アセットのセキュリティを確保するために、security Centerによって生成されたアセットのアラートを表示し、できるだけ早い機会にアラートを処理することを推奨します。 このトピックでは、アラートを表示および処理する方法について説明します。
アラートの表示
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティアラートの処理 ページで、アラートを表示します。
説明EnterpriseエディションとUltimateエディションのみが、攻撃ソーストレースの機能をサポートしています。
セキュリティセンターは、脅威が検出されてから10分後にトレースする自動攻撃ソースのチェーンを生成します。 アラートが生成されてから10分後に、攻撃ソースのトレースに関する情報を表示することを推奨します。
アラートが生成されてから3か月後、アラートの攻撃元トレースに関する情報は自動的に削除されます。 アラートの攻撃ソーストレースに関する情報をできるだけ早く表示することを推奨します。
セキュリティセンターには、攻撃元の追跡機能があります。 この機能は、攻撃のソースを自動的に追跡し、元のデータプレビューを提供します。 攻撃ソーストレースの機能は、ビッグデータ分析エンジンを使用して、さまざまなAlibaba Cloudサービスからのログを処理、集約、視覚化します。 そして、解析結果に基づいて侵入のイベントチェーン図を生成する。 このようにして、侵入の原因を特定し、できるだけ早い機会に情報に基づいた決定を下すことができます。 この機能は、webへの侵入、ワームイベント、ランサムウェア、クラウド内の疑わしいソースへの不正通信など、脅威に対する緊急の対応とソース追跡が必要なシナリオで使用できます。
アラートリストで、ソースをトレースするアラートを見つけ、アラート名 列の
アイコンをクリックします。 または、必要なアラートの [操作] 列で 詳細 をクリックして、アラートの詳細ページに移動します。 アラートの詳細ページで、トレーサビリティセクションのイベントトレース図を表示します。 イベントトレース図の各ノードをクリックすると、ノード情報が表示されます。 AI 分析 をクリックして、イベントトレース図の説明を表示することもできます。 調査機能は、攻撃に関する視覚化された情報を提供します。 攻撃が開始されたソースIPアドレスを表示し、侵入の原因を分析できます。 この機能は、攻撃された資産を特定し、資産のセキュリティを強化するのに役立ちます。
アラートリストで必要なアラートを見つけ、アラート名 列の
アイコンをクリックして [調査] ページに移動します。 説明アラート名 列に 保護されています が表示されている場合、Security Centerはウイルスファイルの悪意のあるプロセスを終了します。 ファイルはもはやあなたのサービスを脅かすことはできません。 できるだけ早い機会にファイルを隔離することを推奨します。
アラート名 列に厳密なモードが表示されている場合、サーバーのアラート検出モードは厳密なモードです。 厳密モードでは、Security Centerはより疑わしい動作を検出し、アラートを生成します。 ただし、このモードでは偽陽性率が高くなります。 詳細については、「ホスト保護の設定」タブの機能の有効化をご参照ください。
アラートの処理
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティアラートの処理 ページで、管理するアラートを見つけ、[操作] 列の 処理 をクリックします。 表示されるダイアログボックスで、アラートを処理する処理方法を選択し、[今すぐ処理] をクリックします。
説明異なるタイプのアラートは、異なる処理方法をサポートする。 Security Centerコンソールに表示される処理方法が優先されます。
ビジネス要件に基づいてメモを追加できます。 たとえば、アラートを処理する理由とアラートを処理するユーザーを入力できます。 これは、処理されるアラートの管理に役立ちます。
移動方法
説明
ウイルスの検出と除去
[ウイルスの検出と削除] を選択すると、アラートが生成された悪意のあるプロセスを終了し、悪意のあるプロセスのソースファイルを隔離できます。 隔離されたファイルは、サービスを脅かすことはできません。
アラートが肯定的であることを確認した場合は、次のいずれかの方法を使用してアラートを手動で処理できます。
