すべてのプロダクト
Search
ドキュメントセンター

Security Center:概要

最終更新日:Jul 26, 2024

ますます複雑化するネットワークセキュリティ環境では、組織や企業は、分散システム内の大量のアラートやログを効果的に監視および管理する方法に関する課題に直面しています。 これらの課題に対処するために、Security Centerは脅威の分析と対応機能を提供します。 この機能を使用して、マルチクラウド環境の異なるアカウント内の複数のクラウドサービスのアラートとログを一元管理できます。 この機能は、O&Mの効率を向上させ、潜在的なリスクに対応するのに役立ちます。

背景情報

仕組み

脅威の分析と対応機能は、セキュリティ情報とイベントのクラウドネイティブ管理ソリューションを提供します。 この機能は、ログ収集、アラート生成、イベントの集計と分析、イベントの応答とオーケストレーションなどの機能を提供します。

この機能は、複数のクラウドサービスプロバイダーの異なるアカウントとクラウドサービスからログを収集します。 この機能は、事前定義されたカスタム検出ルールに基づいて収集されたログを分析し、攻撃を識別し、完全な攻撃チェーンを構築し、詳細情報を含むセキュリティイベントを生成します。 この機能は、セキュリティの脅威を検出すると、security Orchestration Automation Response (SOAR) を有効にし、関連するAlibaba Cloudサービスと連携して脅威ソースを処理します。 処理操作には、ブロッキングと検疫が含まれます。 これにより、セキュリティイベントの処理効率が向上します。

image

メリット

  • 標準化されたデータ収集

    この機能は、アラートログ、ネットワークログ、システムログ、アプリケーションログなど、サービス、アカウント、クラウドプラットフォーム全体のさまざまなログを収集します。 このようにして、データが標準化され、コンテキストが強化される。

  • 多次元脅威検出

    この機能は、マルチソースのデータ関連付け分析、AI画像ベースのコンピューティングと推論、リアルタイムで更新される脅威インテリジェンスなどの脅威検出方法を使用することにより、サウスバウンドのセキュリティデバイスのシングルポイント脅威検出機能を強化します。 この機能は、事前定義されたデータソース間の脅威検出ルールと、エキスパートルール、グラフコンピューティング、アラート送信、および同じタイプの集約のタイプのイベント分析モデルを提供します。

  • 効率的なイベント調査

    この機能は、関連するアラートを集約してセキュリティイベントを生成し、攻撃のタイムラインとパスを自動的に再構築します。 アラートによってトリガーされるセキュリティイベントのエラー率は0.0001% のみです。 これにより、イベント調査コンテキストが強化され、アラートとイベント処理が高速化されます。

  • 自動応答とオーケストレーション

    この機能は、複数のサービスと連携した自動応答ルールとプレイブックに基づいて、悪意のあるエンティティを自動的に処理します。 悪意のあるエンティティは、悪意のあるIPアドレス、ファイル、およびプロセスを含む。 このようにして、緊急対応エクスペリエンスが合理化され、正規化され、自動化されます。

サポートされているクラウドサービスとログタイプ

脅威分析および対応機能は、20を超えるクラウドサービスと50を超えるログタイプをサポートします。 次の表に、サポートされているクラウドサービスとログタイプを示します。

クラウドサービスプロバイダ

サービス

ログタイプ

Alibaba Cloud

Security Center

  • Security Centerのアラートログ、構成評価ログ、脆弱性ログ、およびベースラインログ

  • ログオンログ、ネットワーク接続ログ、プロセス起動ログ、ファイルの読み取りおよび書き込みログ、失敗したホストログオンログ、失敗したMySQLおよびFTPログオンログ

  • アカウントのスナップショットログ、ネットワークのスナップショットログ、アカウントのスナップショットログ、プロセスのスナップショットログ、ポートのスナップショットログ

  • インターネットHTTPログ、インターネットセッションログ、Internet Domain Name System (DNS) ログ、およびDNSログ

Web Application Firewall (WAF)

WAFのアラートログとフローログ、およびWAF 3.0のフローログ

Cloud Firewall

Cloud Firewallのアラートログとフローログ

Anti-DDoS

Anti-DDoS Proxy (中国本土) のフローログ、Anti-DDoS Proxyのフローログ、およびAnti-DDoS Originのログ

Bastionhost

Bastionhostログ

CDN

Alibaba Cloud CDN (CDN) のフローログとCDN WAFのフローログ

API Gateway

API Gatewayログ

Container Service for Kubernetes (ACK)

Kubernetesリソースの監査ログ

PolarDB

PolarDB-X 1.0およびPolarDB-X 2.0の監査ログ

ApsaraDB for MongoDB

ApsaraDB for MongoDBの操作ログと監査ログ

ApsaraDB RDS

ApsaraDB RDSの監査ログ

Virtual Private Cloud (VPC)

VPCのフローログ

Elastic IP Address (EIP)

EIPのフローログ

Server Load Balancer (SLB)

