すべてのプロダクト
Search

このプロダクト

    Security Center:アラートの表示と処理

    ドキュメントセンター

    Security Center:アラートの表示と処理

    最終更新日:Mar 29, 2025

    資産のセキュリティを確保するために、セキュリティセンターによって資産で生成されたアラートを表示し、できるだけ早くアラートを処理することをお勧めします。このトピックでは、アラートを表示および処理する方法について説明します。

    アラートの表示

    1. セキュリティセンターコンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラート を選択します。

      説明

      Cloud Threat Detection and Response (CTDR) 機能を有効にしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート > CWPP タブで、アラートを表示します。

      アラートのフィルタリング

      セキュリティセンターコンソールで提供されるさまざまなフィルタを使用して、アラートを効率的にフィルタリングできます。

      • 資産タイプ別にアラートをフィルタリングする

        この操作は、Ultimate エディションの Security Center を使用している場合にのみ実行できます。アラートリストの上にある、すべてホストコンテナーk8s、または クラウドプロダクト タブをクリックして、各タイプのアセットで生成されたアラートを表示します。

      • アラートリストの上にある 緊急レベル フィルタまたは 処理されていますか フィルタを使用してアラートをフィルタリングする

        たとえば、処理されていますか処理済み に、ステータスを ブロックされました に設定できます。その後、システムは、セキュリティセンターによって自動的にブロックされた一般的なウイルスに対して生成されたアラートを表示します。

      • アラートリストの左側にある アラートタイプ セクションまたは 攻撃フェーズ セクションのオプションでアラートをフィルタリングする

        攻撃フェーズ セクションには、ウイルス攻撃のフェーズが表示されます。アラート名 列にアイコンで示されている攻撃フェーズを表示して、サーバーへのウイルス攻撃のフェーズを取得できます。これにより、資産のセキュリティステータスをすばやく把握できます。

      アラートの詳細を表示する

      アラート名をクリックするか、アラートの 操作する 列にある 詳細 をクリックします。アラートの詳細パネルが表示されます。詳細パネルでは、アラートに関する基本情報、影響を受けるアセット、およびアラートの説明を表示できます。また、AI ツールを使用してアラートを分析し、アラート分析結果に基づいてアラートを処理することもできます。

      説明

      アラートの詳細パネルの情報はさまざまです。パネルに表示される情報が優先されます。

      • 影響を受ける資産を表示する

        影響を受けるアセット 列で影響を受ける資産の名前をクリックして、資産の詳細を表示します。詳細には、アラート、脆弱性、ベースラインリスク、資産フィンガープリントが含まれます。

      • アラートの原因を表示する

        イベントの記述 セクションで、アラートの原因と処理の提案を表示します。

      攻撃元追跡機能を使用する

      説明

      • 攻撃元追跡機能は、Enterprise エディションと Ultimate エディションでのみサポートされています。

      • セキュリティセンターは、脅威が検出されてから 10 分後に、自動攻撃ソース追跡のチェーンを生成します。アラートが生成されてから 10 分後に、攻撃ソース追跡に関する情報を表示することをお勧めします。

      • アラートが生成されてから 3 か月後に、そのアラートの攻撃ソース追跡に関する情報は自動的に削除されます。アラートの攻撃ソース追跡に関する情報をできるだけ早く表示することをお勧めします。

      セキュリティセンターは、攻撃元追跡機能を提供します。この機能は、攻撃元を自動的に追跡し、元のデータプレビューを提供します。攻撃元追跡機能は、ビッグデータ分析エンジンを使用して、さまざまな Alibaba Cloud サービスからのログを処理、集約、および視覚化します。次に、分析結果に基づいて侵入のイベントチェーン図を生成します。これにより、侵入の原因を特定し、できるだけ早く情報に基づいた意思決定を行うことができます。この機能は、クラウド内の不審なソースへの Web 侵入、ワームイベント、ランサムウェア、不正な通信など、脅威への緊急対応とソース追跡が必要なシナリオで使用できます。

