アラートをセキュリティイベントに集約するルールを設定する - Security Center

脅威分析および対応機能は、セキュリティアラートの検出、収集されたログの分析、攻撃チェーンの特定、およびセキュリティイベントの生成に使用できる事前定義された検出ルールを提供します。定義済みの検出ルールを有効または無効にできます。カスタム検出ルールを作成して、生成されたセキュリティイベントがビジネス要件を満たすようにすることもできます。

マルチアカウント管理

マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ルール管理 ページでカスタム検出ルールを作成したり、データセットを管理したりする前に、適切なビューを選択する必要があります。サポートされているビューを次に示します。

現在のアカウントビュー: 作成された検出ルールとデータセットは、現在のアカウント内のログデータに対してのみ有効です。
グローバルアカウントビュー: 作成された検出ルールとデータセットは、脅威分析および対応機能で管理されているAlibaba Cloudアカウント内のログデータに有効になります。

詳細については、「複数のアカウントを一元管理」をご参照ください。

検出ルールの管理

検出ルールを使用して、アラートを検出し、クラウドサービスのログを分析できます。ルールでログ範囲、一致するフィールド、および集計フィールドを指定して、脅威の分析と対応のための自動検出とログ分析のロジックを定義できます。これにより、ビジネスシステムのセキュリティリスクを効率的に特定できます。脅威分析および対応機能は、定義済みの検出ルールとカスタム検出ルールをサポートします。ビジネス要件に基づいて、定義済みの検出ルールを有効または無効にできます。カスタムのアラートおよびイベント検出ルールを作成することもできます。

定義済みの検出ルールの有効化または無効化

Security Centerは、アラートやイベントを生成するためのさまざまな事前定義済みの検出ルールを提供します。ルールのタイプは、プロセス異常挙動、ウェブ攻撃成功、悪意のあるドメインクエリ、異常ログイン、異常ネットワークフロー、悪意のあるネットワークアクセス、および異常Webアクセスである。定義済みの検出ルールの詳細を表示、有効化、または無効化できます。定義済みの検出ルールは変更または削除できません。

Security Centerコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理を選択します。
事前定義済み タブで、定義済みの検出ルールを表示します。
オプションです。必要な事前定義済みの検出ルールを見つけ、操作する 列の詳細をクリックして、ルールの基本情報、ロジック、およびイベント生成設定を表示します。
管理する定義済みの検出ルールを見つけ、Basic information 列でスイッチをオンまたはオフにします。

カスタム検出ルールの作成

事前定義された検出ルールがビジネス要件を満たさない場合は、次の手順を実行してカスタム検出ルールを作成できます。

Security Centerコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理を選択します。
カスタム タブで、ルールを新しく追加する をクリックします。

