Security Center:構成評価機能の使用

前提条件

• セキュリティセンターは、クラウドリソースへのアクセスを許可されています。 構成評価機能は、従量課金方法に基づいて購入されるか、機能の十分なクォータが購入されます。 詳細については、「概要」トピックの「承認と購入」セクションをご参照ください。

• 確認するクラウドサービスがSecurity Centerに追加されます。 詳細については、「クラウドサービスの追加」をご参照ください。

ステップ1: (オプション) チェック項目の設定を変更する

Security Centerでは、特定のチェック項目の設定を変更できます。たとえば、Hotlink Protectionの設定、90日以上ログオンしていないユーザーのコンソールへのログインを無効にする、パスワード有効性チェックなどです。 ビジネス要件に基づいてチェック項目の設定を変更し、チェック結果の精度を高めることができます。

1. Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

2. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

3. 設定のチェック タブをクリックし、チェック項目の名前をクリックします。

4. チェック項目の詳細パネルで、[パラメーター設定] をクリックします。

   重要

   チェック項目の詳細パネルで、[パラメーター設定] ボタンが表示されている場合、チェック項目の設定を変更できます。 ボタンが表示されていない場合、チェック項目の設定は変更できません。

   

5. [パラメーター設定] パネルで、[変更可能なパラメーターの追加] をクリックし、変更可能なパラメーター 列のドロップダウンリストからパラメーターを選択します。 パラメーターの編集 列の値を変更し、OK をクリックします。

   + 変更可能なパラメーターの新規追加 をクリックすると、チェック項目の複数のパラメーターを追加および変更できます。

   変更は直ちに適用されます。 変更したチェック項目のチェック結果は、次の設定チェックで確認できます。

ステップ2: 設定チェックを実行する

構成評価機能は、ポリシーによるフルスキャンとスキャンをサポートします。

1. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

2. 設定のチェック タブをクリックし、設定チェックを実行します。

   • フルスキャン

     すべてのクラウドサービスの設定にリスクが存在するかどうかをすぐに確認する場合は、今すぐスキャン をクリックし、設定アセスメント ページで [完全スキャン] を選択します。

   • ポリシーによるスキャン

     チェックポリシーを構成すると、Security Centerはポリシーで指定した時間範囲に基づいて構成チェックを実行します。 ポリシーによってスキャンを手動で開始することもできます。

     1. 設定アセスメント ページの右上隅にある ポリシー設定の確認 をクリックします。

     2. ポリシー設定の確認 パネルで、クラウドプラットフォーム設定の自動検出 をオンにします。

     3. [検出サイクル] および [検出時間] パラメーターを設定し、必要なチェック項目を選択して、[OK] をクリックします。

        チェック項目を選択すると、ポリシーによるスキャンで消費されると推定されるクォータがチェック項目リストの上に表示されます。 スキャン中にデータが作成またはリリースされる可能性があるため、推定クォータは参照用です。

     4. オプションです。 設定アセスメント ページで、今すぐスキャン をクリックし、[ポリシーによるスキャン] を選択します。

        Security Centerは、設定したポリシーに基づいてクラウドサービスの設定を直ちにスキャンします。

   説明

   フルスキャンは、完了するまでに時間を要する。

ステップ3: チェック結果を表示する

1. 設定のチェック タブで、チェック結果を表示します。

   • 全体的な情報の表示

     設定アセスメント ページの上部のセクションには、チェック結果に関する全体的な情報が表示されます。 CIEM、セキュリティリスク、およびコンプライアンスリスクタイプのチェック項目の合格率を表示できます。 合格率の上の行にポインターを移動すると、高リスク、中リスク、低リスク、合格したチェック項目の数を表示できます。

