アラート通知の設定 - Security Center - Alibaba Cloud ドキュメントセンター

通知設定機能を使用して、セキュリティアラート、脆弱性インテリジェンス、ベースラインリスクなどのセキュリティイベントのアラートポリシーを設定できます。メール、内部メッセージ、または DingTalk ロボットを介して通知を受信し、セキュリティリスクに迅速に対応できます。

通知受信者の管理

アラートメトリックを設定する前に、通知を受信するセキュリティ連絡先を指定する必要があります。デフォルトでは、通知は Alibaba Cloud アカウントの登録時に指定した連絡先に送信されます。詳細については、「セキュリティメッセージ受信者を追加するためのベストプラクティス」をご参照ください。

Alibaba Cloud メッセージセンターに移動します。[セキュリティメッセージ] タブで、Alibaba Cloud セキュリティ情報通知を見つけ、[操作] 列の [変更] をクリックして [メッセージ受信設定の変更] ページを開きます。
[メッセージ受信者] タブで、通知受信者を管理できます。
- 既存の連絡先を選択: 表示されるダイアログボックスで、通知を受信する各連絡先の横にあるチェックボックスを選択します。
- 新しい連絡先を追加: [メッセージ受信者管理] をクリックします。[メッセージ受信者管理] ページで、右上隅の [メッセージ受信者の追加] をクリックします。次に、名前メールアドレスを入力し、設定を保存します。
  説明
  新しく追加されたメールアドレスは、アラートを受信する前に検証する必要があります。システムからのメールを確認し、指示に従って検証を完了してください。詳細については、「基本的なメッセージ通知の管理」をご参照ください。
- 連絡先の変更: [メッセージ受信者管理] をクリックします。[メッセージ受信者管理] ページで、目的の連絡先の [操作] 列にある [編集] ボタンをクリックします。名前メールアドレスを入力し、変更を保存します。
選択後、[保存] をクリックします。設定はすぐに有効になります。

通知の設定

メール、内部メッセージ通知の設定

Security Center は、メールや内部メッセージを含む通知チャネルを提供します。これらのチャネルをさまざまな通知項目に設定できます。設定はすぐに有効になります。

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 通知設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
メール / サイト内通知 タブで、設定する通知項目を見つけます。その後、次の説明に基づいて 通知時間、留意するレベル、Notification Method を設定できます。
- Notification Time：
  - 24 時間: 24 時間 365 日、リアルタイムで通知を送信します。このオプションは、重要かつ緊急のイベントに推奨されます。
  - 08:00–20:00: 指定された時間帯にのみ通知を送信します。
  重要
  - 選択した時間帯以外で通知イベントがトリガーされた場合、一部の項目の通知が遅延することがあります。実際に通知を受信した時刻が優先されます。
  - 送信頻度はシステムによって設定されており、変更できません。詳細については、「クォータと制限」をご参照ください。
- 留意するレベル: 報告するアラートの重大度。たとえば、重大および重要なアラートの通知のみを受信できます。
- Notification Method: ショートメッセージ、メール、内部メッセージなど、複数のオプションを選択できます。
  重要
  - 一部のアラート項目は、特定の通知方法のみをサポートしています。コンソールで利用可能なオプションは、サポートされているメソッドを反映しています。
  - 複数の通知方法を選択した場合、システムは同じ通知をすべての選択されたチャネルに同時に送信します。

DingTalk ロボット通知の設定

DingTalk ロボット通知を設定すると、DingTalk グループで Security Center からのリアルタイムの脅威アラートを受信できます。

適用範囲

サブスクリプション: EnterpriseまたはUltimate。現在のエディションがサポートされていない場合は、スペックアップする必要があります。
従量課金: 少なくとも 1 つの従量課金機能を有効にする必要があります。従量課金機能を有効にしていない場合は、「購入」をご参照ください。

手順

Webhook URL の取得
- 作成されたロボットがない場合
  1. DingTalk クライアントで、対象のグループチャットを選択し、右上隅にある [グループ設定] ボタンをクリックします。
  2. [グループ管理] セクションの [ロボット] をクリックします。ロボット管理ページで、[ロボットの追加] をクリックし、[カスタム] を選択します。
  3. [セキュリティ設定] エリアで、[カスタムキーワード] を Security Center または Security に設定し、[「カスタムロボットサービスと免責事項」を読み、同意します] チェックボックスを選択します。
  4. [完了] をクリックします。ロボットが追加されると、Webhook URL が表示されます。
- 作成されたロボット
  1. DingTalk クライアントで、対象のグループチャットを選択し、右上隅にある [グループ設定] ボタンをクリックします。
  2. [グループ管理] セクションの [ロボット] をクリックします。ロボット管理ページで、ターゲットロボットをクリックして詳細ページで Webhook URL を表示します。