ルールを新しく追加する ページで、パラメーターを設定します。

パラメーター	説明
基本情報	ルールに関する基本情報を指定します。ルール名: ルールの名前を入力します。ルールの説明: 識別しやすいルールの説明を入力します。脅威レベル: ドロップダウンリストからルールを使用して生成するアラートまたはイベントのリスクレベルを選択します。リスクレベルの詳細については、「リスクレベル」をご参照ください。脅威のタイプ: ドロップダウンリストからルールを使用して識別する脅威の種類を選択します。アラートタイプの詳細については、「アラートタイプ」をご参照ください。
ルールロジックの設定	セキュリティアラートの集計設定を構成します。ログ範囲: ルールを有効にするログのカテゴリと種類を選択します。 Security Centerは、脅威分析機能に追加されたクラウドサービスに基づいて使用可能なログタイプを表示します。一致するフィールド: 一致するアラートとイベントに基づいて、フィールドとフィールド値を指定します。 Security Centerは、[ログスコープ] セクションで指定した設定に基づいて、使用可能なフィールドを表示します。フィールド演算子の説明 >: より大きい。数値型のフィールドがサポートされています。 >=: より大きいか等しい。数値型のフィールドがサポートされています。 <: 未満。数値型のフィールドがサポートされています。 <=: 以下。数値型のフィールドがサポートされています。 =: 等しい。数値型と文字列型のフィールドがサポートされています。 <>: と等しくありません。数値型と文字列型のフィールドがサポートされています。 LIKE: この演算子は、標準SQLのLIKE構文に準拠しています。 string型のフィールドがサポートされています。 NOT LIKE: この演算子は、標準SQLのNOT LIKE構文に準拠しています。 string型のフィールドがサポートされています。 IN: この演算子は、指定された値がセット内の任意の値と一致するかどうかを確認するために使用されます。複数のフィールド値はコンマ (,) で区切ります。 string型のフィールド値がサポートされています。 NOT IN: この演算子は、指定された値がセット内のどの値とも一致しないかを確認するために使用されます。複数のフィールド値はコンマ (,) で区切ります。 string型のフィールド値がサポートされています。 REGEXP: 正規表現はフィールド演算子として使用されます。 string型のフィールドがサポートされています。 NOT REGEXP: 正規表現は、一致しないフィールドを識別するためのフィールド演算子として使用されます。 string型のフィールドがサポートされています。脅威検出: 脅威検出ルールが使用されます。このルールは、src_ip、dst_ip、domain、url、およびmd5フィールドに対してのみ有効です。フィールドが脅威検出データベースの特定のフィールドと一致する場合、trueが返されます。 NOT_IN_IP_DATASET: この演算子は、指定されたデータセットの主キー値と一致しないフィールドを識別するために使用されます。データセットの主キー列にIPアドレスとCIDRブロックのみが含まれていることを確認します。 IN_IP_DATASET: この演算子は、指定されたデータセットの主キー値と一致するフィールドを識別するために使用されます。データセットの主キー列にIPアドレスとCIDRブロックのみが含まれていることを確認します。 NOT_IN_IDATASET: この演算子は、指定されたデータセットの主キー値と一致しないフィールドを識別するために使用されます。データセットの主キー列に文字列値のみが含まれていることを確認します。 IN_DATASET: この演算子は、指定されたデータセットの主キー値と一致するフィールドを識別するために使用されます。データセットの主キー列に文字列値のみが含まれていることを確認します。一致するフィールドグループに複数のフィールドを追加できます。別のフィールドを追加するには、+ フィールドの新規追加をクリックします。複数のフィールドは、論理ANDを使用して評価されます。複数のフィールドグループを作成できます。別のフィールドグループを作成するには、+ フィールドグループの新規追加をクリックします。複数のフィールドグループは、論理ORを使用して評価されます。集計フィールド: イベント集計に使用するフィールドを選択します。ログ数のしきい値: アラートが生成される条件を指定します。統計期間: 集計するアラートの期間を指定します。 Security Centerは、集計フィールドに基づいて、指定された統計期間内に指定されたタイプのログからアラートを集計します。
イベント生成の設定	ルールに基づいて生成されたアラートをイベントに集約するかどうかを指定します。はいを選択した場合、ルールに基づいて生成されたアラートのみがイベントに集約されます。次のイベント集計方法を使用できます。組み込みのイベントルールを使用する: ルールに基づいて生成されたアラートは、定義済みイベントに集約されます。所定のイベントは、所定の検出ルールに基づいて生成されるイベントを指す。アラートごとに 1 つのイベントが生成されます: 各アラートはイベントに集約されます。このルールによって生成されたすべてのアラートは 1 つのイベントとして集計されます: この方法を選択した場合は、実行サイクルパラメーターを設定する必要があります。 Execution cycleパラメーターで指定された期間中、ルールに基づいて生成されたアラートは1つのイベントに集約されます。指定できる最大期間は24時間です。

オプションです。 テスト をクリックし、テスト方法を選択します。ルールが有効になるかどうかをテストします。
次のテスト方法が利用可能です。
- シミュレーションデータ: このテスト方法を選択した場合、ルールが有効になるかどうかをテストするためにSQL文を記述する必要があります。 SQL文を記述するときは、[テスト] ページの [シミュレートされたデータ値] セクションにある例を参照できます。シミュレートされたデータ値を入力したら、テストする をクリックします。
- ビジネスデータ: このテスト方法を選択した場合、実際のビジネスデータを使用して、ルールが有効になるかどうかをテストします。 テストする をクリックすると、ルールに基づいて生成されたアラートとイベントの数の折れ線グラフ、アラートのリスト、イベントのリストが表示されます。
デフォルトでは、テストは7日間実行されます。 オンライン または テストの終了 をクリックして、事前にテストを終了することもできます。 オンライン をクリックすると、ルールはすぐに有効になります。 テストの終了 をクリックした後、アイコンをクリックして [ルール管理] ページに戻る必要があります。ルールは自動的に作成され、無効になります。
ルールをテストしない場合は、ルールを新しく追加する ページでルール設定を確認し、オンライン をクリックします。
ルールをすぐに有効にしたくない場合は、下書きとして保存する をクリックしてルールを保存します。

カスタム検出ルールの作成後、ルール管理 ページでルールの詳細、テスト、有効化、無効化、編集、および削除を表示できます。

データセットの管理

特定のシナリオに適用可能な複数のデータオブジェクトを一元管理する場合は、データセットを作成し、データセット内のデータオブジェクトを定義できます。データオブジェクトには、IPアドレスのブラックリストとホワイトリスト、コアアセットのリスト、およびIOC関連のカスタム脅威インテリジェンスが含まれます。データセットは、カスタムデータリストを維持するために使用される2次元テーブルです。検出ルールまたはSecurity Orchestration Automation Response (SOAR) プレイブックでデータセットを複数回参照できます。