     重要

     リスクの高いアイテムは、資産に大きな脅威をもたらします。 これらのリスク項目は、できるだけ早い機会に処理することを推奨します。

   • リスクアイテムの表示

     • すべてのチェック項目 セクションで、チェック項目の種類をクリックします。 右側のリスク項目のリストで、選択したチェック項目タイプのリスク項目を表示します。

     • リストの上にあるフィルターウィジェットを使用して、表示するリスク項目を検索します。 リスク項目は、リスクレベルやリスク項目のステータスなどの条件でフィルタリングできます。

2. 表示するリスク項目を見つけて、操作する 列の 詳細 をクリックします。 詳細パネルで、チェック項目について 、処分プラン 、ヘルプリソース 、および 脅威の影響 セクションの情報を表示します。

   

ステップ4: 検出された設定リスクを処理する

1. リスク項目の詳細パネルの 脅威の影響 セクションでは、次の操作を実行して、ビジネス要件に基づいて検出されたリスクを処理できます。

   API 操作	説明
   リスクアイテムを修正する	処分プラン および ヘルプリソース セクションの情報に基づいて、クラウドサービスの設定で検出されたリスクを修正できます。 重要 Security Centerは、50を超えるチェック項目のクイックフィックス機能を提供します。 Security Centerコンソールで修正パラメーターを手動で設定して、検出されたクラウドサービスインスタンスのリスクを直接修正できます。 脅威の影響 セクションで、[未合格] 状態のインスタンスの 操作する 列に [修正] ボタンが表示されている場合、チェック項目はクイック修正機能をサポートしています。 [修正] ボタンが表示されない場合、チェック項目はクイック修正機能をサポートしていません。 Security Centerコンソールでチェック項目をすばやく修正 管理するインスタンスを見つけて、[操作] 列の [修正] をクリックします。 表示されるパネルで、リスクのあるインスタンス、スキャン時間、および修正パラメーターに関する情報を表示できます。 [今すぐ処理] をクリックします。 固定パラメータを変更できる場合は、パネルの [項目パラメータの確認] をクリックします。 [パラメーター設定] パネルで、[パラメーターの編集] 列のパラメーター値を変更します。 次に、[OK] をクリックします。 複数のインスタンスを選択し、インスタンスリストの下にある [修正] をクリックすると、一度に複数のインスタンスをすばやく修正できます。 説明 現在のアカウントが別のアカウントのクラウドサービスの設定を変更する権限がない場合、そのアカウントのクラウドサービスに対してクイックフィックスを実行することはできません。 この問題を解決するには、表示されるダイアログボックスで [権限付与] をクリックします。 クラウドサービスの設定パラメーターを変更するときに、変更をロールバックできないことを忘れない場合は、クラウドサービスの設定をロールバックできます。 インスタンスの設定パラメーターを変更した後、インスタンスを再起動する必要がある場合は、プロンプトに従ってインスタンスを再起動します。 クラウドサービスのコンソールでチェック項目を修正 インスタンスID、アカウントID、ポリシー名など、リスクのあるインスタンスのIDをクリックして、クラウドサービスのコンソールに移動し、検出されたリスクを修正します。
   ホワイトリストにリスク項目を追加する	重要 ホワイトリストにリスク項目を追加すると、そのリスク項目に対して検出されたリスクは、以降の構成チェックで報告されなくなります。 リスク項目が脅威を引き起こさないことを確認した後にのみ、リスク項目をホワイトリストに追加することを推奨します。 リスク項目が特定のインスタンスに脅威を与えないことを確認した場合、そのリスク項目をインスタンスのホワイトリストに追加できます。 ホワイトリストに追加されたリスク項目は、リスク項目の総数にはカウントされません。 ホワイトリストからリスク項目を削除することもできます。

2. 修正を確認します。

   インスタンスに影響を与えるリスク項目の詳細パネルの情報に基づいてインスタンスの設定を変更した場合、[操作] 列の [検証] をクリックして、新しい設定にセキュリティリスクが含まれているかどうかを確認できます。

   複数のインスタンスを選択し、リストの下の [検証] をクリックして、選択したインスタンスの新しい設定にセキュリティリスクが含まれているかどうかを確認することもできます。