プロセスの終了: 悪意のあるプロセスを終了します。
プロセスおよび検疫ソースファイルの終了: ウイルスファイルを隔離します。 ウイルスファイルが隔離された後、ファイルはもはやあなたのサーバーを脅かすことはできません。 詳細については、「隔離されたファイルの表示と復元」をご参照ください。
警告悪意のあるコードスニペットがビジネス関連のファイルに書き込まれた場合、ファイルを隔離した後、ビジネスが期待どおりに実行されない可能性があります。 ファイルを検疫する前に、ビジネスへの影響が制御可能であることを確認してください。
隔離されたファイルは30日以内に復元できます。 復元後、ファイルに対して生成されたアラートがアラートリストに表示され、ファイルはSecurity Centerによって監視されます。 セキュリティセンターは、隔離されてから30日後にファイルを自動的に削除します。
ホワイトリストに追加
アラートが偽陽性の場合は、ホワイトリストにアラートを追加できます。 ホワイトリストルールを指定して、ルールの条件を満たすアラートをホワイトリストに追加することもできます。 たとえば、Exploit Kit Behaviorアラートのホワイトリストに追加を選択し、aaを含むコマンドに対して生成されたアラートをホワイトリストに追加するルールを指定します。 設定後、アラートのステータスはHandledに変わります。 Security Centerは、aaを含むコマンドのアラートを生成しなくなりました。 処理済みアラートリストでは、ホワイトリストからアラートを削除できます。
説明この方法を選択すると、選択したアラートがホワイトリストに追加されます。 ホワイトリストルールを指定することもできます。 ホワイトリストルールを指定すると、ルールの条件が満たされている場合、Security Centerは選択したアラートと同じアラートを生成しなくなります。 Security Centerのホワイトリストに追加できるアラートの詳細については、ホワイトリストに追加できるアラートは何ですか?
Security Centerが通常のプロセスでアラートを生成する場合、アラートは誤検出と見なされます。 一般的な誤検出には、異常なTCPパケットに対して生成されるアラートが含まれます。 このアラートは、サーバーが他のデバイスで疑わしいスキャンを開始したことを通知します。
無視する
[無視] を選択した場合、アラートのステータスは [無視] に変わります。 セキュリティセンターは、その後の検出でこのアラートを生成します。
説明1つ以上のアラートが無視されるか、誤検知である場合は、アラートを選択し、[アラート] ページのアラートリストの下にある [1回無視] または [ホワイトリストに追加] をクリックします。
詳細なクリーンアップ
セキュリティセンターのセキュリティ専門家が永続的なウイルスのテストと分析を実施した後、専門家は永続的なウイルスを検出して削除するためのテストと分析の結果に基づいて詳細なクリーンアップ方法を開発します。 この方法を使用すると、リスクが発生する可能性があります。 [詳細] をクリックすると、削除するウイルスに関する情報が表示されます。 このメソッドはスナップショットをサポートします。 スナップショットを作成して、ディープクリーンアップ中に削除されたデータを復元できます。
検疫
隔離を選択した場合、Security Centerはwebshellファイルを隔離します。 隔離されたファイルは、サービスを脅かすことはできません。
警告悪意のあるコードスニペットがビジネス関連のファイルに書き込まれた場合、ファイルを隔離した後、ビジネスが期待どおりに実行されない可能性があります。 ファイルを検疫する前に、ビジネスへの影響が制御可能であることを確認してください。
隔離されたファイルは30日以内に復元できます。 復元後、ファイルに対して生成されたアラートがアラートリストに表示され、ファイルはSecurity Centerによって監視されます。 セキュリティセンターは、隔離されてから30日後にファイルを自動的に削除します。
ブロック
[ブロック] を選択すると、Security Centerは攻撃から防御するセキュリティグループルールを生成します。 ルールの有効期間を指定する必要があります。 これにより、Security Centerは、指定された期間内に悪意のあるIPアドレスからのアクセス要求をブロックします。
終了プロセス
プロセスの終了を選択した場合、Security Centerはアラートが生成されたプロセスを終了します。
