脅威分析および対応機能は、セキュリティアラートの検出、収集されたログの分析、攻撃チェーンの特定、およびセキュリティイベントの生成に使用できる事前定義された検出ルールを提供します。 定義済みの検出ルールを有効または無効にできます。 カスタム検出ルールを作成して、生成されたセキュリティイベントがビジネス要件を満たすようにすることもできます。
マルチアカウント管理
マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ルール管理 ページでカスタム検出ルールを作成したり、データセットを管理したりする前に、適切なビューを選択する必要があります。 サポートされているビューを次に示します。
現在のアカウントビュー: 作成された検出ルールとデータセットは、現在のアカウント内のログデータに対してのみ有効です。
グローバルアカウントビュー: 作成された検出ルールとデータセットは、脅威分析および対応機能で管理されているAlibaba Cloudアカウント内のログデータに有効になります。
詳細については、「複数のアカウントを一元管理」をご参照ください。
検出ルールの管理
検出ルールを使用して、アラートを検出し、クラウドサービスのログを分析できます。 ルールでログ範囲、一致するフィールド、および集計フィールドを指定して、脅威の分析と対応のための自動検出とログ分析のロジックを定義できます。 これにより、ビジネスシステムのセキュリティリスクを効率的に特定できます。 脅威分析および対応機能は、定義済みの検出ルールとカスタム検出ルールをサポートします。 ビジネス要件に基づいて、定義済みの検出ルールを有効または無効にできます。 カスタムのアラートおよびイベント検出ルールを作成することもできます。
定義済みの検出ルールの有効化または無効化
Security Centerは、アラートやイベントを生成するためのさまざまな事前定義済みの検出ルールを提供します。 ルールのタイプは、プロセス異常挙動、ウェブ攻撃成功、悪意のあるドメインクエリ、異常ログイン、異常ネットワークフロー、悪意のあるネットワークアクセス、および異常Webアクセスである。 定義済みの検出ルールの詳細を表示、有効化、または無効化できます。 定義済みの検出ルールは変更または削除できません。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
事前定義済み タブで、定義済みの検出ルールを表示します。
必要に応じて、 必要な事前定義済みの検出ルールを見つけ、操作する 列の [詳細] をクリックして、ルールの基本情報、ロジック、およびイベント生成設定を表示します。
管理する定義済みの検出ルールを見つけ、ルールステータス 列でスイッチをオンまたはオフにします。
カスタム検出ルールの作成
事前定義された検出ルールがビジネス要件を満たさない場合は、次の手順を実行してカスタム検出ルールを作成できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
カスタム タブで、ルールを新しく追加する をクリックします。
ルールを新しく追加する ページで、パラメーターを設定します。
パラメーター
説明
基本情報
ルールに関する基本情報を指定します。
ルールロジックの設定
セキュリティアラートの集計設定を構成します。
ログ範囲: ルールを有効にするログのカテゴリと種類を選択します。
Security Centerは、脅威分析機能に追加されたクラウドサービスに基づいて使用可能なログタイプを表示します。
一致するフィールド: 一致するアラートとイベントに基づいて、フィールドとフィールド値を指定します。 Security Centerは、[ログスコープ] セクションで指定した設定に基づいて、使用可能なフィールドを表示します。
一致するフィールドグループに複数のフィールドを追加できます。 別のフィールドを追加するには、+ フィールドの新規追加 をクリックします。 複数のフィールドは、論理ANDを使用して評価されます。
複数のフィールドグループを作成できます。 別のフィールドグループを作成するには、+ フィールドグループの新規追加 をクリックします。 複数のフィールドグループは、論理ORを使用して評価されます。
集計フィールド: イベント集計に使用するフィールドを選択します。
ログ数のしきい値: アラートが生成される条件を指定します。
統計期間: 集計するアラートの期間を指定します。
Security Centerは、集計フィールドに基づいて、指定された統計期間内に指定されたタイプのログからアラートを集計します。
イベント生成の設定
ルールに基づいて生成されたアラートをイベントに集約するかどうかを指定します。
[はい] を選択した場合、ルールに基づいて生成されたアラートのみがイベントに集約されます。 次のイベント集計方法を使用できます。
組み込みのイベントルールを使用する: ルールに基づいて生成されたアラートは、定義済みイベントに集約されます。 所定のイベントは、所定の検出ルールに基づいて生成されるイベントを指す。
アラートごとに 1 つのイベントが生成されます: 各アラートはイベントに集約されます。
このルールによって生成されたすべてのアラートは 1 つのイベントとして集計されます:
この方法を選択した場合は、実行サイクル パラメーターを設定する必要があります。 Execution cycleパラメーターで指定された期間中、ルールに基づいて生成されたアラートは1つのイベントに集約されます。 指定できる最大期間は24時間です。
必要に応じて、 テスト をクリックし、テスト方法を選択します。 ルールが有効になるかどうかをテストします。
次のテスト方法が利用可能です。