      アラートリストで、ソースを追跡するアラートを見つけ、image.pngアラート名 列の 詳細トレーサビリティAI 分析 アイコンをクリックします。または、必要なアラートの [アクション] 列の をクリックして、アラート詳細ページに移動します。アラート詳細ページで、 セクションのイベント追跡図を表示します。イベント追跡図の各ノードをクリックして、ノード情報を表示できます。また、 をクリックして、イベント追跡図の説明を表示することもできます。

      サンドボックスチェック結果を表示する

      セキュリティセンターは、クラウドサンドボックスチェック機能を提供します。この機能により、ファイルは安全で隔離された環境で実行され、ファイル動作の動的および静的データが分析されます。これにより、疑わしいアプリケーションを安全な方法で実行し、ファイルの疑わしい動作を特定するのに役立ちます。アラートが生成された場合は、サンドボックスチェック結果に基づいて悪意のあるアプリケーションを処理できます。

      説明

      クラウドサンドボックスチェック機能では、一部のマルウェアのみを検出できます。ページに表示されるサポートされているマルウェアが優先されます。

      1. アラートリストで、管理するアラートを見つけ、詳細 操作する 列をクリックします。

      2. サンドボックス セクションで、サンドボックスチェック結果を表示します。

      調査機能を使用する

      調査機能は、攻撃に関する視覚化された情報を提供します。攻撃が開始されたソース IP アドレスを表示し、侵入の原因を分析できます。この機能は、攻撃された資産を特定し、資産のセキュリティを強化するのに役立ちます。

      アラートリストで必要なアラートを見つけ、事件调查图标アラート名 列の 調査 アイコンをクリックして、 ページに移動します。

      説明

      • 保護されていますアラート名 列に表示されている場合、セキュリティセンターはウイルスファイルの悪意のあるプロセスを終了しました。ファイルはサービスを脅かすことはできなくなりました。できるだけ早くファイルを隔離することをお勧めします。

      • [厳格モード]アラート名 列に表示されている場合、サーバーのアラート検出モードは厳格モードです。 [厳格モード] では、Security Center はより多くの疑わしい動作を検出し、アラートを生成します。ただし、このモードでは誤検知率が高くなります。詳細については、「ホスト保護設定タブの機能を有効にする」をご参照ください。

    アラートの処理

    重要

    CTDR のセキュリティイベント処理機能を使用して、セキュリティセンターアラートによって集約されたイベントを管理する場合、セキュリティセンターは [CWPP] タブの下の関連するアラートステータスを自動的に更新するため、手動で更新する必要はありません。

    1. セキュリティセンターコンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラート を選択します。

      説明

      CTDR 機能を有効にしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート > CWPP タブで、管理するアラートを見つけ、[アクション] 列の 処理 をクリックします。表示されるダイアログボックスで、アラートを処理するための処理方法を選択し、[今すぐ処理] をクリックします。

      説明

      • さまざまなタイプのアラートで、さまざまな処理方法がサポートされています。セキュリティセンターコンソールに表示される処理方法が優先されます。

      • ビジネス要件に基づいてメモを追加できます。たとえば、アラートを処理する理由と、アラートを処理するユーザーを入力できます。これは、処理されるアラートの管理に役立ちます。

      メソッド

      説明

      ウイルス検出と削除

      [ウイルス検出と削除] を選択すると、アラートが生成された悪意のあるプロセスを終了し、悪意のあるプロセスのソースファイルを隔離できます。隔離されたファイルは、サービスを脅かすことはなくなります。

      アラートが誤検知ではないことを確認した場合は、次のいずれかの方法を使用して、アラートを手動で処理できます。

      • [プロセスの終了]: 悪意のあるプロセスを終了します。

      • [プロセスを終了してソースファイルを隔離する]: ウイルスファイルを隔離します。ウイルスファイルが隔離されると、ファイルはサーバーを脅かすことはなくなります。詳細については、「隔離されたファイルを表示および復元する」をご参照ください。

        警告

        • 悪意のあるコード スニペットがビジネス関連のファイルに書き込まれている場合、ファイルを隔離すると、ビジネスが期待どおりに実行されない可能性があります。ファイルを隔離する前に、ビジネスへの影響を制御できることを確認してください。

        • 隔離されたファイルは 30 日以内に復元できます。復元後、ファイルに対して生成されたアラートがアラート リストに表示され、ファイルはセキュリティセンターによって監視されます。セキュリティセンターは、隔離から 30 日後にファイルを自動的に削除します。

