すべてのプロダクト
Search
ドキュメントセンター

Security Center:検出ルールの使用

最終更新日:Dec 06, 2024

脅威分析および対応機能は、セキュリティアラートの検出、収集されたログの分析、攻撃チェーンの特定、およびセキュリティイベントの生成に使用できる事前定義された検出ルールを提供します。 定義済みの検出ルールを有効または無効にできます。 カスタム検出ルールを作成して、生成されたセキュリティイベントがビジネス要件を満たすようにすることもできます。

マルチアカウント管理

マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ルール管理 ページでカスタム検出ルールを作成したり、データセットを管理したりする前に、適切なビューを選択する必要があります。 サポートされているビューを次に示します。

  • 現在のアカウントビュー: 作成された検出ルールとデータセットは、現在のアカウント内のログデータに対してのみ有効です。

  • グローバルアカウントビュー: 作成された検出ルールとデータセットは、脅威分析および対応機能で管理されているAlibaba Cloudアカウント内のログデータに有効になります。

image

詳細については、「複数のアカウントを一元管理」をご参照ください。

検出ルールの管理

検出ルールを使用して、アラートを検出し、クラウドサービスのログを分析できます。 ルールでログ範囲、一致するフィールド、および集計フィールドを指定して、脅威の分析と対応のための自動検出とログ分析のロジックを定義できます。 これにより、ビジネスシステムのセキュリティリスクを効率的に特定できます。 脅威分析および対応機能は、定義済みの検出ルールとカスタム検出ルールをサポートします。 ビジネス要件に基づいて、定義済みの検出ルールを有効または無効にできます。 カスタムのアラートおよびイベント検出ルールを作成することもできます。

定義済みの検出ルールの有効化または無効化

Security Centerは、アラートやイベントを生成するためのさまざまな事前定義済みの検出ルールを提供します。 ルールのタイプは、プロセス異常挙動、ウェブ攻撃成功、悪意のあるドメインクエリ、異常ログイン、異常ネットワークフロー、悪意のあるネットワークアクセス、および異常Webアクセスである。 定義済みの検出ルールの詳細を表示、有効化、または無効化できます。 定義済みの検出ルールは変更または削除できません。

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理を選択します。

  3. 事前定義済み タブで、定義済みの検出ルールを表示します。image

  4. 必要に応じて、 必要な事前定義済みの検出ルールを見つけ、操作する 列の [詳細] をクリックして、ルールの基本情報、ロジック、およびイベント生成設定を表示します。

  5. 管理する定義済みの検出ルールを見つけ、ルールステータス 列でスイッチをオンまたはオフにします。

    image

カスタム検出ルールの作成

事前定義された検出ルールがビジネス要件を満たさない場合は、次の手順を実行してカスタム検出ルールを作成できます。

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理を選択します。

  3. カスタム タブで、ルールを新しく追加する をクリックします。

  4. ルールを新しく追加する ページで、パラメーターを設定します。

    パラメーター

    説明

    基本情報

    ルールに関する基本情報を指定します。

    • ルール名: ルールの名前を入力します。

    • ルール説明: 識別しやすいルールの説明を入力します。

    • 脅威レベル: ドロップダウンリストからルールを使用して生成するアラートまたはイベントのリスクレベルを選択します。 リスクレベルの詳細については、「リスクレベル」をご参照ください。

    • 脅威のタイプ: ドロップダウンリストからルールを使用して識別する脅威の種類を選択します。 アラートタイプの詳細については、「アラートタイプ」をご参照ください。

    ルールロジックの設定

    セキュリティアラートの集計設定を構成します。

    • ログ範囲: ルールを有効にするログのカテゴリと種類を選択します。

      Security Centerは、脅威分析機能に追加されたクラウドサービスに基づいて使用可能なログタイプを表示します。

    • 一致するフィールド: 一致するアラートとイベントに基づいて、フィールドとフィールド値を指定します。 Security Centerは、[ログスコープ] セクションで指定した設定に基づいて、使用可能なフィールドを表示します。

