ますます複雑化するネットワークセキュリティ環境では、組織や企業は、分散システム内の大量のアラートやログを効果的に監視および管理する方法に関する課題に直面しています。 これらの課題に対処するために、Security Centerは脅威の分析と対応機能を提供します。 この機能を使用して、マルチクラウド環境の異なるアカウント内の複数のクラウドサービスのアラートとログを一元管理できます。 この機能は、O&Mの効率を向上させ、潜在的なリスクに対応するのに役立ちます。
背景情報
仕組み
脅威の分析と対応機能は、セキュリティ情報とイベントのクラウドネイティブ管理ソリューションを提供します。 この機能は、ログ収集、アラート生成、イベントの集計と分析、イベントの応答とオーケストレーションなどの機能を提供します。
この機能は、複数のクラウドサービスプロバイダーの異なるアカウントとクラウドサービスからログを収集します。 この機能は、事前定義されたカスタム検出ルールに基づいて収集されたログを分析し、攻撃を識別し、完全な攻撃チェーンを構築し、詳細情報を含むセキュリティイベントを生成します。 この機能は、セキュリティの脅威を検出すると、security Orchestration Automation Response (SOAR) を有効にし、関連するAlibaba Cloudサービスと連携して脅威ソースを処理します。 処理操作には、ブロッキングと検疫が含まれます。 これにより、セキュリティイベントの処理効率が向上します。
メリット
標準化されたデータ収集
この機能は、アラートログ、ネットワークログ、システムログ、アプリケーションログなど、サービス、アカウント、クラウドプラットフォーム全体のさまざまなログを収集します。 このようにして、データが標準化され、コンテキストが強化される。
多次元脅威検出
この機能は、マルチソースのデータ関連付け分析、AI画像ベースのコンピューティングと推論、リアルタイムで更新される脅威インテリジェンスなどの脅威検出方法を使用することにより、サウスバウンドのセキュリティデバイスのシングルポイント脅威検出機能を強化します。 この機能は、事前定義されたデータソース間の脅威検出ルールと、エキスパートルール、グラフコンピューティング、アラート送信、および同じタイプの集約のタイプのイベント分析モデルを提供します。
効率的なイベント調査
この機能は、関連するアラートを集約してセキュリティイベントを生成し、攻撃のタイムラインとパスを自動的に再構築します。 アラートによってトリガーされるセキュリティイベントのエラー率は0.0001% のみです。 これにより、イベント調査コンテキストが強化され、アラートとイベント処理が高速化されます。
自動応答とオーケストレーション
この機能は、複数のサービスと連携した自動応答ルールとプレイブックに基づいて、悪意のあるエンティティを自動的に処理します。 悪意のあるエンティティは、悪意のあるIPアドレス、ファイル、およびプロセスを含む。 このようにして、緊急対応エクスペリエンスが合理化され、正規化され、自動化されます。
サポートされているクラウドサービスとログタイプ
脅威分析および対応機能は、20を超えるクラウドサービスと50を超えるログタイプをサポートします。 次の表に、サポートされているクラウドサービスとログタイプを示します。
クラウドサービスプロバイダ | サービス | ログタイプ |
Alibaba Cloud | Security Center |
|
Web Application Firewall (WAF) | WAFのアラートログとフローログ、およびWAF 3.0のフローログ | |
Cloud Firewall | Cloud Firewallのアラートログとフローログ | |
Anti-DDoS | Anti-DDoS Proxy (中国本土) のフローログ、Anti-DDoS Proxyのフローログ、およびAnti-DDoS Originのログ | |
Bastionhost | Bastionhostログ | |
CDN | Alibaba Cloud CDN (CDN) のフローログとCDN WAFのフローログ | |
API Gateway | API Gatewayログ | |
Container Service for Kubernetes (ACK) | Kubernetesリソースの監査ログ | |
PolarDB | PolarDB-X 1.0およびPolarDB-X 2.0の監査ログ | |
ApsaraDB for MongoDB | ApsaraDB for MongoDBの操作ログと監査ログ | |
ApsaraDB RDS | ApsaraDB RDSの監査ログ | |
Virtual Private Cloud (VPC) | VPCのフローログ | |
Elastic IP Address (EIP) | EIPのフローログ | |
Server Load Balancer (SLB) | Classic Load Balancer (CLB) のレイヤー7ログとApplication Load Balancer (ALB) のフローログ | |
Object Storage Service (OSS) | OSSの一括削除ログ、計測ログ、フローログ | |
Apsara File Storage NAS | NAS NFSの操作ログ | |
Function Compute (FC) | Function Computeの操作ログ | |
ActionTrail | ActionTrailログ | |
CloudConfig | Cloud Configログ | |
Dynamic Content Delivery Network (DCDN) | DCDNのEdgeRoutineログ、アクセスログ、およびWAFログ | |
Tencentクラウド | WAF | WAFのアラートログ |
Cloud Firewall | Cloud Firewallのアラートログ | |
Huawei Cloud | WAF | WAFのアラートログ |
Cloud Firewall | Cloud Firewallのアラートログ |
脅威の分析と対応機能の購入と有効化
に移動します。Go to theセキュリティセンター購入ページAlibaba Cloudアカウントでログインします。
脅威の分析と対応 パラメーターを はい に設定し、ログアクセストラフィック および ログストレージ容量 パラメーターを設定します。
以下の情報は、関連するパラメータを説明する。 セキュリティセンターのエディションを選択し、その他の機能を購入する方法の詳細については、「Security Centerの購入」をご参照ください。