      ホワイトリストに追加

      アラートが誤検知の場合は、アラートをホワイトリストに追加できます。 また、ホワイトリストルールを指定して、ルール内の条件を満たすアラートをホワイトリストに追加することもできます。 たとえば、Exploit Kit Behavior アラートに対して [ホワイトリストに追加] を選択し、aa を含むコマンドに対して生成されたアラートをホワイトリストに追加するルールを指定します。 構成後、アラートのステータスは「処理済み」に変わります。 セキュリティセンターは、aa を含むコマンドに対してアラートを生成しなくなります。 処理済みアラートリストで、ホワイトリストからアラートを削除できます。

      説明

      • この方法を選択すると、選択したアラートがホワイトリストに追加されます。 また、ホワイトリストルールを指定することもできます。 ホワイトリストルールを指定すると、ルール内の条件が満たされた場合、セキュリティセンターは選択したアラートと同じアラートを生成しなくなります。 セキュリティセンターのホワイトリストに追加できるアラートの詳細については、「どのアラートをホワイトリストに追加できますか?」をご参照ください。

      • セキュリティセンターが通常のプロセスでアラートを生成した場合、そのアラートは誤検知と見なされます。 よくある誤検知には、[異常な TCP パケット] に対して生成されたアラートなどがあります。 このアラートは、サーバーが他のデバイスに対して疑わしいスキャンを開始したことを通知します。

      無視

      [無視] を選択すると、アラートのステータスが「無視済み」に変わります。セキュリティセンターでは、後続の検出でもこのアラートが生成されます。

      説明

      1 つ以上のアラートを無視できる場合、または誤検知である場合は、アラートを選択し、[アラート] ページのアラートリストの下にある [一度無視] または [ホワイトリストに追加] をクリックします。

      詳細クリーンアップ

      セキュリティセンターのセキュリティ専門家が永続ウイルスに対するテストと分析を実施した後、専門家はテストと分析結果に基づいて詳細クリーンアップ メソッドを開発し、永続ウイルスを検出して削除します。このメソッドを使用すると、リスクが発生する可能性があります。[詳細] をクリックすると、削除するウイルスに関する情報を表示できます。このメソッドはスナップショットをサポートしています。スナップショットを作成して、詳細クリーンアップ中に削除されたデータを復元できます。

      隔離

      [隔離] を選択すると、Security Center によって webshell ファイルが隔離されます。隔離されたファイルは、サービスを脅かすことはなくなります。

      警告

      • 悪意のあるコード スニペットがビジネス関連のファイルに書き込まれている場合、ファイルを隔離した後にビジネスが期待どおりに実行されない可能性があります。ファイルを隔離する前に、ビジネスへの影響を制御できることを確認してください。

      • 隔離されたファイルは 30 日以内に復元できます。復元後、ファイルに対して生成されたアラートがアラート リストに表示され、ファイルは Security Center によって監視されます。Security Center は、ファイルが隔離されてから 30 日後に自動的にファイルを削除します。

      ブロック

      [ブロック] を選択すると、セキュリティセンターは攻撃を防ぐためのセキュリティグループルールを生成します。ルールの有効期間を指定する必要があります。これにより、セキュリティセンターは [指定された期間] 内に悪意のある IP アドレスからのアクセスリクエストをブロックします。

      [プロセスを終了]

      [プロセスを終了] を選択すると、Security Center はアラートが生成されたプロセスを終了します。

      トラブルシューティング

      [トラブルシューティング] を選択すると、セキュリティセンターの診断プログラムがサーバーにインストールされているセキュリティセンター エージェントに関する情報を収集し、分析のためにセキュリティセンターに報告します。この情報には、ネットワーク ステータス、セキュリティセンター エージェントのプロセス、ログが含まれます。診断中は、CPU とメモリ リソースが消費されます。

      トラブルシューティングには、次のいずれかのモードを選択できます。

      • [標準]

        標準モードでは、セキュリティセンター エージェントのログが収集され、分析のためにセキュリティセンターに報告されます。

      • [厳格]

