このトピックでは、Security Centerの検出および応答モジュールに関するよくある質問に対する回答を提供します。
資産のマイニングプログラムを確認するにはどうすればよいですか?
サーバーのCPU使用率が80% 以上などに大幅に増加し、未知のプロセスがパケットを送信し続けると、サーバー上でマイニングプログラムが実行されます。
Security Centerがアセットのマイニングプログラムを検出した場合、Security Centerはアラート通知をテキストメッセージまたは電子メールで送信します。 セキュリティアラートの処理 ページで、マイニングプログラム用に生成されたアラートを処理できます。 マイニングプログラムが他のアラート (マイニングプールとの通信に関するアラートや悪意のあるドメイン名へのアクセスに関するアラートなど) に関連付けられている場合は、関連付けられたアラートも処理することを推奨します。 詳細については、「セキュリティアラートの表示と処理」をご参照ください。
アンチウイルスが有効になっておらず、サーバーでマイニング攻撃が開始された場合はどうすればよいですか?
マイニング攻撃に対して生成されたアラートを処理し、悪意のあるホスト行動からの保護を有効にするには、次の操作を実行します。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
On theアラートページで、処理するアラートを見つけてクリックします。ハンドルで、アクション列を作成します。
表示されるダイアログボックスで、[ウイルスの検出と削除] を選択し、[プロセスの終了] または [プロセスと検疫ソースファイルの終了] を選択します。
[今すぐ処理] をクリックします。 アラートが処理されます。
左側のナビゲーションウィンドウで、を選択します。
[設定] ページで、[設定] タブをクリックし、[ホスト保護設定] タブをクリックします。 予防的防御セクションで、悪意のあるホスト行動からの保護をオンにします。 悪意のあるホストの動作防御機能が有効になっています。
誤ってマイニングアラートをアラートのホワイトリストに追加しました。 ホワイトリストからアラートを削除するにはどうすればよいですか?
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
On theアラートページで、ステータスフィルター条件を処理済み処理されたすべてのアラートを検索します。
ホワイトリストに追加したアラートを検索し、[操作] 列の [ホワイトリストから削除] をクリックします。 アラートがアラートリストに表示されます。
自動ウイルスブロックが有効かどうかを確認するにはどうすればよいですか?
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、[システム構成]> [機能設定] を選択します。 [機能設定] ページで、悪意のあるホスト行動からの保護 をオンにします。 左側のナビゲーションウィンドウで、. [アラート] ページで、[アラートタイプ] に [精密防御] を選択します。 フィルタリング後に表示されるアラートのステータスがブロックされている場合、自動ウイルスブロックが有効になります。
セキュリティセンターは侵入をどのように検出しますか?
Security Centerは資産をスキャンし、Alibaba Cloudセキュリティエンジニアはユーザートラフィックデータを分析および検証して侵入を検出します。
一般的な侵入とは何ですか?
一般的な侵入には、ウェブシェル、ブルートフォース攻撃、マイニング攻撃が含まれます。 セキュリティセンターは、これらの侵入に対するアラートを生成します。 詳細については、「アラートタイプ」をご参照ください。
phpinfo関数を呼び出すとアラートが生成されるのはなぜですか? アラートは偽陽性ですか?
いいえ、アラートは誤検出ではありません。
phpinfoファイルには、Webサイトの絶対パスなど、大量の機密情報が含まれています。 phpinfo関数を呼び出してphpinfoファイルを取得すると、攻撃者はphpinfoファイル内の情報を悪用してアセットを攻撃する可能性があります。 ほとんどの攻撃者は、最初にphpinfoファイルをアップロードして、その後の侵入の詳細情報を取得します。 ビジネスでファイルが必要な場合は、次の操作を実行してホワイトリストにアラートを追加できます: [Security Centerコンソールにログイン] 。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、. [アラート] ページで、ホワイトリストにアラートを追加します。
Security Centerはwebshellファイルを自動的に隔離できますか?
いいえ、Security Centerはwebshellファイルを自動的に隔離できません。 Webシェルファイルにはビジネス情報が含まれている場合があります。 Webシェルファイルを手動で識別して隔離する必要があります。 隔離されたファイルは、[ファイル隔離] ボックスパネルで確認できます。 ファイルを隔離してから30日以内に隔離されたファイルを復元することもできます。 詳細については、「隔離されたファイルの表示と復元」をご参照ください。
Security Centerはどのようにウェブシェルを検出しますか?