      フィールド演算子の説明

      • >: より大きい。 数値型のフィールドがサポートされています。

      • >=: より大きいか等しい。 数値型のフィールドがサポートされています。

      • <: 未満。 数値型のフィールドがサポートされています。

      • <=: 以下。 数値型のフィールドがサポートされています。

      • =: 等しい。 数値型と文字列型のフィールドがサポートされています。

      • <>: と等しくありません。 数値型と文字列型のフィールドがサポートされています。

      • LIKE: この演算子は、標準SQLのLIKE構文に準拠しています。 string型のフィールドがサポートされています。

      • NOT LIKE: この演算子は、標準SQLのNOT LIKE構文に準拠しています。 string型のフィールドがサポートされています。

      • IN: この演算子は、指定された値がセット内の任意の値と一致するかどうかを確認するために使用されます。 複数のフィールド値はコンマ (,) で区切ります。 string型のフィールド値がサポートされています。

      • NOT IN: この演算子は、指定された値がセット内のどの値とも一致しないかを確認するために使用されます。 複数のフィールド値はコンマ (,) で区切ります。 string型のフィールド値がサポートされています。

      • REGEXP: 正規表現はフィールド演算子として使用されます。 string型のフィールドがサポートされています。

      • NOT REGEXP: 正規表現は、一致しないフィールドを識別するためのフィールド演算子として使用されます。 string型のフィールドがサポートされています。

      • 脅威検出: 脅威検出ルールが使用されます。 このルールは、src_ip、dst_ip、domain、url、およびmd5フィールドに対してのみ有効です。 フィールドが脅威検出データベースの特定のフィールドと一致する場合、trueが返されます。

      • NOT_IN_IP_DATASET: この演算子は、指定されたデータセットの主キー値と一致しないフィールドを識別するために使用されます。 データセットの主キー列にIPアドレスとCIDRブロックのみが含まれていることを確認します。

      • IN_IP_DATASET: この演算子は、指定されたデータセットの主キー値と一致するフィールドを識別するために使用されます。 データセットの主キー列にIPアドレスとCIDRブロックのみが含まれていることを確認します。

      • NOT_IN_IDATASET: この演算子は、指定されたデータセットの主キー値と一致しないフィールドを識別するために使用されます。 データセットの主キー列に文字列値のみが含まれていることを確認します。

      • IN_DATASET: この演算子は、指定されたデータセットの主キー値と一致するフィールドを識別するために使用されます。 データセットの主キー列に文字列値のみが含まれていることを確認します。

      • 一致するフィールドグループに複数のフィールドを追加できます。 別のフィールドを追加するには、+ フィールドの新規追加 をクリックします。 複数のフィールドは、論理ANDを使用して評価されます。

      • 複数のフィールドグループを作成できます。 別のフィールドグループを作成するには、+ フィールドグループの新規追加 をクリックします。 複数のフィールドグループは、論理ORを使用して評価されます。

    • 集計フィールド: イベント集計に使用するフィールドを選択します。

    • ログ数のしきい値: アラートが生成される条件を指定します。

    • 統計期間: 集計するアラートの期間を指定します。

      Security Centerは、集計フィールドに基づいて、指定された統計期間内に指定されたタイプのログからアラートを集計します。

    イベント生成の設定

    ルールに基づいて生成されたアラートをイベントに集約するかどうかを指定します。

    [はい] を選択した場合、ルールに基づいて生成されたアラートのみがイベントに集約されます。 次のイベント集計方法を使用できます。

    • 組み込みのイベントルールを使用する: ルールに基づいて生成されたアラートは、定義済みイベントに集約されます。 所定のイベントは、所定の検出ルールに基づいて生成されるイベントを指す。

    • アラートごとに 1 つのイベントが生成されます: 各アラートはイベントに集約されます。

    • このルールによって生成されたすべてのアラートは 1 つのイベントとして集計されます:

      この方法を選択した場合は、実行サイクル パラメーターを設定する必要があります。 Execution cycleパラメーターで指定された期間中、ルールに基づいて生成されたアラートは1つのイベントに集約されます。 指定できる最大期間は24時間です。

