Cloud Threat Detection and Response (CTDR) は、マルチクラウド環境、複数アカウント、および複数のクラウドサービスからのアラートとログデータを管理します。 処理ポリシーを通じてセキュリティ脅威を迅速に処理し、セキュリティ運用効率の向上と潜在的なリスクの回避を支援します。
CTDR ワークフロー
CTDR ワークフローは次のとおりです。
CTDR を有効化します。
クラウドサービスまたはセキュリティプロバイダーからログを追加します。
定義済みまたはカスタムの脅威検出ルールを構成して有効にし、収集されたログを分析し、攻撃チェーンを再構築します。
脅威を特定し、セキュリティアラートを生成します。
複数のアラートを集約して、セキュリティイベントを生成します。
推奨またはカスタムの処理ポリシーを実行するか、Security Orchestration Automation Response (SOAR) を使用して関連するクラウドサービスと連携し、悪意のあるエンティティをブロックまたは隔離します。
Alibaba Cloud、Huawei Cloud、および Tencent Cloud のログのみがセキュリティイベントを生成し、自動イベント処理をサポートします。 他のプロバイダーからのログは、自動処理なしでセキュリティアラートのみを生成します。 詳細については、「セキュリティサービスのログを追加する」をご参照ください。
使用例
このセクションでは、CTDR の SOAR 機能を使用して Web Application Firewall (WAF) により攻撃 IP を自動的にブロックする方法について説明します。 これは、正当なユーザーを誤ってブロックしてしまう問題や、攻撃 IP のブロックに伴う複雑な構成などの一般的な問題に対処します。
前提条件
保護が必要なドメイン名またはクラウドサービスを WAF コンソールに追加します。 次の図は、ECS インスタンスの WAF 保護を有効にする方法を示しています。
WAF コンソールで、次の図に示すように、WAF の簡易 Log Service を有効にする。
手順
ステップ 1:CTDR の従量課金を有効にする
セキュリティセンターコンソール にログオンし、Activate Pay-as-you-go を 脅威の分析と応答 ページでクリックします。
有効化ページで、Enable Log Access Policy のチェックを外し、Activate and Authorize をクリックします。
重要ログアクセス ポリシーは、セキュリティセンター、WAF、Cloud Firewall、および ActionTrail からログを自動的に収集し、追加されたログ ボリュームに基づいて課金されます。 選択内容をよく確認してください。 この例では、推奨されるアクセス ポリシーを有効にせずに WAF からログを追加する方法のみを示しています。
有効化後、セキュリティセンターのサービスロールの承認が自動的に完了します。
ステップ 2:WAF ログを追加する
ステップ 1 で Enable Log Access Policy をオンにした場合、CTDR は WAF ログを自動的に追加します。 このステップはスキップできます。
セキュリティセンターコンソール で、 ページに移動します。
WAF Alert Log を構成します。 アクセス済みアカウント 列をクリックし、追加するアカウントを選択して、OK をクリックします。
Full/Block/Block and Monitor Logs of WAF 3.0 を構成します。
アクセス済みアカウント 列をクリックし、Add Account ページに関連情報を入力します。
この例では、WAF は中国 (杭州) リージョンで従量課金方式を使用しています。
Project:
wafnew-project-Alibaba Cloud account ID-cn-hangzhou。Logstore:
wafnew-logstore。説明WAF プロジェクト名とログストア情報の詳細については、「専用プロジェクトとログストア」をご参照ください。
Check Validity をクリックして、バインドされたログストアが正しいことを確認し、保存 をクリックします。
ステップ 3:定義済みの検出ルールを有効にする
セキュリティセンターコンソール で、 ページに移動します。
[定義済み] タブで、WAF 関連のルールを検索し、Enabling Status スイッチをオンにします。
ステップ 4:自動応答ルールを構成する
セキュリティセンターコンソール で、 ページに移動します。
自動応答ルール タブで、ルールを新しく追加する をクリックします。 イベントのトリガー を選択し、次の図を参考に 自動応答ルール の作成を完了します。
ステップ 5:ブロッキング効果を確認する
WAF に関連付けられた ECS インスタンスで攻撃イベントが発生するまで待ちます。 [セキュリティイベント処理] ページで対応するイベントを表示できます。
[処理センター] タブで、イベントが自動応答ルールをトリガーした後に、プレイブックによって攻撃 IP に対して発行された処理ポリシーとタスクを確認します。
自動応答ルールによって作成された処理ポリシー
自動応答ルールによって作成された処理タスク
WAF コンソールで、CTDR によって自動的に追加された攻撃 IP ブロック ルールを確認します。
次の手順では、WAF 3.0 コンソールを例として使用します。
Web Application Firewall 3.0 コンソール にログオンします。トップメニューバーで、WAF インスタンスのリソースグループとリージョン ([中国本土]、[中国本土以外]) を選択します。
左側のナビゲーションバーで、 を選択します。
コア Web 保護 ページの [カスタムルール] セクションで、CTDR によって自動的に発行された攻撃 IP ブロック ルールを表示します。
関連情報
クラウドサービスのログを CTDR に追加する方法と CTDR のユーザーガイドを参照してください。