サーバーにハニーポットをデプロイした後、ハニーポットはクラウド内外で起動されたサーバーへの攻撃をキャプチャします。 攻撃の統計は、Cloud Honeypotページにアラートとして表示されます。 サーバーのセキュリティを確保するために、できるだけ早い機会にアラートを表示して処理することをお勧めします。 このトピックでは、アラートを表示および処理する方法について説明します。

アラートの表示

  1. Security Center コンソールにログインします。.
  2. 左側のナビゲーションペインで、[検出] > [クラウドハニーポット] を選択します。
  3. Cloud Honeypotページで、アラートを表示します。
    Cloud Honeypotページには、概要とアラートリストが表示されます。
    • アラートの概要

      概要セクションでは、[ノードステータスの管理][承認済みプローブ][使用可能なプローブ][デプロイ済みホストプローブ] などの情報を表示できます。

      クラウドハニーポットに十分なプローブがない場合は、[設定のアップグレード] をクリックしてプローブを購入できます。

    • アラートリスト

      アラートリストでは、攻撃に対して生成されたアラートの詳細を表示できます。 攻撃はハニーポットによってキャプチャされます。 アラートリストには、[リスクレベル][リスクの概要][攻撃元] などの情報が表示されます。

      アラートを見つけて、[操作] 列の [ログの表示] をクリックします。 [攻撃ソース] ページで、アラートに関連するログのリストを表示できます。 ログを見つけて、[操作] 列の [詳細] をクリックします。 表示されるページで、[基本情報] および [攻撃タイムライン] セクションにログの詳細が表示されます。 アラートをトリガーする攻撃のログの詳細が提供されます。

アラートの処理

  1. Security Center コンソールにログインします。.
  2. 左側のナビゲーションペインで、[検出] > [クラウドハニーポット] を選択します。
  3. Cloud Honeypotページで、アラートを処理します。
    アラートの詳細に基づいて、次のいずれかの方法を使用してアラートを処理できます。
    • ホワイトリストにアラートを追加する
      重要 ホワイトリストにアラートを追加すると、アラートと同じ攻撃情報を持つ他のアラートはアラートリストに表示されなくなり、攻撃によってアラートがトリガーされなくなります。 アセットのセキュリティを確保するため、必要な場合を除き、ホワイトリストにアラートを追加しないことを推奨します。
      アラートの詳細を表示した後、通常のワークロードに対してアラートが生成されていることを確認した場合は、ホワイトリストにアラートを追加できます。 ホワイトリストにアラートを追加するには、次の操作を実行します。アラートを検索し、[操作] 列の [ハンドル] をクリックします。 表示されるダイアログボックスで、ソリューションを [ホワイトリストに追加] に設定し、[OK] をクリックします。
      ホワイトリストにアラートが追加された後、Security Centerを有効にして、その後の検出でアラートを報告できます。 処理済みアラートリストでアラートを見つけ、[操作] 列の [処理] をクリックします。 表示されるダイアログボックスで、ソリューションを [ホワイトリストから削除] に設定し、[OK] をクリックします。
    • アラートを処理済みとしてマークする

      アラートの詳細で攻撃に対してアラートが生成されていることを確認した場合は、サーバーまたはVPCで検出された攻撃を処理する必要があります。 攻撃を処理した後、アラートを処理済みとしてマークできます。 アラートを処理済みとしてマークするには、次の操作を実行します。アラートを検索し、[操作] 列の [ハンドル] をクリックします。 表示されるダイアログボックスで、ソリューションを [処理済みとしてマーク] に設定し、[OK] をクリックします。