Security Center でロボットを追加

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 通知設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。

通知設定 ページの DingTalk チャットボット タブに移動し、新しいロボットを追加する をクリックします。DingTalk チャットロボットを追加する パネルで、パラメーターを設定し、追加をクリックします。次の表に、重要なパラメーターを示します。

説明

新しい DingTalk ロボットは、デフォルトで Enable になっています。

設定項目	説明
Webhook アドレス	ステップ 1 で取得した Webhook URL をコピーして貼り付けます。重要 Webhook URL は機密情報として扱ってください。公開ウェブサイトで公開しないでください。Webhook URL が漏洩すると、セキュリティリスクが生じる可能性があります。
アセットグループ	Security Center のアセットセンターセクションで作成したアセットグループを選択します。グループを選択すると、ロボットはこのグループ内のアセットに関連するアラート通知を送信します。アセットの設定方法については、「サーバーグループの管理」をご参照ください。
通知スコープ	DingTalk ロボット通知を受信するアラートタイプとリスクレベルを選択します。説明通知レベルとタイプは、OR 条件に基づいてトリガーされます。いずれかの条件が満たされると通知が送信されます。ロボット通知は、次のタイプでのみサポートされています: 脆弱性、ベースラインチェック、セキュリティアラート、AccessKey 漏洩検出、クラウドハニーポット、アプリケーション保護、ランサムウェア対策、コアファイル監視、および悪意のあるファイル検出。
通知頻度	DingTalk ロボットが通知を送信する間隔。重要 1 つの DingTalk ロボット Webhook は、1 分あたり最大 20 件の通知を受信できます。詳細については、「DingTalk ロボットの頻度とレート制限ルール」をご参照ください。
通知言語	DingTalk ロボットが送信する通知の言語。中国語または英語を選択できます。

通知のテスト (オプション)
DingTalk ロボットリストで新しく作成したロボットを見つけ、操作する 列の テスト をクリックして、DingTalk グループへの接続を確認します。
説明
DingTalk ロボット通知を編集または削除できます。ロボット設定を削除すると、DingTalk ロボットから関連するアラートを受信しなくなります。これは、既存のメール、または内部メッセージ通知には影響しません。

通知の無効化

メール、内部メッセージ通知の無効化

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 通知設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
メール / サイト内通知 タブで、目的の通知項目を見つけ、Notification Method 列で、使用しなくなったチャネルのチェックボックスをオフにします。

DingTalk ロボットの無効化

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 通知設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。

DingTalk チャットボット タブで、管理するロボットを見つけ、次のいずれかの操作を実行します:

目的	方法	注意
一時的に無効化 (すべての通知を一時的に無効にする)	Enabling Status 列のスイッチをオフにします。	設定は保存され、いつでも再度有効にできます。
完全に削除 (このロボットの使用を停止する)	Actions 列の [削除] をクリックします。	この操作は元に戻せません。再度使用するには、ロボットを再設定する必要があります。
通知のフィルタリング (特定のアラートのみを受信する)	1. Actions 列の [編集] をクリックします。 2. 通知スコープセクションで、通知を受信したくないアラートタイプまたはレベルを削除します。	これにより、通知の粒度を制御し、情報過多を避けることができます。

クォータと制限

通知頻度とスロットリングルール

過剰な通知による中断を防ぐため、Security Center は通知の頻度と回数を制限しています。各通知項目の制限は次のとおりです:

リアルタイム防御アラート

通知項目	頻度/トリガー条件	1 日あたりの制限 (メール/内部メッセージ)
精密防御	リアルタイム	1 日あたり最大 5 件の内部メッセージ、20 件のメール。
Web 改ざん防止		1 日あたり最大 5 件の通知。
クラウドハニーポットアラート		1 日あたり最大 5 件の通知。
アプリケーション保護アラート		1 日あたり最大 10 件のメール、10 件の内部メッセージ。
悪意のある IP ブロックアラート通知		1 日あたり最大 10 件の通知。

リアルタイム検知アラート

通知項目	頻度/トリガー条件	1 日あたりの制限 (メール/内部メッセージ)
セキュリティアラート	リアルタイム	1 つの Alibaba Cloud アカウントあたり 24 時間以内に最大 5 件の通知。同じサーバーに対して 24 時間以内に最大 1 件の通知。
新しいセキュリティイベント		同じイベント (新規および更新) に対して 1 日あたり 1 件のみの通知。新規および更新されたイベントに対して 1 日あたり累積最大 5 件の通知。
更新されたセキュリティイベント