Security Centerは、次の方法を使用して、PHP、ASP、JSPファイルなどのWebサイトスクリプトファイルを検出します。
ディスクベースの検出: ファイルがサーバーにアップロードまたはダウンロードされた後、Security Centerはファイルをスキャンします。 悪意のあるファイルが検出されると、Security Centerはアラートを生成します。
webディレクトリのリアルタイム監視。
webディレクトリのスケジュールされたスキャン。
ホワイトリストに追加できるアラートは何ですか?
マルウェアに対して生成されたアラートをホワイトリストに追加できます。 悪意のあるプロセスに対して生成されたアラートをホワイトリストに追加すると、悪意のあるプロセスのソースファイルのみがホワイトリストに追加されます。 次の表に、ホワイトリストに追加できるアラートの種類を示します。
アラートタイプ | 説明 |
マルウェア | MD5ハッシュ値をホワイトリストに追加します。 |
異常なログオン | 異常なログオンに使用されるIPアドレスをホワイトリストに追加します。 |
悪意のあるIPアドレスへのアクセスまたはマイニングプールによる通信 | 関連するIPアドレスをホワイトリストに追加します。 |
悪意のあるドメイン名へのアクセス | 関連するドメイン名をホワイトリストに追加します。 |
悪意のあるダウンロードソースへのアクセスまたは接続 | ソースURLをホワイトリストに追加します。 |
WebShell | ディレクトリの設定に基づいて、webディレクトリをホワイトリストに追加します。 |
悪意のあるスクリプト | MD5ハッシュ値とパスをホワイトリストに追加します。 |
クラウド脅威の検出 | Security Centerコンソールでホワイトリストルールを設定します。 |
疑わしいプロセス | コマンドラインをホワイトリストに追加します。 |
永続的なウェブシェル | MD5ハッシュ値と特性値をホワイトリストに追加します。 |
機密ファイルの改ざん | ホワイトリストにファイルパスを追加します。 |
アプリケーションへの侵入 | コマンドラインをホワイトリストに追加します。 |
webアプリケーションへの脅威 | 関連するドメイン名またはURLをホワイトリストに追加します。 |
疑わしいネットワーク接続 | コマンドライン、宛先IPアドレス、および宛先ポートをホワイトリストに追加します。 一部のフィールドが欠落している場合、既存のフィールドのみがホワイトリストに追加されます。 |
一部のアラートが期限切れの状態にあるのはなぜですか?
Security Centerは、過去30日前に生成されたアラートのステータスを期限切れに変更します。 変更後にアラートが再生成された場合、Security Centerはアラート生成時刻を更新し、アラートステータスをUnhandledに変更します。
不審なドメイン名へのアクセスに対して初めてアラートが生成された時点と、不審なドメイン名へのアクセスが検出された時点が異なるのはなぜですか。
ドメインネームシステム (DNS) データは、レイテンシーでセキュリティセンターに送信されます。 Security CenterがDNSデータを受信すると、Security Centerは必要なアルゴリズムを使用してDNSデータを分析および処理します。 その結果、不審ドメイン名へのアクセスが検出された時点よりも、不審ドメイン名へのアクセスに対するアラートが初めて発生した時点の方が遅くなる。 5時間以内の差は許容できる。
Security Centerが異常なログオンを検出し、異常なログオンのアラートを生成する方法?