データセットの作成

左側のナビゲーションウィンドウで、脅威の分析と応答 > ルール管理.
データセット タブで、データセットの新規追加 をクリックします。 データセットの新規追加 パネルが表示されます。
データセット セクションで、ファイルテンプレートのダウンロード をクリックして、データセットテンプレートファイルをコンピューターにダウンロードします。データセットテンプレートファイルに必要な情報を入力して保存します。
以下の点にご注意ください。
- データセットテンプレートファイルをアップロードする前に、ログの検索と照合に使用される主キーを指定する必要があります。主キー列にNULLまたは重複する値を含めることはできません。
  主キー列に重複する値が含まれている場合、システムは自動的に重複を削除します。
- データセットテンプレートファイルのサイズは3 MBを超えることはできません。
- データセットテンプレートファイルには、5,000行以下を含めることができます。
- データセットテンプレートファイルの各値の長さは200バイトを超えることはできません。
データセットの新規追加 パネルに戻り、[データセット名] および [データセットの説明] パラメーターを設定し、データセットテンプレートファイルをアップロードし、[データセットプライマリキー] パラメーターを設定して、次へをクリックします。
アップロードされたファイルの値の有効性が自動的にチェックされます。値が無効な場合は、プロンプトに従って値を変更します。
検証と作成 タブで、アップロードしたファイルの情報を確認し、OK をクリックします。

次に何をすべきか

カスタム検出ルールとSOARプレイブックを作成するときに、データセットを直接参照できます。詳細については、「セキュリティイベントの処理」および「手順1: プレイブックの作成」をご参照ください。

[データセット] タブのデータセットの 引用された 列で、データセットに関する参照情報を表示できます。

その他の操作

データセットにデータを追加またはデータセットからデータを削除するには、データセットを見つけ、操作する 列の編集をクリックします。
データセット内の複数の行を一度に更新するには、コンピューターに保存されているデータセットテンプレートファイルを開いて編集し、[データセット] タブでデータセットを見つけ、操作する 列の 一括更新 をクリックしてファイルをアップロードします。
使用しなくなったデータセットを削除するには、データセットを見つけて、操作する 列の削除をクリックします。
説明
検出ルールまたはプレイブックで参照されているデータセットは削除できません。

カスタム検出ルールの設定例

このセクションでは、一般的なシナリオでカスタム検出ルールを作成するときに参照できる例を示します。

ユニオンSQLインジェクション

パラメーター	サンプル設定
基本情報
ルール名	sql_injection
ルールの説明	ユニオンSQLインジェクション
脅威レベル	高リスク
脅威タイプ	異常なネットワークトラフィック
ルールロジックの設定
ログスコープ	ログカテゴリドロップダウンリストから `[HTTPアクティビティ]` を選択します。ログタイプのドロップダウンリストから、`ALBレイヤー7ログ`、`CLBレイヤー7ログ`、`インターネットHTTPログ`、`Anti-DDoS Proログ`、`WAFフローログ`、`CDNフローログ`、`Anti-DDoSログ`を選択します。
マッチフィールド	[フィールドグループ1の照合] セクションで、`[request_parameters]` を選択し、`[REGEXP]` を選択してから、`union\b[\s\S]+ select\b`と入力します。
Aggregationフィールド	このパラメーターをスキップします。
最大ログ	このパラメーターをスキップします。
統計期間	このパラメーターをスキップします。
イベント生成設定
ルールトリガーアラートをイベントに集約する	可
イベント生成方法	ルールでトリガーされるすべてのアラートをイベントに集約する
実行サイクル	24 時間

WAFを攻撃するスキャナーのIPアドレス

パラメーター	サンプル設定
基本情報
ルール名	web_scanner_ip
ルールの説明	WAFを攻撃するスキャナーのIPアドレス
脅威レベル	高リスク
脅威タイプ	悪意のあるネットワーク活動
ルールロジックの設定
ログスコープ	ログカテゴリドロップダウンリストから `[HTTPアクティビティ]` を選択します。ログタイプドロップダウンリストから `[WAFフローログ]` を選択します。
マッチフィールド	[フィールドグループ1の一致] セクションで次のフィールドを指定します。フィールド1: `status`、`=`、および`405` フィールド2: `final_plugin`、`=`、および`waf`
Aggregationフィールド	domain
最大ログ	次の操作を順番に実行します。`[カウント]` を選択し、`[final_rule_type]` を選択し、`>=` を選択してから`2`を入力します。
統計期間	2分
イベント生成設定
ルールトリガーアラートをイベントに集約する	任意