コンテナセキュリティアラート

通知項目	頻度/トリガー条件	1 日あたりの制限 (メール/内部メッセージ)
コンテナファイアウォール異常アラート通知	リアルタイム	1 日あたり最大 100 件のメール (超過した通知は遅延します)。
コンテナファイアウォールプロアクティブ防御通知		1 日あたり最大 100 件のメール (超過した通知は遅延します)。
悪意のあるサンプルのイメージスキャンアラート通知		1 日あたり最大 24 件のメール、24 件の内部メッセージ。
ベースラインリスクのイメージスキャン通知		1 日あたり最大 1 件の通知。
脆弱性リスクのイメージスキャン通知		1 日あたり最大 24 件のメール、1 件の内部メッセージ。
機密ファイルのイメージスキャンアラート通知		1 日あたり最大 24 件の通知。

エージェントレス検知アラート

通知項目	頻度/トリガー条件	1 日あたりの制限 (メール/内部メッセージ)
悪意のあるサンプルのエージェントレス検出通知	スキャンタスク完了後に送信されます。	1 日あたり最大 1 件のメール、1 件の内部メッセージ。
脆弱性リスクのエージェントレス検出通知
ベースラインリスクのエージェントレス検出通知
機密ファイルのエージェントレス検出アラート通知

定期的/しきい値トリガー通知

通知項目	頻度/トリガー条件	1 日あたりの制限 (メール/内部メッセージ)
週次レポート	7 日に 1 回。	なし
ベースラインチェック	7 日に 1 回。
ランサムウェア対策タスク実行結果	タスク完了後に送信されます。
ランサムウェア対策ストレージ容量超過	使用中のランサムウェア対策容量が購入した総容量を超え、使用率が 100% に達すると、通知が即座に送信されます。システムは 7 日に 1 回チェックします。使用中のランサムウェア対策容量が設定されたしきい値を超えた場合、通知が送信されます。
脅威分析ホットデータログストレージ超過アラート	リアルタイム。
脅威分析ログ取り込みトラフィック超過アラート	リアルタイム。
ログストレージ超過	2 日に 1 回。
ウイルススキャン通知	設定されたウイルススキャンサイクルに従って送信されます。

DingTalk ロボットの頻度とレート制限ルール

通知頻度: 頻度は 1 分、5 分、10 分、30 分、または無制限に設定できます。
無制限の頻度に対するレート制限ルール: 1 つの DingTalk ロボット Webhook は、1 分あたり最大 20 件の通知を受信できます。

よくある質問

連絡先と受信者の管理

アラート通知を受信するための連絡先 (メールアドレス/電話番号) を変更するにはどうすればよいですか？
Alibaba Cloud メッセージセンターで変更できます。詳細については、「通知受信者の管理」をご参照ください。
連絡先を変更または追加した後、なぜアラートが古い連絡先に送信され続けたり、新しい連絡先が受信しなかったりするのですか？
次の手順でトラブルシューティングを行ってください。
1. 変更の確認: 連絡先を正しく変更または追加し、電話番号またはメールアドレスの検証を完了したことを確認してください。詳細については、「通知受信者の管理」をご参照ください。
2. 他の製品設定の確認: Cloud Monitor などの他のクラウド製品に、古い連絡先情報をまだ使用している独立したアラートルールがあるかどうかを確認してください。
O&M や開発者などのロールに基づいてアラート受信者を一括で設定するにはどうすればよいですか？
ロールによる一括設定はサポートされていません。ただし、連絡先を追加または変更する際に「役職」タグを追加して識別することができます。

アラート受信のトラブルシューティング

通知を設定した後、なぜアラートを受信しないのですか？
次の手順でトラブルシューティングを行ってください。
1. 受信者の確認: 電話番号または E メールアドレスがメッセージ受信者管理に追加され、検証されていることを確認します。
2. 通知設定の確認: 関連する通知項目が有効になっており、[関連レベル] がアラートレベルと一致し、[通知時間] が 24 時間に設定されていることを確認します。
3. 迷惑メールフォルダの確認: メールの迷惑メールフォルダまたは電話のブロックされたメッセージリストを確認してください。
4. レート制限の確認: 「クォータと制限」セクションを参照して、1 日の送信制限に達していないか確認します。
5. リージョンの確認: 通知を設定したリージョン (中国本土または中国本土以外) が、アラートを生成するアセットが配置されているリージョンと一致していることを確認してください。
そのアラート項目を無効にしたにもかかわらず、DingTalk ロボットが「異常なログイン」通知を受信したのはなぜですか？
理由: セキュリティアラートの通知レベルが不審に設定されていました。アラートはタイプまたはレベルのいずれかに基づいてトリガーされます。いずれかの条件が満たされると通知が送信されます。
解決策: [通知設定] に移動し、[セキュリティアラート] レベル設定の下にある [不審] チェックボックスをオフにします。