Classic Load Balancer (CLB) のレイヤー7ログとApplication Load Balancer (ALB) のフローログ

Object Storage Service (OSS)

OSSの一括削除ログ、計測ログ、フローログ

Apsara File Storage NAS

NAS NFSの操作ログ

Function Compute (FC)

Function Computeの操作ログ

ActionTrail

ActionTrailログ

CloudConfig

Cloud Configログ

Dynamic Content Delivery Network (DCDN)

DCDNのEdgeRoutineログ、アクセスログ、およびWAFログ

Tencentクラウド

WAF

WAFのアラートログ

Cloud Firewall

Cloud Firewallのアラートログ

Huawei Cloud

WAF

WAFのアラートログ

Cloud Firewall

Cloud Firewallのアラートログ

シナリオ

脅威分析および対応機能は、複数の機能を備えたセキュリティ情報およびイベント用のクラウドネイティブ管理プラットフォームを提供します。 この機能は、企業がセキュリティ脅威を効率的に管理および対応するのに役立ち、セキュリティO&M手順を簡素化します。 この機能は、次のシナリオに適しています。

  • クラウド環境、アカウント、サービス全体のデータの集中収集と監査

    脅威分析および対応機能は、クラウド環境、アカウント、およびサービス全体のログデータを集中的に収集します。 これにより、指定したグローバル管理者アカウントを使用して、Security Centerコンソールで収集されたデータを表示および監査できます。 この機能は、クラウドプラットフォーム全体のセキュリティイベントの監視に役立ち、データ分析とセキュリティ監査を簡素化します。

  • 集中型脅威の操作と監視

    脅威の分析と対応機能は、グローバルな監視と分析のインサイトを提供し、Security Centerコンソールで複数のサービスの脅威を監視および管理できます。 これにより、企業はセキュリティイベントを早期に特定して対応することができます。

  • グローバルなリスク分析とアラートノイズ除去

    脅威の分析と対応機能は、アラートの量と頻度を減らし、アラートデータを集約してフィルタリングすることでログデータの処理を最適化します。 これにより、セキュリティチームは優先度の高い脅威に集中でき、アラートの過負荷や誤検知が軽減されます。

  • セキュリティイベントの自動対応と処理

    脅威分析および対応機能は、セキュリティチームが検出された脅威をできるだけ早く処理するのに役立つ自動応答および処理機能を提供します。 たとえば、セキュリティチームは悪意のあるソースをブロックし、影響を受けるリソースを隔離できます。 この機能は、セキュリティイベントへの対応と全体的なセキュリティの効率を向上させます。

脅威の分析と対応機能の購入と有効化

  1. に移動します。Go to theセキュリティセンター購入ページAlibaba Cloudアカウントでログインします。

  2. 脅威の分析と対応 パラメーターを はい に設定し、ログアクセストラフィック および ログストレージ容量 パラメーターを設定します。

    以下の情報は、関連するパラメータを説明する。 セキュリティセンターのエディションを選択し、その他の機能を購入する方法の詳細については、「Security Centerの購入」をご参照ください。

    • ログアクセストラフィック: 必須。 毎日の分析のために脅威分析および応答機能に追加するログの量を指定します。 単位: GB-day。 次のいずれかの方法を使用して、Log Data to Addパラメーターの値を評価できます。

      • 購入したログストレージ容量に基づいて値を評価します。

        追加するログデータの値パラメーター (GB-day) =ログストレージ容量 /TTL × 4

        • ログストレージ容量は、脅威分析および対応機能に追加するログで使用されるストレージ容量を指定します。

        • 生存時間 (TTL) は、ログの保持期間を指定します。

        • 図4は、ログ圧縮率を示し、これは、ディスクのログ記憶容量に対するログアクセストラフィックの比率である。 対数圧縮比は3から6の範囲である。 比率を4に設定することを推奨します。

      • 脅威分析および応答機能に追加するログの1秒あたりのイベント (EPS) に基づいて値を評価します。

        追加するログデータの値 (GB-day) = EPS × 86,400s × SIZE/(1,024 × 1,024)

        • EPSは、1日以内に脅威分析および対応機能に追加される生ログの数を指定します。

        • SIZEは、各ログのサイズを指定します。 ほとんどの場合、サイズは3 KBから7 KBの範囲です。

    • ログストレージ容量: オプション。 ホットストレージに保存するログの量を指定します。 脅威の分析と対応機能は、ログをホットストレージとコールドストレージに保存します。 この機能を使用してログをホットストレージにのみ保存する場合は、サーバーごとに120 GBのログストレージ容量を購入することをお勧めします。 ログ分析機能のログストレージ容量を購入した場合、脅威分析および応答機能のログストレージ容量パラメーターを、ログ分析機能の購入したログストレージ容量の3倍の値に設定することを推奨します。 詳細については、「ログの管理」をご参照ください。

    image

  3. 読み取りと選択セキュリティセンター利用規約をクリックします。今すぐ購入、そして支払いを完了します。

  4. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  5. 左側のナビゲーションウィンドウで、レスポンス検出 > 脅威の分析と応答.