        厳格モードでは、セキュリティセンター エージェントに関する情報が収集され、分析のためにセキュリティセンターに報告されます。この情報には、ネットワーク ステータス、プロセス、ログが含まれます。

      手動処理済み

      このメソッドを選択した場合、アラートが生成されたリスクに対応済みであることを示します。

      同じ種類のアラートを処理

      この方法を選択すると、一度に複数のアラートを選択して処理できます。一度に複数のアラートを処理する前に、アラートの詳細を確認することをお勧めします。

      このルールをブロックしない

      セキュリティセンターで、ブロックルールに一致する URI を使用するリクエストをブロックしない場合は、このルールをブロックしない を選択します。このルールをブロックしない を選択すると、セキュリティセンターは、その URI を使用するリクエストのブロックやアラートの生成を停止します。

      通知なし防御

      このメソッドを選択すると、同じアラートが処理済みアラートリストに自動的に追加されます。セキュリティセンターからアラートが通知されなくなります。 慎重に行ってください。

      [アラート防御ルールを無効にする]

      この方法を選択すると、システムは自動防御ルールを無効にします。 慎重に行ってください。

      アラートを処理すると、アラートのステータスが未処理から処理済みに変わります。

    アラートに関する統計情報の表示

    セキュリティセンターは、有効になっているアラートタイプに基づいて統計情報を提供します。 これにより、アセットのアラート、および有効と無効のアラートタイプに関する最新の情報を入手できます。 アラートと有効なアラートタイプに関する統計情報を表示できます。

    1. セキュリティセンターコンソールにログオンします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 を選択します。

      説明

      CTDR 機能をアクティブにしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート > CWPP タブで、アラートに関する統計情報を表示します。

    パラメータ

    説明

    操作

    アラートが存在するサーバー

    アラートが生成されたサーバーの数。

    [アラートが発生しているサーバー] の下の数字をクリックして、ホストアセット ページの [サーバー] タブに移動します。 [サーバー] タブで、アラートが生成されたサーバーの詳細を表示します。

    緊急処理が必要なアラート

    未処理の Urgent アラートの数。

    [緊急アラート] の下の数字をクリックします。 システムは、[アラート] ページに緊急アラートを表示します。 Urgent アラートを表示および処理できます。

    説明

    Urgent アラートはできるだけ早く処理することをお勧めします。

    処理待ちのアラートの総数

    未処理アラートの総数。

    CWPP タブですべての未処理アラートの詳細を表示します。 詳細については、「アラートの表示と処理」をご参照ください。

    [精密防御]

    悪意のあるホスト行動からの保護 機能によって自動的に隔離されたウイルスの数。

    [精密防御] の下の数字をクリックします。 システムは、[アラート] ページに関連するアラートを表示します。 悪意のあるホスト動作防止機能によって自動的に隔離されたすべてのウイルスを表示できます。悪意のあるホスト行動からの保護

    説明

    セキュリティセンターによって隔離されたウイルスは無視できます。

    IP アドレスブロックポリシー / すべてのポリシーの有効化

    • 有効な IP アドレス制限ポリシー: 有効になっているブルートフォース攻撃に対する防御ポリシーによってブロックされた IP アドレスの数

    • すべてのポリシー: 作成されたすべてのブルートフォース攻撃に対する防御ポリシーによってブロックされた IP アドレスの数

    [有効な IP アドレス制限ポリシー / すべてのポリシー] の下の数字をクリックします。 IP アドレスルールポリシーライブラリ パネルで、有効になっている IP アドレス制限ポリシー、または作成されたすべての IP アドレス制限ポリシーを表示できます。 IP アドレス制限ポリシーの詳細については、「アラート設定の構成」をご参照ください。

    隔離されたファイルの数

    処理済みのアラートに基づいてセキュリティセンターによって隔離されたファイルの数。

    [隔離されたファイル] の下の数字をクリックします。 [隔離されたファイル] パネルで、隔離されたファイルの詳細を表示できます。 隔離されたファイルはサーバーに影響を与えません。 詳細については、「隔離されたファイルの表示と復元」をご参照ください。

    アラートデータのエクスポート

    セキュリティセンターは、緊急度、ステータス、発生時間、アセットグループ、アラート名などの条件に基づいてアラートデータをフィルタリングおよびエクスポートすることをサポートしています。