疑わしい機密コマンドがJavaプロセスで実行される

パラメーター	サンプル設定
基本情報
ルール名	java_exec_suspious_command
ルールの説明	Javaプロセスによって実行される疑わしい機密コマンド
脅威レベル	高リスク
脅威タイプ	疑わしいプロセス
ルールロジックの設定
ログスコープ	[ログカテゴリ] ドロップダウンリストから `[プロセスアクティビティ]` を選択します。ログタイプドロップダウンリストから `[スタートアップログの処理]` を選択します。
マッチフィールド	Matchフィールドグループ1 フィールド1: `parent_proc_path`、`LIKE`、および `%/java %` フィールド2: `proc_path`、`LIKE`、および `%/id %` Matchフィールドグループ2 フィールド1: `parent_proc_path`、`LIKE`、および `%/java %` フィールド2: `proc_path`、`LIKE`、および `%/ifconfig %` Matchフィールドグループ3 フィールド1: `parent_proc_path`、`LIKE`、および `%/java %` フィールド2: `proc_path`、`LIKE`、および `%/whoami %` Matchフィールドグループ4 フィールド1: `parent_proc_path`、`LIKE`、および `%/java %` フィールド2: `proc_path`、`LIKE`、および `%/curl %` Matchフィールドグループ5 フィールド1: `parent_proc_path`、`LIKE`、および `%/java %` フィールド2: `proc_path`、`LIKE`、および `%/wget %`
Aggregationフィールド	このパラメーターをスキップします。
最大ログ	このパラメーターをスキップします。
統計期間	このパラメーターをスキップします。
イベント生成設定
ルールトリガーアラートをイベントに集約する	任意

ホスト総当たり攻撃

パラメーター	サンプル設定
基本情報
ルール名	host_crack
ルールの説明	ホストのブルートフォース攻撃
脅威レベル	高リスク
脅威タイプ	珍しいログオン
ルールロジックの設定
ログスコープ	[ログカテゴリ] ドロップダウンリストから `[ログオンアクティビティ]` を選択します。ログタイプドロップダウンリストから `[失敗したホストログインログ]` を選択します。
マッチフィールド	[フィールドグループ1の一致] セクションで次のフィールドを指定します。フィールド1: `src_ip`、`NOT LIKE`、および`10.%` フィールド2: `src_ip`、`NOT LIKE`、`192.168.%` フィールド3: `src_ip`、`NOT REGEXP`、および`172\.1[6-9]\` フィールド4: `src_ip`、`NOT REGEXP`、および`172\.2[0-9]\` フィールド5: `src_ip`、`NOT REGEXP`、および`172\.3[0-1]\`
Aggregationフィールド	`host_uuid`および`src_ip`を選択します。
最大ログ	次の操作を順番に実行します。`[合計]` を選択し、`[接続_カウント]` を選択し、`>=` を選択してから`5`を入力します。
統計期間	3分
イベント生成設定
ルールトリガーアラートをイベントに集約する	任意

マイニングドメイン名に接続されたホスト

パラメーター	サンプル設定
基本情報
ルール名	minner_domain
ルールの説明	マイニングドメイン名に接続されたホスト
脅威レベル	高リスク
脅威タイプ	異常なネットワーク接続
ルールロジックの設定
ログスコープ	[ログカテゴリ] ドロップダウンリストから `[DNSアクティビティ]` を選択します。ログタイプドロップダウンリストから、`[インターネットDNSログ]` および `[DNSログ]` を選択します。
マッチフィールド	[フィールドグループ1の一致] セクションで次のフィールドを指定します。フィールド1: `dns_query_name`、`LIKE`、`% cryptonight.net %` フィールド2: `dns_query_name`、`LIKE`、`% minexmr.org %` フィールド3: `dns_query_name`、`LIKE`、`% xmrpool.com %`
Aggregationフィールド	このパラメーターをスキップします。
最大ログ	このパラメーターをスキップします。
統計期間	このパラメーターをスキップします。
イベント生成設定
ルールトリガーアラートをイベントに集約する	任意

HTTPリクエストバースト

パラメーター	サンプル設定
基本情報
ルール名	web_access_overload
ルールの説明	HTTPリクエストバースト
脅威レベル	高リスク
脅威タイプ	異常なネットワークトラフィック
ルールロジックの設定
ログスコープ	ログカテゴリドロップダウンリストから `[HTTPアクティビティ]` を選択します。ログタイプのドロップダウンリストから、`ALBレイヤー7ログ`、`CLBレイヤー7ログ`、`インターネットHTTPログ`、`Anti-DDoS Proログ`、`WAFフローログ`、`CDNフローログ`、`Anti-DDoSログ`を選択します。
マッチフィールド	[Match Field Group 1] セクションで、`responseparameterKE`を選択し、`2%` と入力します。
Aggregationフィールド	domain
最大ログ	次の操作を順番に実行します。`count`を選択、`request_url`を選択、`>=` を選択し、`60000`を入力します。
統計期間	1分
イベント生成設定
ルールトリガーアラートをイベントに集約する	任意

Security Center:検出ルールの使用