付録: 通知の説明

定期レポート

通知項目	説明
週次レポート	件名が Alibaba Cloud Security Center 週次レポートの通知を送信します。コンテンツには、未処理の脆弱性の数、脆弱性の修正提案、ベースラインリスク、および資産のアラート情報が含まれます。説明アカウントに ECS インスタンスがない場合、または ECS インスタンスが停止またはリリースされている場合、システムはセキュリティ週次レポートを送信しません。
ベースラインチェック	件名が [保留中のベースライン設定リスクに関する Security Center 週次レポート] の通知を送信します。内容は、アセット上の未処理のベースラインリスクの数です。

リソースと容量

通知項目	説明
ランサムウェア対策ストレージ容量超過	ランサムウェア対策ストレージ容量が超過した場合、次のように通知が送信されます: 使用中のランサムウェア対策容量が購入した総容量を超え、使用率が 100% に達すると、システムはリアルタイムで通知を送信します。 Security Center は、お客様のランサムウェア対策容量の使用量を定期的にチェックし、使用量が設定されたしきい値を超えた場合に通知を送信します。アンチランサムウェアスペースを超過しましたエリアのアイコンをクリックして、容量使用量の通知しきい値を調整できます。
脅威分析ホットデータログストレージ超過アラート	脅威分析ログストレージスペースの使用状況に関する通知が送信されます。
脅威分析ログ取り込みトラフィック超過アラート	取り込まれたログトラフィックがサブスクライブされたログトラフィックの 80% を超えると、スケールアウトを促す通知が送信されます。
ログストレージ超過	ログストレージボリュームが購入したログ分析容量のしきい値を超えると、システムはログクォータ超過通知を送信します。ログの超過セクションで、アイコンをクリックして、通知をトリガーするログストレージのしきい値を調整します。

機能アラート

通知項目	説明
ランサムウェア対策タスク実行結果通知	設定された通知期間中に、ランサムウェア対策のデータバックアップまたはデータ復元タスクが完了したとき、結果 (成功または失敗) が設定されたプリファレンスと一致する場合に通知が送信されます。
新しいセキュリティイベント	システムは、新しい未処理のセキュリティイベントを発見したときに通知を送信します。
更新されたセキュリティイベント	「保留中」ステータスのセキュリティイベントに新しい関連セキュリティアラートがある場合、システムは通知を送信します。
セキュリティアラート	システムは、セキュリティアラートを検出したときに通知を送信します。
精密防御	システムは、精密防御アラートを検出したときに通知を送信します。
Web 改ざん防止	システムは、Web 改ざん防止アラートを検出したときに通知を送信します。
悪意のある IP ブロックアラート通知	システムは、悪意のある IP からのブルートフォース攻撃をブロックしたときに通知を送信します。
ウイルススキャン通知	ウイルススキャンが完了した後、システムは設定されたスキャンサイクルに基づいて結果通知を送信します。
クラウドハニーポットアラート	システムは、クラウドハニーポットアラートを検出したときに通知を送信します。1 日あたり最大 5 件の通知が送信されます。
アプリケーション保護アラート	システムは、アプリケーション保護アラートを検出したときに通知を送信します。

コンテナセキュリティ

通知項目	説明
コンテナファイアウォール異常アラート通知	システムは、不正なネットワーク動作を検出したときに通知を送信します。
コンテナファイアウォールプロアクティブ防御通知	不正なネットワーク動作が検出されると、システムはそれをプロアクティブにブロックし、通知を送信します。
悪意のあるサンプルのイメージスキャンアラート通知	イメージスキャンが完了した後、システムは生成された悪意のあるサンプルアラートの通知を送信します。
ベースラインリスクのイメージスキャン通知	イメージスキャンが完了した後、システムは生成されたベースラインリスクアラートの通知を送信します。
脆弱性リスクのイメージスキャン通知	イメージスキャンが完了した後、システムは生成された脆弱性リスクアラートの通知を送信します。
機密ファイルのイメージスキャンアラート通知	イメージスキャンが完了した後、システムは生成された機密ファイルアラートの通知を送信します。

エージェントレス検知

通知項目	説明
エージェントレス検知の悪意のあるサンプル通知	セキュリティスキャンが完了した後、システムは検出された悪意のあるサンプルについてアラート通知を送信します。
エージェントレス検知の脆弱性リスク通知	セキュリティスキャンが完了した後、システムは検出された脆弱性リスクについてアラート通知を送信します。
エージェントレス検知のベースラインリスク通知	セキュリティスキャンが完了した後、システムは検出されたベースラインリスクについてアラート通知を送信します。
エージェントレス検知の機密ファイルアラート通知	セキュリティスキャンが完了した後、システムは検出された機密ファイルについてアラート通知を送信します。