トラブルシューティング
トラブルシューティングを選択した場合、Security Centerの診断プログラムは、サーバーにインストールされているSecurity Centerエージェントに関する情報を収集し、その情報を分析のためにSecurity Centerに報告します。 情報には、ネットワークステータス、Security Centerエージェントのプロセス、およびログが含まれます。 診断中、CPUとメモリのリソースが消費されます。
トラブルシューティングには、次のいずれかのモードを選択できます。
標準
標準モードでは、Security Centerエージェントのログが収集され、分析のためにSecurity Centerに報告されます。
厳格な
厳密モードでは、Security Centerエージェントに関する情報が収集され、分析のためにSecurity Centerに報告されます。 情報には、ネットワークステータス、プロセス、およびログが含まれます。
手動で処理
この方法を選択した場合、アラートが生成されるリスクを処理したことを示します。
ハンドル同じタイプのアラート
この方法を選択すると、一度に処理する複数のアラートを選択できます。 一度に複数のアラートを処理する前に、アラートの詳細を表示することを推奨します。
このルールをブロックしない
URIがブロッキングルールと一致するリクエストをSecurity Centerでブロックしない場合は、このルールをブロックしない を選択します。 このルールをブロックしない を選択すると、Security CenterはURIを使用するリクエストをブロックしたり、アラートを生成したりしなくなります。
防衛通知なし
この方法を選択すると、同じアラートが自動的に処理済みアラートリストに追加されます。 セキュリティセンターからアラートが通知されなくなりました。 作業は慎重に行ってください。
警告防御ルールを無効にする
この方法を選択すると、システムは自動防御ルールを無効にします。 作業は慎重に行ってください。
アラートを処理すると、アラートのステータスが未処理から処理済みに変わります。
アラートに関する統計の表示
セキュリティセンターは、有効になっているアラートの種類に基づいて統計を提供します。 これにより、アセットのアラート、および有効および無効のアラートの種類に関する最新の情報を取得できます。 アラートに関する統計と有効なアラートの種類を表示できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティアラートの処理 ページの上部で、アラートに関する統計を表示します。
パラメーター
説明
操作
アラートが存在するサーバー
アラートが生成されるサーバーの数。
[アラートサーバー] の下の番号をクリックして、ホストアセット ページの [サーバー] タブに移動します。 [サーバー] タブで、アラートが生成されるサーバーの詳細を表示します。
緊急処理が必要なアラート
未処理の緊急アラートの数。
緊急アラートの下の番号をクリックします。 システムは、アラートページに緊急アラートを表示します。 緊急アラートを表示および処理できます。
説明できるだけ早い機会に緊急アラートを処理することを推奨します。
処理待ちのアラートの総数
未処理のアラートの総数。
セキュリティアラートの処理 ページで、未処理のすべてのアラートの詳細を表示します。 詳細については、「アラートの表示と処理」をご参照ください。
正確な防御
悪意のあるホスト行動からの保護機能によって自動的に隔離されるウイルスの数。
Precise Defenseの下の番号をクリックしてください。 関連するアラートが [アラート] ページに表示されます。 悪意のあるホストの動作防止機能によって自動的に隔離されたすべてのウイルスを表示できます。悪意のあるホスト行動からの保護
説明セキュリティセンターによって隔離されたウイルスは無視できます。
IP アドレスブロックポリシー / すべてのポリシーの有効化
有効なIPアドレスブロックポリシー: 有効になっているブルートフォース攻撃に対する防御ポリシーによってブロックされたIPアドレスの数
すべてのポリシー: 作成されたブルートフォース攻撃に対するすべての防御ポリシーによってブロックされたIPアドレスの数
