脅威分析および対応機能は、定義済みまたはカスタムの検出ルールを使用して、複数の関連アラートをセキュリティイベントに集約します。 これにより、クラウドサービスに対して生成されたアラートを効率的に特定して応答することができます。 クラウドサービスのセキュリティを向上させ、システムの整合性を確保するために、セキュリティイベントを定期的にチェックして処理することを推奨します。
セキュリティイベントの有効性
セキュリティイベントの処理 ページでは、過去180日以内のイベントを表示できます。
マルチアカウント管理
マルチアカウント管理機能を有効にして、グローバル管理者アカウントでSecurity Centerコンソールにログインする場合は、セキュリティイベントの処理 ページで必要なビューに切り替えて、セキュリティイベントを処理する必要があります。 次のリストでは、ビューについて説明します。
現在のアカウントビュー: 現在のアカウント内で検出されたセキュリティイベントを表示および処理できます。
グローバルアカウントビュー: 脅威分析および対応機能によって管理されているAlibaba Cloudアカウント内で検出されたセキュリティイベントを表示および処理できます。
セキュリティアラート または 処理センター ページで操作を実行する前に、必要なビューに切り替える必要もあります。 ビューの説明は、セキュリティイベントの処理 ページの説明と同様です。 詳細については、「複数のアカウントを一元管理」をご参照ください。
前提条件
脅威の分析と応答機能が購入され、有効になります。 脅威の分析と対応機能の詳細については、「概要」をご参照ください。
クラウドサービスのログが脅威分析および対応機能に追加されます。 詳細については、「クラウドサービスのログの追加」をご参照ください。
アラートの検出とログの分析に使用される検出ルールが作成されます。 詳細については、「検出ルールの使用」をご参照ください。
セキュリティイベントの詳細の表示
既存のセキュリティイベントのステータスがUnhandledで、セキュリティイベントが複数回検出された場合、システムはイベントにアラートを追加し、新しいセキュリティイベントを生成しません。 既存のセキュリティイベントのステータスがHandling、Handled、またはFailedで、セキュリティイベントが複数回検出された場合、システムは新しいセキュリティイベントを生成します。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、保護するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
セキュリティイベントの処理 ページで、[Occurred Within] パラメーターの時間範囲を指定して、指定した時間範囲内のセキュリティイベントを表示します。
セキュリティイベントは、セキュリティイベントのリスクレベル、ステータス、名前、ID、およびアセットIDに基づいてフィルタリングできます。 リスクレベルは、高リスク、中リスク、低リスクであり、状態は未処理、処理、失敗、処理済みです。
セキュリティイベントの処理 ページで、詳細を表示するセキュリティイベントを見つけ、操作する 列の 詳細 をクリックします。
リスクレベルに基づいて、セキュリティイベントの処理の優先度を決定できます。 次の表に、セキュリティイベントのリスクレベルを示します。
イベントの詳細ページで、セキュリティイベントに関する情報をさまざまなタブで表示します。 下表に各タブを説明します。
タブ
説明
イベント情報
このタブには、セキュリティイベントが属するAlibaba Cloudアカウント、イベントのリスクレベル、説明、発生時間、イベントの影響を受ける資産などの情報が表示されます。
影響を受けるアセットに関する情報を表示するには、影響を受けたアセット セクションでアセットを見つけ、操作する 列の 詳細 にポインターを移動します。 表示されるツールチップで、アセット名、パブリックIPアドレスとプライベートIPアドレス、オペレーティングシステムなどのアセット情報を表示します。
攻撃のタイムライン
このタブには、イベントに集約されたアラートのタイムラインが表示されます。 このタブでは、イベントの開発プロセスを表示できます。 これは、このようなイベントの処理と防止に役立ちます。
アラートアイコンをクリックすると、アラートに関する情報を表示できます。
セキュリティアラート
このタブには、イベントに集約されたアラートが表示されます。
アラートとアラートに関連付けられている例外に関する情報を表示するには、アラートを見つけて [操作] 列の 詳細 をクリックします。
イベントのトレーサビリティ
