OSS 悪意のあるファイル検出機能は、バケット内のオブジェクトをウェブシェル、ランサムウェア、トロイの木馬などの脅威に対してスキャンします。悪意のあるオブジェクトが検出された場合は、イベントの説明に記載された推奨事項に従ってリスクに対処してください。
サポートされる脅威の種類
前提条件
RAM ユーザーには、oss:ActivateProduct 権限が必要です。詳細については、「RAM ポリシーの一般的な例」をご参照ください。
課金
-
悪意のあるファイル検出は、スキャンされたオブジェクト数に基づいて課金されます。料金は、1 万回のスキャンにつき USD 1.42 です。
-
悪意のあるファイル検出では、ListBuckets (GetService)、GetBucketStat、ListObjectsV2 (GetBucketV2)、GetObjectMeta、GetObject などの API が呼び出されます。OSS では、API 呼び出し回数に基づいてリクエスト料金が発生します。詳細については、「リクエスト料金」をご参照ください。
-
この機能は従量課金で、1 時間単位で課金されます。請求書は通常、現在の課金サイクル終了後に生成されます。実際の請求書生成時刻はシステムによって決定されます。
制限事項
-
サポート対象リージョン
悪意のあるファイル検出機能は、以下のリージョンで利用可能です:中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、インドネシア (ジャカルタ)、タイ (バンコク)、フィリピン (マニラ)、マレーシア (クアラルンプール)、韓国 (ソウル)、日本 (東京)、米国 (シリコンバレー)、イギリス (ロンドン)、米国 (バージニア)、ドイツ (フランクフルト)。
-
検出タスク完了時間
デフォルトでは、バケット内のスキャン対象オブジェクト数に上限はありません。検出は非同期キューとして実行されます。キューが混雑していない場合、数十万個のオブジェクトのスキャンは 1 時間以内に完了し、数百万個のオブジェクトのスキャンは 24 時間以内に完了します。
-
バケットのストレージクラス
標準ストレージまたは低頻度アクセス (IA) ストレージクラスのバケットのみが悪意のあるファイル検出をサポートします。アーカイブ、コールドアーカイブ、ディープコールドアーカイブストレージクラスのバケットは悪意のあるファイル検出をサポートしません。
-
オブジェクトのストレージクラス
標準ストレージまたは低頻度アクセス (IA) ストレージクラスのオブジェクトのみがスキャンされます。アーカイブ、コールドアーカイブ、ディープコールドアーカイブストレージクラスのオブジェクトはスキャンされません。
-
単一オブジェクトのサイズ上限
スキャン可能な単一オブジェクトの最大サイズは 500 MB です。
-
アーカイブの制限
サポートされるアーカイブ形式は、
.7z、.zip、.tar、.gz、.rar、.ar、.bz2、.xz、および.lzmaです。アーカイブは最大 5 階層まで展開できます。展開後のファイル数は 1,000 個まで、合計サイズは 1 GB を超えてはなりません。これらの制限を超えるファイルはスキャンされません。
OSS コンソール
-
バケット内の悪意のあるオブジェクトを初めてスキャンする前に、AliyunServiceRoleForOssMfd ロールの権限付与を行う必要があります。
-
OSS コンソールにログインします。
-
左側のナビゲーションウィンドウで バケット をクリックします。表示されたページで、対象のバケット名をクリックします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
不正ファイル検出 ページで、右上隅の 今すぐ有効にする をクリックします。画面の指示に従って試用クォータを取得してください。試用クォータを超えた利用分は従量課金で請求されます。
-
不正ファイル検出 ページで、OK をクリックします。
権限付与が完了すると、システムにより自動的にこのロール用の AliyunServiceRolePolicyForOssMfd という名前のアクセスポリシーが作成されます。このポリシーにより、バケットおよびオブジェクトリストの読み取り、KMS へのアクセス、オブジェクトの復号の権限が付与されます。
-
-
悪意のあるファイル検出ルールを設定します。
即時検出
フル検出
フル検出では、OSS バケット内のデータを包括的にチェックし、セキュリティリスクを特定してオブジェクトの内容がコンプライアンス要件を満たしていることを確認できます。
-
不正ファイル検出 ページで、右上隅の [検出] をクリックします。
-
[検出] ダイアログボックスで、[ファイル検出タイプ] と [スキャンパス] を選択します。
-
ファイル検出タイプ
すべてのファイルタイプをスキャンするか、特定のファイルタイプのみをスキャンするかを選択できます。
-
スキャンパス
バケット内のすべてのオブジェクトをスキャンするには、[バケット全体に設定] を選択します。オブジェクトプレフィックス を選択してプレフィックスを指定すると、そのプレフィックスに一致するオブジェクトのみをスキャンできます。
-
-
OK をクリックします。
増分検出
バケットまたはパスに対してフル検出を完了した後は、増分検出を使用して新規または変更済みのオブジェクトのみをスキャンできます。これにより、時間と計算リソースを節約できます。
-
不正ファイル検出 ページで、右上隅の [増分検出] をクリックします。
-
[検出] ダイアログボックスで、[ファイル検出タイプ] と [スキャンパス] を選択します。
-
ファイル検出タイプ
すべてのファイルタイプをスキャンするか、特定のファイルタイプのみをスキャンするかを選択できます。
-
スキャンパス
バケット内のすべてのオブジェクトをスキャンするには、[バケット全体に設定] を選択します。オブジェクトプレフィックス を選択してプレフィックスを指定すると、そのプレフィックスに一致するオブジェクトのみをスキャンできます。
-
-
OK をクリックします。
スケジュール検出
-
バケットの基本情報セクションで、[ポリシー設定ステータス] の右側にあるアイコンをクリックします。

-
[ポリシーの作成] ダイアログボックスで、以下のパラメーターを設定します。
パラメーター
説明
ポリシー名
ポリシーのカスタム名を指定します。
ポリシーのステータス
ポリシーを有効にします。
スキャンパス
-
プレフィックスによる一致
-
特定のプレフィックスに一致するオブジェクトのみをスキャンする場合は、このオプションを選択し、プレフィックス(例:dir)を指定します。
-
バケット全体に設定
-
このオプションを選択すると、バケット内のすべてのオブジェクトがスキャンされます。
検出周期
検出の頻度を設定します。複数の曜日(例:毎週月曜日と火曜日)を選択できます。
ファイル検出時間
検出タスクの開始時刻と終了時刻を指定します。時刻は秒単位まで正確です。
ファイル検出タイプ
すべてのファイルタイプをスキャンするか、特定のタイプのみをスキャンするかを選択します。後者を選択した場合は、ドロップダウンリストから選択する必要があります(例:.7z 拡張子のファイル)。
-
-
OK をクリックします。
-
-
検出結果を確認します。
-
リスクファイルが検出されない場合、リスクファイル詳細エリアは空になります。
-
リスクファイルが検出された場合、リスクファイル詳細エリアで各リスクファイルのオブジェクト名、脅威ラベル、ファイル MD5、リスクレベル、初回検出時刻、最新スキャン時刻を確認できます。

-
-
リスクファイルを処置します。
リスクファイルの **[操作]** 列で 詳細 をクリックして、イベントの説明を確認できます。説明に記載された処置方法に従って、速やかにリスクファイルを処置してください。