  5. 必要に応じて、 テスト をクリックし、テスト方法を選択します。 ルールが有効になるかどうかをテストします。

    次のテスト方法が利用可能です。

    • シミュレーションデータ: このテスト方法を選択した場合、ルールが有効になるかどうかをテストするためにSQL文を記述する必要があります。 SQL文を記述するときは、[テスト] ページの [シミュレートされたデータ値] セクションにある例を参照できます。 シミュレートされたデータ値を入力したら、テストする をクリックします。

    • ビジネスデータ: このテスト方法を選択した場合、実際のビジネスデータを使用して、ルールが有効になるかどうかをテストします。 テストする をクリックすると、ルールに基づいて生成されたアラートとイベントの数の折れ線グラフ、アラートのリスト、イベントのリストが表示されます。

    デフォルトでは、テストは7日間実行されます。 オンライン または テストの終了 をクリックして、事前にテストを終了することもできます。 オンライン をクリックすると、ルールはすぐに有効になります。 テストの終了 をクリックした後、返回图标アイコンをクリックして [ルール管理] ページに戻る必要があります。 ルールは自動的に作成され、無効になります。

  6. ルールをテストしない場合は、ルールを新しく追加する ページでルール設定を確認し、オンライン をクリックします。

    ルールをすぐに有効にしたくない場合は、下書きとして保存する をクリックしてルールを保存します。

カスタム検出ルールの作成後、ルール管理 ページでルールの詳細、テスト、有効化、無効化、編集、および削除を表示できます。

データセットの管理

特定のシナリオに適用可能な複数のデータオブジェクトを一元管理する場合は、データセットを作成し、データセット内のデータオブジェクトを定義できます。 データオブジェクトには、IPアドレスのブラックリストとホワイトリスト、コアアセットのリスト、およびIOC関連のカスタム脅威インテリジェンスが含まれます。 データセットは、カスタムデータリストを維持するために使用される2次元テーブルです。 検出ルールまたはSecurity Orchestration Automation Response (SOAR) プレイブックでデータセットを複数回参照できます。

データセットの作成

  1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理を選択します。

  2. データセット タブで、データセットの新規追加 をクリックします。 データセットの新規追加 パネルが表示されます。

  3. データセット セクションで、ファイルテンプレートのダウンロード をクリックして、データセットテンプレートファイルをコンピューターにダウンロードします。 データセットテンプレートファイルに必要な情報を入力して保存します。

    以下の点にご注意ください。

    • データセットテンプレートファイルをアップロードする前に、ログの検索と照合に使用される主キーを指定する必要があります。 主キー列にNULLまたは重複する値を含めることはできません。

      主キー列に重複する値が含まれている場合、システムは自動的に重複を削除します。

    • データセットテンプレートファイルのサイズは3 MBを超えることはできません。

    • データセットテンプレートファイルには、5,000行以下を含めることができます。

    • データセットテンプレートファイルの各値の長さは200バイトを超えることはできません。

  4. データセットの新規追加 パネルに戻り、[データセット名] および [データセットの説明] パラメーターを設定し、データセットテンプレートファイルをアップロードし、[データセットプライマリキー] パラメーターを設定して、次へ をクリックします。

    アップロードされたファイルの値の有効性が自動的にチェックされます。 値が無効な場合は、プロンプトに従って値を変更します。

  5. 検証と作成 タブで、アップロードしたファイルの情報を確認し、OK をクリックします。

次に何をすべきか

カスタム検出ルールとSOARプレイブックを作成するときに、データセットを直接参照できます。 詳細については、「セキュリティイベントの処理」および「手順1: プレイブックの作成」をご参照ください。

[データセット] タブのデータセットの 引用された 列で、データセットに関する参照情報を表示できます。

image.png

その他の操作

  • データセットにデータを追加またはデータセットからデータを削除するには、データセットを見つけ、操作する 列の 編集 をクリックします。

  • データセット内の複数の行を一度に更新するには、コンピューターに保存されているデータセットテンプレートファイルを開いて編集し、[データセット] タブでデータセットを見つけ、操作する 列の 一括更新 をクリックしてファイルをアップロードします。