このタブには、イベントトレース図と元のデータのプレビューが表示されます。
イベントソーストレース機能は、ビッグデータ分析エンジンを使用して、さまざまなクラウドサービスからのログを処理、集約、および視覚化します。 そして、解析結果に基づいてイベントトレース図を生成する。 これにより、イベントの原因を特定し、できるだけ早い機会にイベント処理ポリシーを構成できます。
ノードに関する情報を表示するには、ダイアグラム内のノードをクリックします。 現在のページに表示されているイベントトレース図をダウンロードするには、トレースイメージのスタイルを指定してノードの凡例を表示し、イベントのトレーサビリティ タブの右上隅にある、、凡例のアイコンをクリックします。
説明イベントソーストレース機能は、次の条件をすべて満たすセキュリティイベントをサポートします。
イベントに集約されたアラートは、Security Centerによって報告されます。
イベント追跡図は、イベントに集約されるアラートに関与するエンティティのコンテキストログから再現することができる。 エンティティには、IPアドレス、プロセス、ファイル、ファイルパス、ログオンイベント、攻撃ペイロードが含まれます。
セキュリティイベントの処理
システムのセキュリティを強化するために、脅威分析および対応機能によって検出されるセキュリティイベントをできるだけ早く処理することを推奨します。 また、高リスクのセキュリティイベントをできるだけ早く処理することを推奨します。 セキュリティイベントを手動で処理したり、自動イベント処理を開始したりできます。
セキュリティイベントを手動で処理する: イベントのリスクレベルとビジネスシナリオに基づいて、セキュリティイベントを確認および処理できます。 この方法は、専門知識を使用して特定し、処理する必要がある複雑なセキュリティイベントや新しいタイプの未知の脅威に適しています。
自動イベント処理の開始: システムは、設定されたプレイブックとルールに基づいてセキュリティイベントを自動的に処理します。 たとえば、システムは感染したホストを隔離したり、疑わしいIPアドレスをブロックしたりします。 この方法は、既知で明確に定義されたセキュリティイベントや、迅速に処理する必要がある複雑さの低い脅威に適しています。 例えば、システムは、大量の同様の低リスク警告を自動的に処理することができる。
セキュリティイベントを手動で処理する
左側のナビゲーションウィンドウで、 .
セキュリティイベントの処理 ページで、処理するイベントを見つけ、操作する 列の 処理 をクリックします。
表示されるパネルで、パラメーターを設定し、OK をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
イベントステータス
イベントのステータスを設定し、イベントの説明を指定します。
イベントステータス パラメーターを 処理に失敗しました に手動で設定することはできません。 脅威分析および応答機能がイベントに対して指定されたイベント処理アクションを実行できない場合、イベントのステータスは 処理に失敗しました に変更されます。
すでにイベントを処理している場合、またはイベントを処理する必要がないことを確認した場合は、イベントステータス パラメーターを 処理済み に設定できます。 この場合, イベント処理アクションや通知ポリシーを指定する必要はありません。
処理アクションの設定
脅威分析および対応機能は、処理するさまざまなエンティティに組み込みのシナリオを提供します。 シナリオでは、処理するイベントのクラウドサービスとそのイベントのアクションを定義します。 処理するエンティティに基づいてシナリオを選択できます。
推奨処理ポリシーの使用: IP 、ファイル 、または [プロセス] タブをクリックし、推奨される処理ポリシーの使用 をクリックします。
推奨される処理ポリシーの使用 をクリックした後、エンティティに対してシナリオが選択されていない場合、そのエンティティに対してポリシーは推奨されません。 処理ポリシーを手動で設定する必要があります。
処理ポリシーを手動で設定する: IP 、[ファイル 、または [プロセス] タブをクリックし、処理するエンティティを選択し、エンティティの左側にあるアイコンをクリックして、シナリオ、スコープ、およびアクションの有効期間を指定します。
シナリオ: エンティティのシナリオを選択します。
スコープ: シナリオが使用されているAlibaba Cloudアカウントを選択します。
アクション有効期間: 処理アクションの有効期間を指定します。 このパラメーターは、特定のシナリオに対してのみ設定できます。
イベント処理通知
