Security Centerがアラートを生成すると、アラートに関する詳細がSecurity Centerコンソールの [アラート] ページに表示されます。 生成されたアラートは、[アラート] ページで表示および処理できます。 このトピックでは、アラートを表示および処理する方法について説明します。
背景情報
アラートが処理されない場合は、[アラート] ページの [未処理] アラートリストに表示されます。 アラートが処理されると、アラートのステータスが未処理から処理済みに変わります。
アラートの表示
- Security Center コンソールにログインします。.
- 左側のナビゲーションペインで、[検出] > [アラート] を選択します。
- [アラート] ページで、侵入と脅威に対して生成されたすべてのアラートを検索するか、アラートの詳細を表示します。
次の操作を実行できます。
- 次のいずれかの方法を使用してアラートを検索する
- アラートリストの上のフィルターを使用します。 フィルターには、Emergency level、Handled or Not、およびFilterが含まれます。
- アラートリストの左側にある [アラートタイプ] セクションのアラートタイプ、または [攻撃フェーズ] セクションの攻撃フェーズをクリックします。
- アラートに関する詳細を表示する
[アラート] ページで、詳細を表示するアラートの名前をクリックします。 表示されるパネルで、アラートに関連する詳細と例外を表示できます。 これにより、アラートを分析し、攻撃ソースを追跡し、効率的かつ包括的な方法で攻撃のパスを特定できます。 アラートに関連する例外の詳細については、「アラートに関連する例外の表示」をご参照ください。 攻撃ソースを追跡する方法の詳細については、「t78657.html#concept_m13_lbx_bgb」をご参照ください。
アラート名の右側にあるアイコンの上にポインターを移動すると、アラートに関連する攻撃の発生源または例外が表示されます。アラート名の右側のアイコンを次の表に示します。アイコン パラメーター名 説明 攻撃ソーストレース 攻撃ソーストレースの機能は、ビッグデータ分析エンジンを使用して、さまざまなAlibaba Cloudサービスからのログを処理、集約、視覚化します。 そして、解析結果に基づいて侵入のイベントチェーン図を生成する。 このようにして、侵入の原因を特定し、できるだけ早い機会に情報に基づいた決定を下すことができます。 アイコンをクリックして、診断タブに移動します。 詳細については、「t78657.html#concept_m13_lbx_bgb」をご参照ください。 調査 調査機能は、攻撃に関する視覚化された情報を提供します。 攻撃が開始されたソースIPアドレスを表示し、侵入の原因を分析できます。 この機能は、攻撃された資産を特定し、資産のセキュリティを強化するのに役立ちます。 アイコンをクリックして、調査ページに移動します。 関連する例外 このアイコンの上にポインターを移動すると、アラートに関連する例外の数が表示されます。 主要な活動のための保護モード 主要なアクティビティのセーフガードモードは、Security Centerエージェントがサポートする保護モードです。 モードを有効にして、主要なアクティビティを保護できます。 モードを有効にすると、Security Centerは疑わしい侵入や潜在的な脅威に対するアラートを生成します。 このアイコンがアセットで生成されたアラートの名前の横に表示されている場合、アセットの主要なアクティビティのセーフガードモードが有効になります。 詳細については、「t147751.html#concept_tst_13z_dhb」をご参照ください。 攻撃フェーズ 攻撃は、攻撃ポータル、負荷供給、特権エスカレーション、エスケープ検出、許可維持、側方移動、リモートコントロール、データ侵害、トレースクリーニング、および損傷のフェーズを含む。 攻撃フェーズアイコンをクリックすると、攻撃されたアセットの攻撃フェーズとアセットのセキュリティステータスを表示できます。 ブロックされました Blockedアイコンは、Security Centerがウイルスファイルの悪意のあるプロセスを終了したことを示します。 ファイルはもはやあなたのサービスを脅かすことはできません。 できるだけ早い機会にファイルを隔離することを推奨します。 - Security Centerによって自動的に処理されるアラートの表示
[アラート] ページで、[処理済みかどうか] を [処理済み] に設定し、[ステータス] を [正常な傍受] に設定します。 これにより、Security Centerによって自動的に隔離された一般的なウイルスに対して生成されたすべてのアラートを表示できます。
- 次のいずれかの方法を使用してアラートを検索する
アラートの処理
- Security Center コンソールにログインします。.