    1. セキュリティセンターコンソール にログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 を選択します。

      説明

      CTDR 機能を有効にしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート > CWPP タブで、エクスポートするアラートをフィルタリングします。

      セキュリティセンターは、選択したアラートをエクスポートします。

      image

    4. 右上隅にある image アイコンをクリックします。

    5. エクスポートが完了したら、[エクスポート済み] ダイアログボックスの [ダウンロード] をクリックして、アラートデータを保存します。

    アーカイブ済みアラートに関する統計情報の表示

    100 件を超えるアラートが存在する場合、セキュリティセンターは 30 日以上前に処理されたアラートのみを自動的にアーカイブします。アーカイブされたアラートは、セキュリティセンターコンソールに表示されなくなります。アーカイブ済みアラートに関する統計情報を表示する場合は、アーカイブ済みアラートのファイルをコンピュータにダウンロードできます。

    1. セキュリティセンターコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラート を選択します。

      説明

      CTDR 機能を有効にしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート ページの右上隅にある Cloud Workload Alert Management > アーカイブデータ をクリックします。

    4. アーカイブデータ ダイアログボックスで、アーカイブ済みアラートのファイルを表示します。

    5. ダウンロード 列の ダウンロードリンク をクリックして、アーカイブ済みアラートのファイルをコンピュータにダウンロードします。

      アーカイブ済みアラートのファイルは XLSX 形式です。アーカイブ済みアラートのファイルのダウンロードには 2 ~ 5 分かかります。ダウンロード操作に必要な時間は、ネットワーク帯域幅とファイルサイズによって異なります。

      ファイルをダウンロードした後、ファイル内のアラートに関する情報を表示できます。情報には、アラート ID、アラート名、アラートの詳細、リスクレベル、アラートのステータスが含まれます。影響を受けるアセットに関する情報、影響を受けるアセットの名前、アラート処理の提案、アラートが生成された時点も表示できます。

      説明

      アラートが [期限切れ] 状態の場合、アラートは過去 30 日以内に生成されましたが、アラートを処理していません。セキュリティセンターによって生成されたアラートはできるだけ早く処理することをお勧めします。

    隔離されたファイルの表示と復元

    セキュリティセンターは、悪意のあるファイルを隔離できます。隔離されたファイルは、アラートページの隔離パネルに一覧表示されます。ファイルが隔離されてから 30 日後に、システムは隔離されたファイルを自動的に削除します。隔離されたファイルにセキュリティリスクがないことが確認された場合は、ファイルが隔離されてから 30 日以内に、数クリックで隔離されたファイルを復元できます。

    1. セキュリティセンターコンソールにログオンします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラート を選択します。

      説明

      CTDR 機能を有効にしている場合、左側のナビゲーションウィンドウは CTDR > セキュリティアラート に変わります。

    3. セキュリティアラート ページの右上隅にある Cloud Workload Alert Management > [隔離されたファイル] をクリックします。

    4. [隔離されたファイル] パネルで、隔離されたファイルに関する情報を表示するか、隔離されたファイルを復元します。

      • 隔離されたファイルに関する情報を表示できます。情報には、サーバーの IP アドレス、ファイルを保存するディレクトリ、ファイルのステータス、最終変更時刻が含まれます。

      • 隔離されたファイルを復元することもできます。ファイルを見つけて、[アクション] 列の 復元 をクリックします。ファイルに対して生成されたアラートが、アラートリストに再度表示されます。

    次の手順

    • 悪意のあるホストの動作防御や Webshell 防止などの機能を有効にできます。これらの機能を有効にすると、システムはサーバー上のウイルスを自動的にブロックします。詳細については、「ホスト保護設定タブで機能を有効にする」をご参照ください。

    • Kubernetes の脅威検出とコンテナーエスケープ防止機能を有効にできます。これらの機能を有効にすると、システムは [k8s 異常動作] タイプと [コンテナーエスケープ防止] タイプのアラートを生成します。詳細については、「コンテナー保護設定タブで機能を有効にする」をご参照ください。

    • アセットの Web ディレクトリを管理し、アラートのホワイトリストルールを設定できます。詳細については、「アラート設定を構成する」をご参照ください。