イベント処理後に通知ポリシーを設定します。 通知ポリシーを設定した後、右側の メッセージプレビュー セクションで通知内容をプレビューできます。
自動イベント処理の開始
脅威分析および対応機能は、セキュリティオーケストレーション自動化応答 (SOAR) をサポートします。 プレイブックを作成し、自動応答ルールを設定して、システムが一度に複数のセキュリティイベントを処理できるようにすることができます。 詳細については、「SOARの使用」をご参照ください。
次に何をすべきか
アラートホワイトリストルールの設定
一部のアラートを処理する必要がないことを確認し、アラートをセキュリティイベントに集約したくない場合は、アラートのホワイトリストルールを設定できます。 新しいアラートがホワイトリストルールと一致する場合、アラートはセキュリティイベントに集約されません。
左側のナビゲーションウィンドウで、 を選択します。
次の方法を使用してアラートホワイトリストルールを設定します。
グローバルホワイトリストルールの設定: セキュリティイベントの処理 ページで、右上隅の イベントのホワイトリスト追加設定 をクリックします。 表示されるパネルで、イベントのホワイトリスト追加ルール の下のドロップダウンリストからシナリオを選択し、操作する 列の 編集 をクリックします。
1つのイベントのホワイトリストルールを設定する: セキュリティイベントの処理 ページで、管理するイベントを見つけ、操作する 列の ホワイトリストの追加 をクリックします。 表示されるパネルで、右上隅の + ポリシーグループの新規作成 をクリックします。
パラメーターを設定します。
説明1つのシナリオで複数のホワイトリストルールを設定できます。 シナリオ内の複数のホワイトリストルールは、論理ANDを使用して評価されます。
複数のシナリオを作成できます。 複数のシナリオは、論理ORを使用して評価されます。
パラメーター
説明
サンプル設定
シナリオ
脅威の分析と応答機能は、イベントのホワイトリストにアラートを追加できるシナリオを提供します。
説明+ 新規ポリシー をクリックして、現在のシナリオで複数のルールを作成します。
ホワイトリストルールグループ1
シナリオ: Rootkit
オブジェクト1: host uuid
条件: 等しい
条件値: f6170c02-d55f-4c42-b73f-a394d7a2 ****
オブジェクト2: ファイルパス
条件: 含める
条件値: /root/md5/4ff73477a06a3412145d1a7e6d9c ****
ホワイトリストルールグループ2
シナリオ: 侵害された基本ソフトウェア
オブジェクト: host uuid
条件: 等しい
条件値: f6170c02-d55f-4c42-b73f-a394d7a2 ****
オブジェクト
ホワイトリストルールを有効にするオブジェクトを選択します。 脅威の分析と応答機能は、Scenarioパラメーターの値に基づいて選択できるオブジェクトを提供します。
条件
条件値
ホワイトリストルールの条件を選択し、条件値を入力します。
セキュリティイベントの詳細のエクスポート
セキュリティイベントの詳細をExcelファイルとしてコンピューターにエクスポートできます。 これにより、セキュリティイベントの処理に関する部門間のコラボレーションが容易になり、内部情報共有とイベントトレースの効率が向上します。
ファイル内の最大1,000のセキュリティイベントの詳細をエクスポートできます。 ファイルは、[インシデント] 、[アセット] 、および [エンティティ] タブで構成されます。
左側のナビゲーションウィンドウで、 を選択します。
オプションです。 セキュリティイベントのリスクレベル、ステータス、発生時間などのフィルタ条件を設定します。
セキュリティイベントリストの右上隅にあるアイコンをクリックします。
ファイルがエクスポートされるまで待ってから、ダウンロード をクリックしてファイルをコンピューターに保存します。
処分センターを見る
脅威分析および対応機能でサポートされている廃棄センターで、イベント処理の詳細を一元的に表示できます。 処分センターには、処理エンティティディメンションのイベント処理ポリシーとタスクが表示され、ポリシーとタスクを管理できます。
処理ポリシーは、処理エンティティのシナリオ固有のイベント処理の詳細を記述します。 処理タスクは、スコープ固有のイベント処理の詳細を記述します。 シナリオはプレイブックであり、スコープは処理されたイベントが属するクラウドアカウントです。
たとえば、2つのシナリオでエンティティのイベントを処理し、スコープとして3つのアカウントを指定した場合、イベントの処理後に生成される処理ポリシーの数は2になり、処理タスクの数は6になります。 処理ポリシーの数は、次の式に基づいて計算されます。1 × 2 = 2。 処理タスクの数は、次の式に基づいて計算されます: 1 × 2 × 3 = 6。