有効なIPアドレスブロックポリシー /すべてのポリシーの下の数字をクリックします。 IP アドレスルールポリシーライブラリ パネルで、有効になっているIPアドレスブロックポリシー、または作成されたすべてのIPアドレスブロックポリシーを表示できます。 IPアドレスブロックポリシーの詳細については、「アラート設定の設定」をご参照ください。
隔離されたファイルの数
処理されたアラートに基づいてセキュリティセンターによって隔離されたファイルの数。
隔離されたファイルの下の番号をクリックします。 隔離されたファイルパネルでは、隔離されたファイルの詳細を表示できます。 隔離されたファイルはサーバーに影響しません。 詳細については、「隔離されたファイルの表示と復元」をご参照ください。
アーカイブされたアラートに関する統計を表示する
100を超えるアラートが存在する場合、Security Centerは30日前に処理されたアラートのみを自動的にアーカイブします。 アーカイブされたアラートは、Security Centerコンソールに表示されなくなります。 アーカイブされたアラートに関する統計を表示する場合は、アーカイブされたアラートのファイルをコンピューターにダウンロードできます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティアラートの処理 ページの右上隅にある アーカイブデータ をクリックします。
アーカイブデータ ダイアログボックスで、アーカイブされたアラートのファイルを表示します。
ダウンロードリンク 列の ダウンロード をクリックして、アーカイブされたアラートのファイルをコンピューターにダウンロードします。
アーカイブされたアラートのファイルはXLSX形式です。 アーカイブされたアラートのファイルをダウンロードするのに2〜5分かかります。 ダウンロード操作に必要な時間は、ネットワーク帯域幅とファイルサイズによって異なります。
ファイルをダウンロードした後、ファイル内のアラートに関する情報を表示できます。 情報には、アラートID、アラート名、アラートの詳細、リスクレベル、およびアラートのステータスが含まれます。 また、影響を受けるアセットに関する情報、影響を受けるアセットの名前、アラートを処理するための提案、およびアラートが生成された時点を表示することもできます。
説明アラートが期限切れ状態の場合、過去30日以内にアラートが生成されていますが、アラートは処理されていません。 セキュリティセンターによって生成されたアラートは、できるだけ早い機会に処理することを推奨します。
隔離されたファイルの表示と復元
セキュリティセンターは、悪意のあるファイルを隔離できます。 隔離されたファイルは、[アラート] ページの隔離パネルに一覧表示されます。 隔離されたファイルは、隔離されてから30日後に自動的に削除されます。 隔離されたファイルがセキュリティ上のリスクにさらされていないことを確認した場合、ファイルが隔離されてから30日以内に数回クリックするだけで、隔離されたファイルを復元できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティアラートの処理 ページの右上隅にある [隔離ファイル] をクリックします。
隔離されたファイルパネルで、隔離されたファイルに関する情報を表示するか、隔離されたファイルを復元します。
隔離されたファイルに関する情報を表示できます。 情報には、サーバーのIPアドレス、ファイルを格納するディレクトリ、ファイルのステータス、および最後の変更の時間が含まれます。
隔離されたファイルを復元することもできます。ファイルを見つけて、[操作] 列の 復元 をクリックします。 ファイルに対して生成されたアラートは、アラートリストに再度表示されます。
次に何をすべきか
悪意のあるホストの動作防御やWebシェル防止などの機能を有効にできます。 機能を有効にすると、システムはサーバー上のウイルスを自動的にブロックします。 詳細については、「ホスト保護の設定」タブの機能の有効化をご参照ください。
Kubernetesの脅威検出機能とコンテナーエスケープ防止機能を有効にできます。 機能を有効にすると、K8s異常動作およびContainer Escape Preventionタイプのアラートが生成されます。 詳細については、「コンテナー保護の設定タブの機能の有効化」をご参照ください。
アセット上のwebディレクトリを管理し、アラートのホワイトリストルールを設定できます。 詳細については、「アラート設定の設定」をご参照ください。