  • 使用しなくなったデータセットを削除するには、データセットを見つけて、操作する 列の 削除 をクリックします。

    説明

    検出ルールまたはプレイブックで参照されているデータセットは削除できません。

カスタム検出ルールの設定例

このセクションでは、一般的なシナリオでカスタム検出ルールを作成するときに参照できる例を示します。

ユニオンSQLインジェクション

パラメーター

サンプル設定

基本情報

ルール名

sql_injection

ルールの説明

ユニオンSQLインジェクション

脅威レベル

高リスク

脅威タイプ

異常なネットワークトラフィック

ルールロジックの設定

ログスコープ

  • ログカテゴリドロップダウンリストから [HTTPアクティビティ] を選択します。

  • ログタイプのドロップダウンリストから、ALBレイヤー7ログCLBレイヤー7ログインターネットHTTPログAnti-DDoS ProログWAFフローログCDNフローログAnti-DDoSログを選択します。

マッチフィールド

[フィールドグループ1の照合] セクションで、[request_parameters] を選択し、[REGEXP] を選択してから、union\b[\s\S]+ select\bと入力します。

Aggregationフィールド

このパラメーターをスキップします。

最大ログ

このパラメーターをスキップします。

統計期間

このパラメーターをスキップします。

イベント生成設定

ルールトリガーアラートをイベントに集約する

必須

イベント生成方法

ルールでトリガーされるすべてのアラートをイベントに集約する

実行サイクル

24 時間

WAFを攻撃するスキャナーのIPアドレス

パラメーター

サンプル設定

基本情報

ルール名

web_scanner_ip

ルールの説明

WAFを攻撃するスキャナーのIPアドレス

脅威レベル

高リスク

脅威タイプ

悪意のあるネットワーク活動

ルールロジックの設定

ログスコープ

  • ログカテゴリドロップダウンリストから [HTTPアクティビティ] を選択します。

  • ログタイプドロップダウンリストから [WAFフローログ] を選択します。

マッチフィールド

[フィールドグループ1の一致] セクションで次のフィールドを指定します。

  • フィールド1: status=、および405

  • フィールド2: final_plugin=、およびwaf

Aggregationフィールド

domain

最大ログ

次の操作を順番に実行します。[カウント] を選択し、[final_rule_type] を選択し、>= を選択してから2を入力します。

統計期間

2分

イベント生成設定

ルールトリガーアラートをイベントに集約する

選択可能

疑わしい機密コマンドがJavaプロセスで実行される

パラメーター

サンプル設定

基本情報

ルール名

java_exec_suspious_command

ルールの説明

Javaプロセスによって実行される疑わしい機密コマンド

脅威レベル

高リスク

脅威タイプ

疑わしいプロセス

ルールロジックの設定

ログスコープ

  • [ログカテゴリ] ドロップダウンリストから [プロセスアクティビティ] を選択します。

  • ログタイプドロップダウンリストから [スタートアップログの処理] を選択します。

マッチフィールド

  • Matchフィールドグループ1

    • フィールド1: parent_proc_pathLIKE、および %/java %

    • フィールド2: proc_pathLIKE、および %/id %

  • Matchフィールドグループ2

    • フィールド1: parent_proc_pathLIKE、および %/java %

    • フィールド2: proc_pathLIKE、および %/ifconfig %

  • Matchフィールドグループ3

    • フィールド1: parent_proc_pathLIKE、および %/java %

    • フィールド2: proc_pathLIKE、および %/whoami %

  • Matchフィールドグループ4

    • フィールド1: parent_proc_pathLIKE、および %/java %

    • フィールド2: proc_pathLIKE、および %/curl %

  • Matchフィールドグループ5

    • フィールド1: parent_proc_pathLIKE、および %/java %

    • フィールド2: proc_pathLIKE、および %/wget %

Aggregationフィールド

このパラメーターをスキップします。

最大ログ