対処ポリシー
処理ポリシーは、アラートが生成されるエンティティのイベント処理の詳細を記述します。 エンティティは、IPアドレス、ファイル、またはプロセスです。 処理ポリシーを表示して、セキュリティイベントのエンティティ、シナリオ、およびスコープを取得できます。
ポリシーを処理するためのデータソース:
セキュリティイベントの処理 ページでイベントを手動で処理した場合の結果です。 詳細については、「セキュリティイベントの処理」をご参照ください。
SOARプレイブックの自動実行の結果。 詳細については、「SOARの使用」をご参照ください。
処理ポリシーに関する情報を表示するには、左側のナビゲーションウィンドウで
を選択します。 次に、処理ポリシー タブをクリックします。エンティティオブジェクト / エンティティの特性 列で、エンティティをクリックして、エンティティのコンテキスト、Alibaba Cloud脅威インテリジェンス、および関連するアラートを表示できます。
関連ソース 列で、処理ポリシーのソースをクリックして、処理ポリシーに関連するアラート、イベント、またはプレイブックを表示できます。
操作する 列で、タスクの表示 をクリックします。 処理タスク ページで、処理ポリシーに関連するタスクに関する情報を表示できます。
タスクの処理
処理タスクを表示して、検出された悪意のあるエンティティと、関連するクラウドサービスのイベント処理ステータスを取得できます。 たとえば、Cloud Firewallによってブロックされている悪意のあるIPアドレスのステータスを表示できます。 IPアドレスがブロックされているか、ブロックされていないか、ブロックされていないか、ブロックされているかを確認できます。
タスクの処理に関する情報を表示するには、左側のナビゲーションウィンドウで
を選択します。 次に、処理タスク タブをクリックします。処理タスクに関連付けられている処理ポリシーが更新された場合、または処理タスクの実行に失敗した場合は、操作する 列の 再試行 をクリックしてタスクを再実行できます。
タスクの実行後、クラウドサービスがエンティティのIPアドレスをブロックし、ブロックアクションが不要であることを確認した場合、操作する 列の ブロックの解除 をクリックしてIPアドレスのブロックを解除できます。
アラートの表示
Security Center、Web Application Firewall (WAF) 、およびCloud Firewallのアラートログが脅威分析および対応機能に追加された後、アラートの生データをリアルタイムで表示できます。 これにより、クロスプラットフォームのアラートを一元管理できます。 これにより、セキュリティログの監視プロセスが簡素化され、セキュリティO&Mの効率が向上します。これにより、セキュリティが向上し、応答メカニズムが最適化されます。
左側のナビゲーションウィンドウで、 を選択します。
説明Security Centerの セキュリティアラートの処理 ページが表示されている場合は、右上隅にある グローバルセキュリティアラート をクリックして、脅威の分析と対応機能の セキュリティアラート ページに切り替えます。
オプションです。 セキュリティアラート ページで、フィルター条件を設定します。
アラートのデータソースは、Aliyun Cloud Firewall、Aliyun Cloud Security Center、Aliyun Siem、Aliyun Web Application FirewallなどのCloud Serviceドロップダウンリストから選択できます。
説明Aliyun Siemを選択した場合、事前定義およびカスタム検出ルールに基づいて生成されたアラートを表示できます。
情報を表示するアラートを見つけて、操作する 列の 詳細 をクリックします。
情報には、影響を受ける資産、発生時刻、データソース、アカウント受信アラート、および関連する例外が含まれます。
関連ドキュメント
定義されているセキュリティイベントや迅速な処理が必要な脅威の場合は、脅威分析および応答機能のSOARを使用して、複数のクラウドサービスと連携して、設定されたルールとプレイブックに基づいた自動セキュリティ応答を実装できます。 詳細については、「SOARの使用」をご参照ください。
API操作を呼び出して、セキュリティイベント処理に関する情報を照会し、セキュリティイベントを処理できます。 サポートされているAPI操作の詳細については、「Event Response」をご参照ください。