サーバーが侵害された場合、Cloud Firewall の侵害検知機能は、侵入イベントを迅速に検出および特定し、重大なビジネス上の損失を防ぐのに役立ちます。このトピックでは、サーバー上のセキュリティ脅威を確認し、防止モードを設定する方法について説明します。
前提条件
インターネットファイアウォールが有効になっています。 詳細については、「ファイアウォールスイッチを有効にする」をご参照ください。
[ブロック] モードが脅威エンジンに対して有効になっています。 詳細については、「IPS 設定」をご参照ください。
手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[侵害検知] ページで、侵入イベントの詳細を表示します。
[侵害検知] ページでは、必要に応じて次の操作を実行できます。
イベントリストの表示
侵入イベントリストでは、リスクレベル、影響を受けるアセットの IP アドレスと UID、処理ステータスなど、侵入イベントの詳細を表示できます。
特定のイベントの検索
メニューバーでは、リスクレベル、時間タイプ、処理ステータス、または検出時間範囲でイベントをフィルターできます。 また、インスタンスの IP アドレス、ID、名前、または UID を入力してあいまい検索を実行し、特定の侵入イベントを検索することもできます。
脅威エンジンに対してブロックモードを有効にする
インターネットファイアウォールを有効にすると、デフォルトで脅威エンジンに対してブロックモードが有効になります。 ブロックモードを無効にすると、侵害検知ページはリスクイベントを検出できますが、ブロックすることはできません。 [アクション] 列で、[クイック防御] をクリックして、緩和設定で脅威エンジンのブロックモードを有効にします。
重要[クイック防御] スイッチは個々のイベントを制御しません。 [クイック防御] を有効または無効にすると、Cloud Firewall 全体の侵入防止機能が有効または無効になります。
侵入イベントを無視する
侵入イベントが通常のアクティビティであると判断した場合は、無視するイベントを見つけて、[アクション] 列の [無視] をクリックします。
説明[無視] としてマークされたイベントは、侵入イベントリストから削除されます。 Cloud Firewall は、このイベントに対してアラートを生成しなくなります。
イベント詳細の表示
詳細を表示するイベントを見つけ、[アクション] 列の [詳細] をクリックして、侵入イベントと対応するセキュリティ推奨事項に関する詳細情報を表示します。
AI 支援イベント分析: AI Analysis 列の
アイコンをクリックすると、セキュリティ AI アシスタントを使用して侵害アラートを迅速に分析できます。分析には以下が含まれます:
ペイロードコンテンツ分析: 選択されたアラートの簡単な説明と AI 分析の結果が含まれます。
攻撃者の意図: AI 分析に基づく攻撃者の意図の予測。
防御の推奨事項: アクセスコントロールリスト (ACL) ポリシーや IPS 設定などの Cloud Firewall 緩和設定、およびアセット調査に関する提案を提供します。
参考
緩和設定機能を使用すると、脅威エンジンの実行モードを設定し、脅威インテリジェンス、基本保護、インテリジェント防御、および仮想パッチの設定を構成できます。 これらの設定は、侵入脅威をより正確に特定してブロックするのに役立ちます。 詳細については、「IPS 設定」をご参照ください。
侵入防止システム (IPS) 機能は、悪意のある攻撃、脆弱性の悪用、ブルートフォース攻撃、ワーム、マイニングプログラム、バックドアのトロイの木馬、DoS 攻撃などの悪意のあるトラフィックをリアルタイムで検出してブロックできます。 この機能は、クラウドベースのエンタープライズ情報システムとネットワークアーキテクチャを保護します。 詳細については、「IPS 機能の概要」および「侵入防止」をご参照ください。
Cloud Firewall は、Security Center によって検出され、ネットワーク攻撃によって悪用される脆弱性を同期できます。 また、このような脆弱性に対する防御も提供します。 詳細については、「脆弱性防御」をご参照ください。