  6. 脅威の分析と応答 ページで、今すぐ権限付与 をクリックします。

    デフォルトでは、Alibaba Cloud Security Center、Web Application Firewall、Cloud Firewall のアラートログに自動的にアクセスして、クラウド上のセキュリティイベントを特定します。。 承認が完了すると、現在のログオンアカウントに属するSecurity Center、WAF、およびCloud Firewallのアラートログが追加されます。 詳細情報を表示するには、プロダクトアクセス ページに移動します。 セキュリティセンターは、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールを自動的に作成します。 脅威分析および対応機能は、他のクラウドサービスのリソースにアクセスするためにこの役割を引き受けます。 AliyunServiceRoleForSasCloudSiemの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。

脅威分析および対応機能を有効にした後のSecurity Centerコンソールでの変更

脅威分析および対応機能を有効にすると、Security Centerコンソールの一部のモジュールのレイアウトが変更されます。

モジュール

説明

レスポンス検出

左側のナビゲーションウィンドウの [検出と応答] モジュールの名前が 脅威の分析と応答 に変更されました。 セキュリティイベントの処理ログ管理 などのページが脅威分析と応答モジュールに追加されます。 さらに、次のページが変更されます。

  • セキュリティアラートの処理: このページの名前がセキュリティアラートに変更され、脅威の分析と応答に関するグローバルアラートに関する情報が表示されます。

    セキュリティアラート ページの右上隅にある ホストとコンテナーのセキュリティ警告 をクリックして、[アラート] ページに移動します。

  • 攻撃の分析: 脅威分析および対応機能が有効になった後、左側のナビゲーションウィンドウに攻撃分析ページへのエントリポイントは表示されません。

    セキュリティアラート ページの右上隅にある [現在のアカウントの攻撃分析] に移動する をクリックして、攻撃の分析 ページに移動します。 詳細については、「攻撃認識」をご参照ください。

  • インシデント調査: 脅威の分析と対応機能が有効になった後、左側のナビゲーションウィンドウに調査ページへのエントリポイントが表示されません。

    セキュリティアラート ページの右上隅にある ホストとコンテナーのセキュリティ警告 をクリックします。 [アラート] ページで、アラート名 列のimage.pngアイコンをクリックして、インシデント調査 ページに移動します。 詳細については、「アラートの表示と処理」をご参照ください。

    image.png

システム設定 > マルチアカウントのセキュリティ管理

脅威分析と監視アカウント タブが追加されます。

このタブでは、Alibaba Cloudアカウントを脅威分析および対応機能に追加できます。

条件

脅威分析および応答機能を使用する前に、機能に関連する用語を理解する必要があります。 次の表は、用語を説明する。

期間

説明

取り扱いポリシー

処理ポリシーは、シナリオ固有のアラート処理の詳細を記述します。 シナリオ内のエンティティの処理結果に基づいて、処理ポリシーが生成されます。

処理タスク

処理タスクは、スコープ固有のアラート処理の詳細を説明します。 シナリオ内のエンティティのイベント処理プロセスは、スコープに基づいて複数の処理タスクに分割されます。

エンティティ

エンティティはアラートのコアオブジェクトであり、IPアドレス、ファイル、またはプロセスです。

SOAR

SOARは、イベント対応対策を整理および管理するための自動化されたツールと手順を提供するソリューションです。 SOARは、企業がセキュリティイベントに効率的に対応し、手動の干渉を減らし、イベントの処理効率を向上させるのに役立ちます。

プレイブック

SOARが提供するプレイブックは、事前定義された応答ポリシーで構成される自動セキュリティ管理プロセスです。 プレイブックは、特定のイベントがトリガーされた後に自動的に実行できます。

フローチャートを描くのと同じ方法でプレイブックを作成できます。 プレイブックには、開始、判断、アクション、および終了ノードが含まれます。 キャンバス上の各コンポーネントのアクションを視覚化して定義できます。 たとえば、端末管理コンポーネントのネットワーク無効化アクションを定義できます。

コンポーネント

コンポーネントは、WAF、Cloud Firewall、データベースサービス、通知サービスなどの外部システムまたはサービスに接続するために使用されます。 外部システムまたはサービスへのコネクタとして機能するために、コンポーネントは複雑なロジックを処理しません。 複雑なロジックは、接続された外部システムまたはサービスによって処理されます。 コンポーネントを選択した後、コンポーネントのリソースインスタンスとアクションを選択する必要があります。

コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、およびセキュリティアプリケーションコンポーネントに分類されます。

リソースインスタンス

リソースインスタンスは、コンポーネントが接続される外部サービスを指定します。 たとえば、MySQLコンポーネントを使用し、企業に複数のMySQLデータベースがある場合は、MySQLコンポーネントを接続するデータベースを指定する必要があります。

action

アクションは、コンポーネントの実行能力を指定する。 コンポーネントは複数のアクションを持つことができます。 例えば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、および通知の送信などのアクションをサポートする。

関連ドキュメント