サーバーにSecurity Centerエージェントをインストールすると、承認されていない場所からのログオンを検出し、これらのログオンに対するアラートを生成できます。 異常なログオンに対して生成されたアラートは、Security Centerコンソールの [アラート] ページで確認できます。
Security Centerエージェントは、サーバーのログオンログを定期的に収集し、分析と照合のためにログをクラウドにアップロードします。 Security Centerが、承認されていない場所、承認されていないIPアドレス、承認されていない時間範囲、または承認されていないアカウントからのログオンを検出した場合、Security Centerはログオンのアラートを生成します。 次のリストは、Security Centerが異なるIPアドレスからの異常なログオンを識別する方法を示しています。
初めてSecurity Centerを使用してサーバーを保護すると、承認されたログオン場所が指定されていないため、ログオンのアラートが生成されません。
パブリックIPアドレスからサーバーへの初めてのログオンが成功したとき、IPアドレスの場所は承認されたログオン場所としてマークされます。 その時点から24時間以内にサーバーにログオンするために使用されるパブリックIPアドレスのすべての場所は、承認されたログオン場所としてマークされます。 24時間後、前の承認されたログオン場所からではないすべてのログオンは、承認されていない場所からのログオンと見なされます。 Security Centerは、これらのログオンに関するアラートを生成します。
Security CenterがIPアドレスからのログオンを承認されていないログオン場所からのログオンとして識別した場合、Security Centerはアラートを生成し、テキストメッセージを使用してアラート通知を送信します。 アラート通知は、最初のログオンに対してのみ送信されます。 IPアドレスからのログインが6回以上成功した場合、Security CenterはIPアドレスの場所を承認済みのログオン場所として自動的にマークします。
説明セキュリティセンターは、パブリックIPアドレスのみに基づいて、承認されていないログオン場所をマークします。
次のリストは、セキュリティセンターが承認されていないIPアドレスからログオンするアラートを生成する方法を示します。
セキュリティセンターは、承認されていないIPアドレスからの最初のログインに対してのみアラート通知を送信します。 アラート通知は、テキストメッセージを使用して送信されます。 IPアドレスから継続的にログオンが開始された場合、Security Centerはコンソールでのみアラートを生成します。 IPアドレスからのログインが6回以上成功した場合、Security CenterはIPアドレスの場所を承認済みのログオン場所として自動的にマークします。
セキュリティセンターのAdvancedエディション、Enterpriseエディション、またはUltimateエディションを使用している場合は、承認済みのログオン場所、IPアドレス、時間範囲、およびサーバーのアカウントを指定できます。 セキュリティセンターは、承認されていないログオン場所、IPアドレス、時間範囲、およびアカウントに関するアラートを生成します。 構成する設定には、Security Centerの既定の識別メカニズムよりも高い優先度が割り当てられます。
Security Centerによって検出され、アラートをトリガーできる異常なログオンの種類は何ですか?
Security Centerでは、次の種類の異常なログオンを検出し、ログオンのアラートを生成できます。
悪意のあるIPアドレスからのログオン (ログオン先には、サーバー、FTPアプリケーション、MySQL、およびSQL Serverが含まれます) 。
バックドアアカウントを使用したサーバーログイン
パスワードが弱いアカウントを使用したサーバーログイン
疑わしい外部ログオンスキャン
珍しい場所からのログオン
珍しいアカウントを使用したログオン
ブルートフォース攻撃が成功した後のECSインスタンスのログイン。これは、リモートデスクトッププロトコル (RDP) またはSSHで複数の無効なユーザーを使用して開始できます。
疑わしいコマンドシーケンス実行前のSSH経由のECSインスタンスログイン
承認されていない時間帯、承認されていない場所またはIPアドレスから、または承認されていないアカウントでECSインスタンスにログイン
Security Centerがアラートを生成する方法の詳細については、「アラート」をご参照ください。
サーバーに適切にログオンしても、Security Centerがログオンが異常であるとプロンプトを表示する状況を回避するにはどうすればよいですか?
Security Centerコンソールにログインします。 [アラート] ページで、[設定] をクリックします。 表示されるパネルで、承認されたログオン場所、IPアドレス、時間範囲、およびアカウントを指定します。 Security Centerが未承認のログオンを検出すると、Security Centerはアラートを生成します。 承認済みのログオン場所を手動で追加するか、承認済みのログオン場所を自動的に更新するようにシステムを設定できます。 承認されていない場所からのログオンが検出されたときにアラートが生成されるアセットを指定することもできます。
偶発的な操作によるECSインスタンスへのブルートフォース攻撃に対する防御ルールによってアラートがトリガーされた場合はどうすればよいですか。
ECSインスタンスへのログインに使用されるパスワードは複雑です。 そのため、インスタンスにログインする前に、誤ったパスワードを複数回入力することがあります。 この場合、Security Centerは、ブルートフォース攻撃に対するモデルに基づいて、ログオン試行をブルートフォース攻撃として識別し、アラートを生成します。 アラートが偽陽性であることを確認した場合は、アラートを無視できます。 アラートを無視する方法の詳細については、「アラートの表示と処理」をご参照ください。
承認済みのログオンIPアドレス、時間範囲、およびアカウントを指定してサーバーに適切にログオンした後でも、Security Centerに異常なログオンが表示される場合はどうすればよいですか。
この場合、承認されていないIPアドレス、場所、またはアカウントからのログオンによってアラートがトリガーされたかどうかを確認する必要があります。 ログオンIPアドレス、場所、アカウント、および時間範囲は、アラートをトリガーする可能性がある要因です。 これらの要因には優先順位がありません。 要因が異常として識別された場合、アラートがトリガーされます。
異常なログオンを示すアラートがトリガーされます。 ログオンは成功またはブロックされていますか?