シミュレーションデータ: このテスト方法を選択した場合、ルールが有効になるかどうかをテストするためにSQL文を記述する必要があります。 SQL文を記述するときは、[テスト] ページの [シミュレートされたデータ値] セクションにある例を参照できます。 シミュレートされたデータ値を入力したら、テストする をクリックします。
ビジネスデータ: このテスト方法を選択した場合、実際のビジネスデータを使用して、ルールが有効になるかどうかをテストします。 テストする をクリックすると、ルールに基づいて生成されたアラートとイベントの数の折れ線グラフ、アラートのリスト、イベントのリストが表示されます。
デフォルトでは、テストは7日間実行されます。 オンライン または テストの終了 をクリックして、事前にテストを終了することもできます。 オンライン をクリックすると、ルールはすぐに有効になります。 テストの終了 をクリックした後、アイコンをクリックして [ルール管理] ページに戻る必要があります。 ルールは自動的に作成され、無効になります。
ルールをテストしない場合は、ルールを新しく追加する ページでルール設定を確認し、オンライン をクリックします。
ルールをすぐに有効にしたくない場合は、下書きとして保存する をクリックしてルールを保存します。
カスタム検出ルールの作成後、ルール管理 ページでルールの詳細、テスト、有効化、無効化、編集、および削除を表示できます。
データセットの管理
特定のシナリオに適用可能な複数のデータオブジェクトを一元管理する場合は、データセットを作成し、データセット内のデータオブジェクトを定義できます。 データオブジェクトには、IPアドレスのブラックリストとホワイトリスト、コアアセットのリスト、およびIOC関連のカスタム脅威インテリジェンスが含まれます。 データセットは、カスタムデータリストを維持するために使用される2次元テーブルです。 検出ルールまたはSecurity Orchestration Automation Response (SOAR) プレイブックでデータセットを複数回参照できます。
データセットの作成
左側のナビゲーションウィンドウで、 を選択します。
データセット タブで、データセットの新規追加 をクリックします。 データセットの新規追加 パネルが表示されます。
データセット セクションで、ファイルテンプレートのダウンロード をクリックして、データセットテンプレートファイルをコンピューターにダウンロードします。 データセットテンプレートファイルに必要な情報を入力して保存します。
以下の点にご注意ください。
データセットテンプレートファイルをアップロードする前に、ログの検索と照合に使用される主キーを指定する必要があります。 主キー列にNULLまたは重複する値を含めることはできません。
主キー列に重複する値が含まれている場合、システムは自動的に重複を削除します。
データセットテンプレートファイルのサイズは3 MBを超えることはできません。
データセットテンプレートファイルには、5,000行以下を含めることができます。
データセットテンプレートファイルの各値の長さは200バイトを超えることはできません。
データセットの新規追加 パネルに戻り、[データセット名] および [データセットの説明] パラメーターを設定し、データセットテンプレートファイルをアップロードし、[データセットプライマリキー] パラメーターを設定して、次へ をクリックします。
アップロードされたファイルの値の有効性が自動的にチェックされます。 値が無効な場合は、プロンプトに従って値を変更します。
検証と作成 タブで、アップロードしたファイルの情報を確認し、OK をクリックします。
次に何をすべきか
カスタム検出ルールとSOARプレイブックを作成するときに、データセットを直接参照できます。 詳細については、「セキュリティイベントの処理」および「手順1: プレイブックの作成」をご参照ください。
[データセット] タブのデータセットの 引用された 列で、データセットに関する参照情報を表示できます。
その他の操作
データセットにデータを追加またはデータセットからデータを削除するには、データセットを見つけ、操作する 列の 編集 をクリックします。
データセット内の複数の行を一度に更新するには、コンピューターに保存されているデータセットテンプレートファイルを開いて編集し、[データセット] タブでデータセットを見つけ、操作する 列の 一括更新 をクリックしてファイルをアップロードします。
使用しなくなったデータセットを削除するには、データセットを見つけて、操作する 列の 削除 をクリックします。
説明検出ルールまたはプレイブックで参照されているデータセットは削除できません。
カスタム検出ルールの設定例
このセクションでは、一般的なシナリオでカスタム検出ルールを作成するときに参照できる例を示します。
ユニオンSQLインジェクション
WAFを攻撃するスキャナーのIPアドレス
疑わしい機密コマンドがJavaプロセスで実行される
ホスト総当たり攻撃
マイニングドメイン名に接続されたホスト
HTTPリクエストバースト
関連ドキュメント
システムのセキュリティを確保するために、脅威の分析と対応機能によって生成されるセキュリティイベントをできるだけ早く表示して処理することをお勧めします。 詳細については、「セキュリティイベントの処理」をご参照ください。
脅威分析と応答のログ管理機能を使用して、ログをすばやく照会し、ログに関する情報を表示できます。 これにより、マルチリソース環境でのログ管理の難しさを軽減できます。 詳細については、「ログの管理」をご参照ください。
ルール管理関連のAPI操作を呼び出して、ルールの照会、カスタム検出ルールのステータスの更新、およびカスタム検出ルールの削除を行うことができます。 詳細については、「ルール管理」をご参照ください。