- 左側のナビゲーションペインで、[検出] > [アラート] を選択します。
- [アラート] ページで、処理するアラートを見つけ、[操作] 列の [処理] をクリックします。 注 アラートが複数の例外に関連している場合、[処理] をクリックするとアラートの詳細パネルが表示されます。 パネルで例外を処理できます。 詳細については、「アラートに関連する例外の表示」をご参照ください。
- アラートを処理する方法を選択します。 次の表に、すべてのメソッドを示します。
メソッド 説明 アンチウイルス Anti-Virusを選択すると、アラートが生成された悪意のあるプロセスを終了し、悪意のあるプロセスのソースファイルを隔離できます。 隔離されたファイルは、サービスを脅かすことはできません。 アラートが肯定的であることを確認した場合、次のいずれかの方法を使用してアラートを手動で処理できます。- プロセスを終了します。: 悪意のあるプロセスを終了します。
- プロセスのソースファイルを分離: ウイルスファイルを隔離します。 ウイルスファイルが隔離された後、ファイルはもはやあなたのサーバーを脅かすことはできません。 詳細については、「検疫機能の使用」をご参照ください。
重要 隔離されたファイルは30日以内に復元できます。 ファイルに対して生成されたアラートはアラートリストに表示され、ファイルはSecurity Centerによって監視されます。 セキュリティセンターは、隔離されてから30日後にファイルを自動的に削除します。
ホワイトリストに追加 アラートが偽陽性の場合は、ホワイトリストにアラートを追加できます。 ホワイトリストに追加できるアラートに基づいてルールを指定できます。 [ホワイトリストに追加] を選択し、IPアドレス10.XX. XX.198からのログオン試行に対して生成されたアラートをホワイトリストに追加するルールを指定すると、アラートのステータスが [処理済み] に変わります。 Security Centerは、IPアドレス10.XX. XX.198からのログオン試行に対するアラートを生成しなくなりました。 [処理済み] アラートリストで、[ホワイトリストの削除] をクリックして、ホワイトリストからアラートを削除できます。 注ルールを指定するときは、上記の例の10.XX. XX.198を実際のIPアドレスに置き換える必要があります。
この方法を選択すると、選択したアラートがホワイトリストに追加され、指定されたホワイトリストルールを満たすイベントに対するアラートがSecurity Centerから生成されなくなります。 Security Centerのホワイトリストに追加できるアラートの詳細については、「ホワイトリストに追加できるアラート」をご参照ください。
Security Centerが通常のプロセスでアラートを生成する場合、アラートは誤検出と見なされます。 一般的な誤検知には、TCPパケットを送信する疑わしいプロセスに対して生成されたアラートが含まれ、サーバーが他のデバイスで疑わしいスキャンを開始したことを通知します。
無視する [無視] を選択した場合、アラートのステータスは [無視] に変わります。 セキュリティセンターは、その後の検出でこのアラートを生成します。 注 1つ以上のアラートが無視されるか、誤検知である場合は、アラートを選択し、[アラート] ページのアラートリストの下にある [1回無視] または [ホワイトリストの追加] をクリックします。深いクリーンアップ セキュリティセンターの専門家が永続的なウイルスのテストと分析を実施した後、専門家はテストと分析の結果に基づいてDeep cleanupメソッドを開発し、永続的なウイルスを検出して削除します。 この方法を使用すると、リスクが発生する可能性があります。 このメソッドはスナップショットをサポートします。 スナップショットを作成して、ディープクリーンアップ中に削除されたデータを復元できます。 悪意のある防御動作をオフにする [悪意のある防御動作を無効にする] を選択した場合、Security Centerは、アラートファイルまたはプロセスが存在するコンテナを停止します。 Security Centerはコンテナーを削除しません。 Kubernetesクラスターを使用する場合、Security Centerは、コンテナーが属するポッドではなく、アラートが生成されたコンテナーのみを停止します。 重要 この方法を使用する前に、コンテナーが停止してもサービスが影響を受けないことを確認してください。 操作は慎重に行ってください。分離 [分離] を選択した場合、Security Centerはwebshellファイルを隔離します。 隔離されたファイルは、サービスを脅かすことはできません。 重要 隔離されたファイルは30日以内に復元できます。 ファイルに対して生成されたアラートはアラートリストに表示され、ファイルはSecurity Centerによって監視されます。 セキュリティセンターは、隔離されてから30日後にファイルを自動的に削除します。ブロック [ブロック] を選択すると、Security Centerは攻撃から防御するセキュリティグループルールを生成します。 ルールの有効期間を指定する必要があります。 これにより、Security Centerは、指定された期間内に悪意のあるIPアドレスからのアクセス要求をブロックします。 終了プロセス プロセスの終了を選択した場合、Security Centerはアラートが生成されたプロセスを終了します。 トラブルシューティング トラブルシューティングを選択した場合、Security Centerの診断プログラムは、サーバーにインストールされているSecurity Centerエージェントに関する情報を収集し、その情報を分析のためにSecurity Centerに報告します。 情報には、ネットワークステータス、Security Centerエージェントのプロセス、およびログが含まれます。 診断中、CPUとメモリのリソースが消費されます。 トラブルシューティングには、次のいずれかのモードを選択できます。- 標準
標準モードでは、Security Centerエージェントのログが収集され、分析のためにSecurity Centerに報告されます。
- 厳格な
厳密モードでは、Security Centerエージェントに関する情報が収集され、分析のためにSecurity Centerに報告されます。 情報には、ネットワークステータス、プロセス、およびログが含まれます。
手動で処理 [手動で処理] を選択した場合、アラートが生成されるリスクを処理したことを示します。 バッチ未処理 (同じルールまたはタイプによってトリガーされたアラートを結合) バッチ未処理 (同じルールまたはタイプによってトリガーされたアラートを組み合わせる) を選択した場合、一度に処理する複数のアラートを選択できます。 一度に複数のアラートを処理する前に、アラートに関する詳細を表示することをお勧めします。 - [今すぐ処理] をクリックします。 アラートの処理後、アラートのステータスが未処理から処理済みに変わります。