異常なログオンによってアラートがトリガーされた場合でも、ログオンは成功します。 ただし、ログオン動作はセキュリティセンターによって疑わしいと見なされます。 そのため、Security Centerはログオンのアラートを生成します。
ログオンは、異常なログオンを示すアラートをトリガーし、攻撃者からのログオンとして識別されます。 どうすればよいですか。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、. [アラート] ページで必要なアラートを見つけ、[操作] 列の [処理] をクリックします。 表示されるダイアログボックスで、[処理方法] パラメーターを [ブロック] に、[ルール有効期間] パラメーターを [12時間] に設定し、[今すぐ処理] をクリックします。 これにより、攻撃者はサーバーにログオンできません。 SSHパスワードなしのログインを防ぐために、できるだけ早い機会にアカウントのパスワードを変更し、サーバーに他の未知のアカウントと未知の公開鍵が存在するかどうかを確認することをお勧めします。
ECSがSSH経由でログオンした後、疑わしいコマンドシーケンスが実行されたことを示すアラートが表示されます。 コマンドシーケンスは実行されますか?
コマンドシーケンスが実行されます。 できるだけ早い機会にサーバーのログインパスワードを更新し、ECSインスタンスに他の異常なアクティビティが存在するかどうかを確認することを推奨します。 異常な活動は、未知のプロセスの起動を含む。
異常なログオンによってアラートがトリガーされた後、サーバーでどのようなログを表示できますか?
サーバー上の /var/log/secureディレクトリにログを表示できます。 たとえば、grep 10.80.22.22 /var/log/secureコマンドを実行してログを表示できます。
サーバーへのブルートフォース攻撃の数やサーバーでの攻撃ブロックの詳細を表示するにはどうすればよいですか?
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、. [攻撃分析] ページで、Security CenterによってブロックされたSSHブルートフォース攻撃に関する情報を表示できます。
ブルートフォース攻撃からサーバーを保護するにはどうすればよいですか?
承認済みのログオンIPアドレスを指定するか、証明書のログオン方法を使用できます。 承認済みのログオンIPアドレスを指定する方法の詳細については、「アラート設定の構成」をご参照ください。
偶発的な操作によりブルートフォース攻撃に対する防御が有効になった場合はどうすればよいですか?
ブルートフォース攻撃に対する防御ルールで指定された上限を超えると、このルールが有効になり、サーバーにログインできなくなります。 この場合、次の操作を実行できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、. [アラート] ページで、[有効なIPアドレスブロックポリシー /すべてのポリシー] の下にある数字をクリックします。 [IPポリシーライブラリ] パネルで、必要なルールを見つけ、[ポリシーステータス] パラメーターを [無効] に設定します。
Security Centerは、webアプリケーションとwebサイトをブルートフォース攻撃から保護できますか?
いいえ、
セキュリティセンターは、RDPまたはSSH経由のログオンを許可するサーバーのみを保護できます。
サーバーのパスワードが解読された場合はどうすればよいですか?
サーバーのパスワードが解読された場合、攻撃者がサーバーに侵入し、悪意のあるプログラムをインストールした可能性があります。 この問題を解決するには、次の操作を実行します。Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、. [アラート] ページで、ブルートフォース攻撃に対して生成されたアラートが存在するかどうかを確認します。
ブルートフォース攻撃によるECSインスタンスのログインを示すアラートがアセットで生成された場合、サーバーのパスワードは解読されます。 サーバーのセキュリティを強化するには、次の操作を実行することを推奨します。
関連するアラートの処理
[アラート] ページに移動し、必要なアラートを見つけて、[操作] 列の [処理] をクリックします。 表示されるダイアログボックスで、[処理方法] を [ブロック] に設定し、[今すぐ処理] をクリックします。 Security Centerは、悪意のあるIPアドレスからのアクセス要求をブロックするために、ECSインスタンスのセキュリティグループの防御ルールを生成します。 詳細については、「アラートイベントの表示と処理」をご参照ください。
サーバーパスワードの変更
最も早い機会に解読されたサーバーのパスワードを変更します。 複雑なパスワードの使用を推奨します。
ベースラインチェックを実行してリスクを検出
Security Centerのベースラインチェック機能を使用して、サーバー上のリスクを検出し、Security Centerが提供する提案に基づいて検出されたリスクを処理します。
説明Security CenterのAdvanced、Enterprise、およびUltimateエディションは、ベースラインチェック機能をサポートしています。
弱いパスワードを変更しても、ブルートフォース攻撃のアラート通知を受け取るのはなぜですか?