このパラメーターをスキップします。

統計期間

このパラメーターをスキップします。

イベント生成設定

ルールトリガーアラートをイベントに集約する

選択可能

ホスト総当たり攻撃

パラメーター

サンプル設定

基本情報

ルール名

host_crack

ルールの説明

ホストのブルートフォース攻撃

脅威レベル

高リスク

脅威タイプ

珍しいログオン

ルールロジックの設定

ログスコープ

  • [ログカテゴリ] ドロップダウンリストから [ログオンアクティビティ] を選択します。

  • ログタイプドロップダウンリストから [失敗したホストログインログ] を選択します。

マッチフィールド

[フィールドグループ1の一致] セクションで次のフィールドを指定します。

  • フィールド1: src_ipNOT LIKE、および10.%

  • フィールド2: src_ipNOT LIKE192.168.%

  • フィールド3: src_ipNOT REGEXP、および172\.1[6-9]\

  • フィールド4: src_ipNOT REGEXP、および172\.2[0-9]\

  • フィールド5: src_ipNOT REGEXP、および172\.3[0-1]\

Aggregationフィールド

host_uuidおよびsrc_ipを選択します。

最大ログ

次の操作を順番に実行します。[合計] を選択し、[接続_カウント] を選択し、>= を選択してから5を入力します。

統計期間

3分

イベント生成設定

ルールトリガーアラートをイベントに集約する

選択可能

マイニングドメイン名に接続されたホスト

パラメーター

サンプル設定

基本情報

ルール名

minner_domain

ルールの説明

マイニングドメイン名に接続されたホスト

脅威レベル

高リスク

脅威タイプ

異常なネットワーク接続

ルールロジックの設定

ログスコープ

  • [ログカテゴリ] ドロップダウンリストから [DNSアクティビティ] を選択します。

  • ログタイプドロップダウンリストから、[インターネットDNSログ] および [DNSログ] を選択します。

マッチフィールド

[フィールドグループ1の一致] セクションで次のフィールドを指定します。

  • フィールド1: dns_query_nameLIKE% cryptonight.net %

  • フィールド2: dns_query_nameLIKE% minexmr.org %

  • フィールド3: dns_query_nameLIKE% xmrpool.com %

Aggregationフィールド

このパラメーターをスキップします。

最大ログ

このパラメーターをスキップします。

統計期間

このパラメーターをスキップします。

イベント生成設定

ルールトリガーアラートをイベントに集約する

選択可能

HTTPリクエストバースト

パラメーター

サンプル設定

基本情報

ルール名

web_access_overload

ルールの説明

HTTPリクエストバースト

脅威レベル

高リスク

脅威タイプ

異常なネットワークトラフィック

ルールロジックの設定

ログスコープ

  • ログカテゴリドロップダウンリストから [HTTPアクティビティ] を選択します。

  • ログタイプのドロップダウンリストから、ALBレイヤー7ログCLBレイヤー7ログインターネットHTTPログAnti-DDoS ProログWAFフローログCDNフローログAnti-DDoSログを選択します。

マッチフィールド

[フィールドグループ1の一致] セクションで、[status] を選択し、[LIKE] を選択し、2% を入力します。

Aggregationフィールド

domain

最大ログ

次の操作を順番に実行します。countを選択、request_urlを選択、>= を選択し、60000を入力します。

統計期間

1分

イベント生成設定

ルールトリガーアラートをイベントに集約する

選択可能

関連ドキュメント

  • システムのセキュリティを確保するために、脅威の分析と対応機能によって生成されるセキュリティイベントをできるだけ早く表示して処理することをお勧めします。 詳細については、「セキュリティイベントの処理」をご参照ください。

  • 脅威分析と応答のログ管理機能を使用して、ログをすばやく照会し、ログに関する情報を表示できます。 これにより、マルチリソース環境でのログ管理の難しさを軽減できます。 詳細については、「ログの管理」をご参照ください。

  • ルール管理関連のAPI操作を呼び出して、ルールの照会、カスタム検出ルールのステータスの更新、およびカスタム検出ルールの削除を行うことができます。 詳細については、「ルール管理」をご参照ください。