   インスタンスの新しい設定にリスクが含まれていない場合、インスタンスは 脅威の影響 セクションのリストから削除されます。 すべてのリスクのあるインスタンスの新しい設定が検証されると、リスク項目の状態は認証済みに変わります。

3. オプションです。 Security Centerのクイックフィックス機能を使用してリスク項目を修正した後、[設定評価] ページの右上隅にあるsas.configcheck.fix.manageをクリックして、クイックフィックスの履歴を表示できます。

   修正タスクID、チェック項目、ステータスなどの情報を表示できます。 [操作] 列のアイコンをクリックし、[詳細] を選択すると、チェック項目の説明、ソリューション、ヘルプドキュメント、および修正タイムラインが表示されます。 sas.configcheck.fix.manageパネルで、ロールバックや設定の確認などの操作を実行することもできます。

リスクレポートの表示

[設定評価] ページの [リスク概要] タブでリスクレポートを表示できます。 このレポートは、クラウド資産の全体的な構成リスクを視覚化し、できるだけ早い機会に構成エラーを特定して処理できるようにします。

1. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

2. リスクの概要 タブで、表示するクラウドアセットのクラウドサービスプロバイダーを選択します。 オプションを選択しない場合、すべてのクラウドアセットのリスクデータを表示できます。

   リスクレポートの内容を次の表に示します。

   セクション	説明
   スキャンチェック項目の数	スキャンされたチェックアイテムの、サポートされているすべてのチェックアイテムに対する比率を表示します。
   リスクのあるクラウドプロダクトの統計	設定リスクが検出されたクラウドサービスの統計を表示します。 クラウドプロダクトの合計数: Alibaba cloudサービスとサードパーティのクラウドサービスを含む、Security Centerに追加されたクラウドサービスの総数。 リスクのあるクラウドプロダクトの合計数: Alibaba Cloudサービスとサードパーティのクラウドサービスを含む、設定リスクが検出されたクラウドサービスの数。 残りのライセンス数: 設定評価の残りのクォータ。 スケールアウト をクリックすると、さらにクォータを購入できます。 ハイリスクのクラウドプロダクト上位 5 件: リスク項目の数に基づくリスクのあるクラウドサービスの上位5つ。 サービス名をクリックすると、サービスの詳細ページに移動できます。
   チェック項目の合格率	チェック項目の全体的な合格率とリスク項目の分布を表示します。 全体的な合格率: スキャンされたすべてのチェック項目に対する未合格状態のチェック項目の割合。 スキャンチェック項目の数: スキャンされたチェック項目の数。 システムは、高リスク、中リスク、および低リスクの項目の数も表示します。 失敗したチェック項目の数: スキャンされたチェックアイテムのうち、未合格状態のチェックアイテムの数。 システムは、高リスク、中リスク、および低リスクの項目の数も表示します。 チェック項目の数: 縦棒グラフのCIEM、リスク、コンプライアンスリスクの種類の [合格] 状態と [不合格] 状態のチェック項目の数。
   チェック項目の合格率の変化動向	特定の期間内に使用されたチェック項目の合格率の傾向が折れ線グラフに表示されます。
   アセット合格率の変化動向	特定の期間内にスキャンされた資産の合格率の傾向を折れ線グラフに表示します。 アセットの合格率: スキャンされたすべての資産に対するリスクのある資産の割合。
   権限が過剰に付与された上位 5 件のオブジェクト	現在のスコープ内で過剰な権限が付与されている上位5名のユーザーまたはロールを表示します。

関連ドキュメント

• 構成評価の機能の詳細と課金方法の詳細については、「概要」をご参照ください。

• クラウドサービスをSecurity Centerに追加する方法の詳細については、「クラウドサービスの追加」をご参照ください。

• GetCheckProcess

• AddCheckResultWhiteList

• ChangeCheckConfig

• GetCheckConfig

• GetCheckDetail