Security Center の Agentic SOC は、複数のプロダクト、アカウント、クラウド環境からのアラートおよびログデータを管理します。応答ポリシーを使用してセキュリティ脅威を迅速に処理し、運用保守効率の向上と潜在的なリスクの軽減を支援します。
Agentic SOC のワークフロー
Agentic SOC のワークフローは以下の通りです。
Agentic SOC サービスを有効化します。
クラウドプロダクトまたはセキュリティベンダーからログを取り込みます。
事前定義またはカスタムの脅威検知ルールを設定して有効化し、収集したログを分析して完全な攻撃チェーンを再構築します。
セキュリティ脅威を識別し、セキュリティアラートを生成します。
複数のセキュリティアラートを集約してセキュリティイベントを生成します。
応答ポリシー (推奨またはカスタム) または自動応答オーケストレーションを使用して、関連するクラウドプロダクトと連携し、悪意のあるエンティティに対してブロック、隔離、またはその他のセキュリティ対策を適用します。
現在、セキュリティイベントの生成と自動応答のトリガーに使用できるのは、Alibaba Cloud、Huawei Cloud、Tencent Cloud から取り込まれたログのみです。他のセキュリティベンダーからのログはセキュリティアラートの生成には使用できますが、自動応答はサポートされていません。詳細については、「セキュリティベンダーからのログの追加」をご参照ください。
使用例
このトピックでは、Agentic SOC が自動応答オーケストレーションを使用して、Web Application Firewall (WAF) で攻撃 IP アドレスを自動的にブロックする例を紹介します。このアプローチは、正規ユーザーの誤ブロックや複雑な構成など、WAF を使用して攻撃 IP アドレスをブロックする際に発生しがちな一般的な問題に対処します。
前提条件
WAF コンソールで、保護したいドメイン名またはクラウドプロダクトを追加します。このトピックでは、Elastic Compute Service (ECS) インスタンスを例として使用します。詳細については、「ECS インスタンスの WAF 保護を有効にする」をご参照ください。
WAF コンソールで、[WAF の Log Service を有効にする] をクリックします。次に、WAF 保護対象のログ配信を有効にします。詳細については、「WAF の Simple Log Service を有効にする」をご参照ください。
操作手順
ステップ 1:Agentic SOC の従量課金を有効にする
Security Center コンソールにログインします。脅威の分析と応答 ページで、Activate Pay-as-you-go をクリックします。
アクティベーションページで、Enable Log Access Policy チェックボックスの選択を解除し、Activate and Authorize をクリックします。
警告Access Policy は、Security Center、WAF、Cloud Firewall、ActionTrail からログを自動的に取り込みます。取り込まれたログの実際の量に基づいて課金されるため、このチェックボックスの選択を解除する際はご注意ください。このトピックでは、WAF のみが統合され、推奨される統合ポリシーが有効になっていない例を示します。
サービスを有効化すると、Security Center のサービスリンクロールが自動的に付与されます。詳細については、「Security Center のサービスリンクロール」をご参照ください。
ステップ 2:Web Application Firewall のログを取り込む
ステップ 1 で Enable Log Access Policy を選択した場合、このステップはスキップできます。Agentic SOC は自動的に WAF のログを取り込みます。
Agentic SOC コンソールの統合センターページに移動します。ページの左上隅で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
WAF の行の [操作] 列で、アクセス設定 をクリックし、Access Policy を有効にします。
説明システムは WAF の Logstore を自動的に検出し、Data Source として追加します。
ステップ 3:事前定義された検知ルールを有効にする
Security Center コンソールで、 ページに移動します。
事前定義済み タブで WAF ルールを検索し、Enabling Status スイッチをオンにします。
ステップ 4:自動応答ルールを設定する
Security Center コンソールで、 に移動します。
自動応答ルール タブで ルールを新しく追加する をクリックします。次に、イベントのトリガー を選択し、次の図に示すように 自動応答ルール を設定します。
ステップ 5:自動ブロック効果を確認する
WAF に接続された ECS インスタンスで攻撃イベントが発生した場合、セキュリティイベントの処理 ページで対応するイベントを表示します。
処理センター タブでは、イベントが自動応答ルールにヒットした後に、プレイブックによって攻撃 IP に対して発行された応答ポリシーとタスクを表示できます。
自動応答ルールによって作成された応答ポリシー
自動応答ルールによって作成された応答タスク
WAF コンソールで、Agentic SOC が自動的に追加した攻撃 IP アドレスのブロックルールを表示します。
以下の手順では、WAF 3.0 コンソールを例として使用します。
Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーで、WAF インスタンスのリージョン ([中国本土] または [中国本土以外]) とリソースグループを選択します。
左側のナビゲーションウィンドウで、を選択します。
コア Web 保護ページでは、[カスタムルール] セクションで Agentic SOC によって自動的に発行された攻撃 IP ブロックルールを確認できます。
関連ドキュメント
Agentic SOC の購入および設定方法の詳細については、「Security Center の購入」をご参照ください。
クラウドプロダクトから Agentic SOC にログを取り込む方法の詳細については、「クラウドプロダクトからのログの取り込み」および「ユーザーガイド」をご参照ください。
脅威検知ルールの詳細については、「脅威検知ルールの設定」をご参照ください。
応答オーケストレーションの詳細については、「応答オーケストレーション」をご参照ください。