グローバルログのフィルタリングの仕組み
グローバルログフィルタリング機能は、次の方法を使用して、Security Centerエージェントのログをフィルタリングします。
指定されたフィールドを使用して指定された期間内のログをフィルタリングする
データ収集に使用される指定されたフィールドは、特定の順序でキーに結合されます。 フィールドには、コマンドライン、ユーザー名、および親プロセスのコマンドラインが含まれます。 次に、同じキーを持つイベントが特定の期間内に集約され、フィルタリングされます。 同じ特性を持つイベントの発生がカウントされます。 発生回数が指定されたしきい値を超えない場合、イベントが報告されます。 それ以外の場合、イベントは除外されます。
プロセスチェーンを使用したログのフィルタリング
収集されたイベントのプロセスチェーンは正規化され、イベントの特性はログをフィルタリングするためのキーとして抽出されます。 ログがフィルタリングされる指定された期間中に、同じ特性を持つイベントの発生がカウントされます。 発生回数が指定されたしきい値を超えない場合、イベントが報告されます。 それ以外の場合、イベントは除外されます。
前提条件
ログ分析機能が有効になっています。 詳細については、「ログ分析の有効化」をご参照ください。
ログ分析機能を有効にしていない場合、コンソールに [グローバルログフィルター] セクションは表示されません。
グローバルログフィルタリングの有効化
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。左側のナビゲーションウィンドウで、 を選択します。
Settings タブの その他の設定 タブで、[グローバルログフィルター] セクションの [ログフィルター] をオンにします。
セキュリティ管理
セキュリティ制御機能を使用すると、IPアドレスのホワイトリストを作成できます。 IPアドレスをホワイトリストに追加すると、Security CenterはIPアドレスから開始されたリクエストを許可します。 Security Centerが通常のIPアドレスを悪意のあるものとして識別し、そのIPアドレスからの要求をブロックすると、ビジネスに影響を与える可能性があります。 誤検知を防ぐために、IPアドレスをホワイトリストに追加できます。 Security Centerは、ホワイトリスト内のIPアドレスから開始されたリクエストに対するアラートを生成したり、ブロックしたりしなくなりました。
IPアドレスをホワイトリストに追加すると、そのIPアドレスから開始されたリクエストは、宛先サーバーに直接転送されます。 必要なIPアドレスのみをホワイトリストに追加してください。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。左側のナビゲーションウィンドウで、 を選択します。
Settings タブの その他の設定 タブで、[セキュリティコントロール] セクションの [設定] をクリックし、セキュリティ制御 コンソールに移動します。
左側のナビゲーションウィンドウで、 を選択します。
[アクセスホワイトリスト] ページで、[追加] をクリックします。
[追加] ダイアログボックスで、[送信元IP] フィールドにIPアドレスを入力し、ホワイトリストを有効にするElastic Compute Service (ECS) インスタンスを選択し、[OK] をクリックします。 現在のAlibaba CloudアカウントにIPアドレスを入力しないでください。
この手順を実行すると、指定された送信元IPアドレスが指定されたECSインスタンスのホワイトリストに追加されます。 セキュリティ制御機能は、指定された送信元IPアドレスから指定されたECSインスタンスへのアクセスを制限しなくなりました。
オプション: ホワイトリストの作成後、ホワイトリスト内のIPアドレスを表示するか、ホワイトリストからIPアドレスを削除します。
ホワイトリストのIPアドレスの表示
[ホワイトリストへのアクセス] ページで、ホワイトリストに追加されたIPアドレスを表示できます。
ホワイトリストからIPアドレスを削除する
セキュリティ制御機能でホワイトリスト内のIPアドレスからのアクセスを再度制限する場合は、IPアドレスを見つけて [操作] 列の [無効] をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。
説明この操作を実行すると、セキュリティ制御機能はIPアドレスから開始されるアクセスを制限します。
アクセス制御
Resource Access Management (RAM) を使用して、従業員、システム、アプリケーションなどのRAMユーザーを作成および管理できます。 RAMを使用して、RAMユーザーからリソースへのアクセスを制御することもできます。 RAMは、企業内の複数のユーザーがクラウドリソースを共同で管理する必要があるシナリオに適しています。 RAMを使用すると、最小権限の原則に基づいてRAMユーザーに権限を付与できます。 これにより、Alibaba CloudアカウントのAccessKeyペアを共有する必要がなくなり、セキュリティリスクが最小限に抑えられます。
企業内の複数のユーザーが共同でクラウドリソースを使用する場合は、必要な権限のみをユーザーに付与します。 これにより、アセットに発生する可能性のある脅威が回避されます。 RAMコンソールで定期的に権限を確認することを推奨します。 ユーザーに権限を付与する場合は、最小権限の原則に従うことをお勧めします。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。左側のナビゲーションウィンドウで、 を選択します。
Settings タブの その他の設定 タブで、サービスにリンクされたロールの説明を表示し、アクセス制御セクションのActionTrailのデータ配信、権限ポリシー管理、ユーザー管理、およびロール管理でサポートされている操作を実行します。
設定評価機能によって提供されるCloud Infrastructure Entitlement Management (CIEM) タイプのチェック項目を使用する前に、ActionTrail データ配信 をオンにする必要があります。 ActionTrailのデータ配信を有効にすると、Security CenterはActionTrailのログデータにアクセスして、CIEM関連の設定にリスクが存在するかどうかを確認できます。
Security Center用に作成されたサービスにリンクされたロールAliyunServiceRoleForSasの説明を表示します。 詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
[権限ポリシー管理] の [管理] をクリックして、RAMコンソールに移動します。 RAMコンソールで、現在のAlibaba Cloudアカウント内のすべてのポリシーを管理します。 詳細については、「ポリシー管理」をご参照ください。
[ユーザー管理] の [管理] をクリックして、RAMコンソールに移動します。 RAMコンソールで、現在のAlibaba Cloudアカウント内のすべてのRAMユーザーを管理します。 詳細については、「RAMユーザー管理」をご参照ください。
[ロール管理] の [管理] をクリックし、RAMコンソールに移動します。 RAMコンソールで、現在のAlibaba Cloudアカウント内のすべてのRAMロールを管理します。 詳細については、「RAMロール管理」をご参照ください。