ログアクセストラフィック: 必須。 毎日の分析のために脅威分析および応答機能に追加するログの量を指定します。 単位: GB-day。 次のいずれかの方法を使用して、Log Data to Addパラメーターの値を評価できます。
購入したログストレージ容量に基づいて値を評価します。
追加するログデータの値パラメーター (GB-day) =ログストレージ容量 /TTL × 4
ログストレージ容量は、脅威分析および対応機能に追加するログで使用されるストレージ容量を指定します。
生存時間 (TTL) は、ログの保持期間を指定します。
図4は、ログ圧縮率を示し、これは、ディスクのログ記憶容量に対するログアクセストラフィックの比率である。 対数圧縮比は3から6の範囲である。 比率を4に設定することを推奨します。
脅威分析および応答機能に追加するログの1秒あたりのイベント (EPS) に基づいて値を評価します。
追加するログデータの値 (GB-day) = EPS × 86,400s × SIZE/(1,024 × 1,024)
EPSは、1日以内に脅威分析および対応機能に追加される生ログの数を指定します。
SIZEは、各ログのサイズを指定します。 ほとんどの場合、サイズは3 KBから7 KBの範囲です。
ログストレージ容量: オプション。 ホットストレージに保存するログの量を指定します。 脅威の分析と対応機能は、ログをホットストレージとコールドストレージに保存します。 この機能を使用してログをホットストレージにのみ保存する場合は、サーバーごとに120 GBのログストレージ容量を購入することをお勧めします。 ログ分析機能のログストレージ容量を購入した場合、脅威分析および応答機能のログストレージ容量パラメーターを、ログ分析機能の購入したログストレージ容量の3倍の値に設定することを推奨します。 詳細については、「ログの管理」をご参照ください。
読み取りと選択セキュリティセンター利用規約をクリックします。今すぐ購入、そして支払いを完了します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
脅威の分析と応答 ページで、今すぐ権限付与 をクリックします。
デフォルトでは、Alibaba Cloud Security Center、Web Application Firewall、Cloud Firewall のアラートログに自動的にアクセスして、クラウド上のセキュリティイベントを特定します。。 承認が完了すると、現在のログオンアカウントに属するSecurity Center、WAF、およびCloud Firewallのアラートログが追加されます。 詳細情報を表示するには、プロダクトアクセス ページに移動します。 セキュリティセンターは、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールを自動的に作成します。 脅威分析および対応機能は、他のクラウドサービスのリソースにアクセスするためにこの役割を引き受けます。 AliyunServiceRoleForSasCloudSiemの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
脅威分析および対応機能を有効にした後のSecurity Centerコンソールでの変更
条件
脅威分析および応答機能を使用する前に、機能に関連する用語を理解する必要があります。 次の表は、用語を説明する。
期間 | 説明 |
取り扱いポリシー | 処理ポリシーは、シナリオ固有のアラート処理の詳細を記述します。 シナリオ内のエンティティの処理結果に基づいて、処理ポリシーが生成されます。 |
処理タスク | 処理タスクは、スコープ固有のアラート処理の詳細を説明します。 シナリオ内のエンティティのイベント処理プロセスは、スコープに基づいて複数の処理タスクに分割されます。 |
エンティティ | エンティティはアラートのコアオブジェクトであり、IPアドレス、ファイル、またはプロセスです。 |
SOAR | SOARは、イベント対応対策を整理および管理するための自動化されたツールと手順を提供するソリューションです。 SOARは、企業がセキュリティイベントに効率的に対応し、手動の干渉を減らし、イベントの処理効率を向上させるのに役立ちます。 |
プレイブック | SOARが提供するプレイブックは、事前定義された応答ポリシーで構成される自動セキュリティ管理プロセスです。 プレイブックは、特定のイベントがトリガーされた後に自動的に実行できます。 フローチャートを描くのと同じ方法でプレイブックを作成できます。 プレイブックには、開始、判断、アクション、および終了ノードが含まれます。 キャンバス上の各コンポーネントのアクションを視覚化して定義できます。 たとえば、端末管理コンポーネントのネットワーク無効化アクションを定義できます。 |
コンポーネント | コンポーネントは、WAF、Cloud Firewall、データベースサービス、通知サービスなどの外部システムまたはサービスに接続するために使用されます。 外部システムまたはサービスへのコネクタとして機能するために、コンポーネントは複雑なロジックを処理しません。 複雑なロジックは、接続された外部システムまたはサービスによって処理されます。 コンポーネントを選択した後、コンポーネントのリソースインスタンスとアクションを選択する必要があります。 コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、およびセキュリティアプリケーションコンポーネントに分類されます。 |
リソースインスタンス | リソースインスタンスは、コンポーネントが接続される外部サービスを指定します。 たとえば、MySQLコンポーネントを使用し、企業に複数のMySQLデータベースがある場合は、MySQLコンポーネントを接続するデータベースを指定する必要があります。 |
action | アクションは、コンポーネントの実行能力を指定する。 コンポーネントは複数のアクションを持つことができます。 例えば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、および通知の送信などのアクションをサポートする。 |
関連ドキュメント
脅威分析と対応機能を有効にすると、クラウドサービスのログを機能に追加して、リソース全体のアラートとログを集中的に監視および分析できます。 詳細については、「クラウドサービスのログの追加」をご参照ください。