指定した新しいパスワードは、パスワードを変更した翌日に有効になります。 新しいパスワードが有効になる前に、セキュリティセンターはブルートフォース攻撃に関するアラート通知を送信し続けます。 たとえば、2023年1月15日の10:00にログインパスワードを変更した場合、ベースラインチェックモデルは新しいログインパスワードを収集し、当日の約24:00に弱いパスワードデータベースを更新します。 ただし、異常ログオン検出モデルは、2023年1月15日の24:00より前に弱いパスワードデータベースに古いパスワードをロードします。 したがって、ブルートフォース攻撃によってトリガーされるアラートは依然として存在します。
ベースラインチェック中に弱いパスワードが変更され、弱いパスワードが検出されなかったことを確認した場合は、アラートを無視できます。
サーバーのパスワードがブルートフォース攻撃によって解読された場合は、できるだけ早い機会にサーバーのセキュリティを強化することをお勧めします。 詳細については、「」をご参照ください。サーバーのパスワードが解読された場合はどうすればよいですか?
RDPブルートフォース攻撃の記録は、ポート3389でのRDPリクエストがセキュリティグループルールまたはファイアウォールルールによってブロックされた後でも生成されます。 これはなぜですか。
Windowsの特別なログオン監査メカニズムにより、プロセス間通信 (IPC) 、RDP、およびSambaに基づくログオンの監査アクティビティは同じログに記録されますが、ログオン方法は指定されていません。 RDPサービスポートへのリクエストがブロックされた後にRDPブルートフォース攻撃の記録が見つかった場合は、IPCまたはSambaが有効になっているかどうかを確認する必要があります。
ECSインスタンスでポート135、ポート139、またはポート445が有効になっているかどうか、およびパブリックIPアドレスがこれらのポートにアクセスできるかどうかを確認します。 Windowsセキュリティログに攻撃期間内のログオンレコードが含まれているかどうかを確認します。
Security CenterはRDPおよびSSHサービスの弱いパスワードのみを検出しますか?
Security Centerは、RDPおよびSSHサービスの弱いパスワードを検出します。 Security Centerは、管理者がコンテンツ管理システム (CMS) にログオンするために使用する弱いパスワードも検出します。
SSHまたはRDPリモートログインの失敗を処理する方法?
現在のIPアドレスを使用してSSHまたはRDP経由でクラウドサーバーにリモートでログインできない場合は、Alibaba cloud Security Controlコンソールにログインし、IPアドレスをホワイトリストに追加できます。 このようにして、IPアドレスはサーバーログオンに対してブロックされません。
IPアドレスをホワイトリストに追加するには、次の操作を実行します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
設定 タブで、その他の設定 タブをクリックします。 [セキュリティ制御] セクションで、[設定] をクリックして セキュリティ制御 コンソールに移動します。
説明Alibaba Cloud管理コンソールの右上隅にあるプロファイル画像の上にポインターを移動し、[セキュリティ制御] をクリックして [セキュリティ制御] コンソールに移動することもできます。
左側のナビゲーションウィンドウで、 を選択します。
[アクセスホワイトリスト] ページで、[追加] をクリックします。
[追加] ダイアログボックスで、[送信元IP] フィールドにIPアドレスを入力し、IPアドレスからのログオンが許可されているサーバーを選択します。 左側のセクションから1つ以上のサーバーを選択し、右側の矢印をクリックして、選択したサーバーを右側の選択されたボックスに追加します。
設定が完了したら、[OK] をクリックします。
[攻撃認識] ページに表示される統計のソースは何ですか?
[攻撃認識] ページに表示される統計は、Security Centerが基本的な攻撃を自動的に識別してブロックした後に収集される攻撃データです。 統計には、Security Centerによって保護されている資産に関するデータが含まれます。 アセットモジュールでアセットを表示できます。