Threat Analysis and Response は、アラートログを分析して攻撃チェーンを特定し、セキュリティイベントを生成する事前定義済みの検出ルールを提供します。必要に応じて、事前定義済みルールを有効化または無効化したり、カスタムルールを作成したりできます。
マルチアカウント管理の概要
マルチアカウントシナリオでグローバルアカウント管理者として Security Center コンソールにログインした場合、ルールまたはデータセットを設定する前に、ルール管理 ページでビューを切り替えます:
現在のアカウントビュー:ルールとデータセットは、現在のアカウントのログデータにのみ適用されます。
グローバルアカウントビュー:ルールとデータセットは、Threat Analysis and Response で管理されているすべての Alibaba Cloud アカウントのログデータに適用されます。
詳細については、「マルチアカウント管理」をご参照ください。
検出ルールの設定
検出ルールは、クラウド製品からのログデータを分析するためのポリシーを定義します。ログ範囲、一致フィールド、集約フィールド、およびその他のパラメーターを指定して、ログを分析してセキュリティリスクを識別する方法を制御します。脅威分析と対応は、定義済みルールとカスタムルールをサポートしています。
定義済みルールの有効化または無効化
Security Center は、異常なプロセス動作、成功した Web 攻撃、悪意のあるドメインリクエスト、疑わしいログイン、異常なネットワークトラフィック、悪意のあるネットワークリクエスト、異常な Web 動作などのアラートおよびイベントを検出するための定義済みルールを提供します。定義済みルールの表示、有効化、または無効化は可能ですが、編集や削除はできません。
Security Center コンソール にログインします。
左側メニューで、 の順に選択します。コンソールの左上隅で、アセットが所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
事前定義済み タブに、事前定義ルールの一覧が表示されます。
(オプション) 定義済みルールの操作する列で[詳細]をクリックすると、その基本情報、ロジック、およびイベント生成設定を表示できます。
定義済みルールの [ルールステータス] 列のスイッチをクリックして、有効化または無効化します。
カスタムルールの作成
定義済みルールが要件を満たさない場合は、カスタムルールを作成できます。
Security Center コンソール にログインします。
左側メニューで、 の順に選択します。コンソールの左上隅で、アセットが所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
カスタム タブで、ルールを新しく追加する をクリックします。
ルールを新しく追加する ページで、ルール情報を設定します。
パラメーター
説明
[基本情報]
カスタムルールの基本情報を設定します。
[ルール名]: カスタムルールの名前を入力します。
[ルール説明]: ルールの目的を明確にするための説明を入力します。
[脅威レベル]: ドロップダウンリストから、このルールによって検出されるアラートまたはイベントのリスクレベルを選択します。リスクレベルの詳細については、「セキュリティイベント」をご参照ください。
[脅威のタイプ]: ドロップダウンリストから、このルールが定義する脅威タイプを選択します。アラートタイプの詳細については、「CWPP (Cloud Workload Protection Platform) セキュリティアラートの概要」をご参照ください。
[ルールロジックの設定]
Set aggregation rules for security alerts.
[ログ範囲]: Select the log category and log type for the custom rule.
Security Center lists available log types based on connected cloud products.
[一致するフィールド]: Select fields and field values to match alerts or events. Security Center provides available fields based on your selected log scope.
Click [+ フィールドの新規追加] to add fields to a group. Fields within a group use an AND relationship.
Click [+ フィールドグループの新規追加] to add field groups. Field groups use an OR relationship.
[集計フィールド]: Select fields for event aggregation.
[ログ数のしきい値]: Set the threshold condition for triggering an alert based on log fields.
[統計期間]: Set the time window for alert aggregation.
Security Center aggregates logs of the selected type within this period based on the aggregation fields.
[イベント生成の設定]
Specify whether alerts detected by this rule are converted into events.
Select Yes to convert matching alerts into events. Choose one of the following event generation methods:
[組み込みのイベントルールを使用する]: Alerts matching this rule are aggregated into predefined events (events generated by predefined rules).
[アラートごとに 1 つのイベントが生成されます]: Each alert generates a separate event.
[このルールによって生成されたすべてのアラートは 1 つのイベントとして集計されます]: All alerts matching this rule are aggregated into a single event.
If you select this option, set the [実行サイクル] for alert aggregation. The maximum period is 24 hours.
(任意) ルールを検証するには、テスト をクリックしてテスト方法を選択します。
次のテスト方法を使用できます。
[シミュレーションデータ]: SQL ステートメントを記述して、一致するデータをテストします。ステートメントを記述する際は、シミュレートされたデータ値の例を参照してください。値を入力した後、[テスト] をクリックします。
[ビジネスデータ]: 本番データを使用してルールをテストします。[テスト] をクリックすると、アラート数とイベント数の折れ線グラフ、およびアラートとイベントのリストが表示されます。
テストはデフォルトで 7 日間実行されます。 オンライン または [テストの終了] をクリックして、テストを早期に停止できます。 オンライン をクリックすると、ルールはすぐに有効になります。 [テストの終了] をクリックすると、
アイコンを使用してルール管理ページに戻ります。 セキュリティセンターは、ルールを無効な状態で作成します。テストをスキップした場合は、ルールを新しく追加する ページでルールが正しく設定されていることを確認し、オンライン をクリックします。
ルールを公開せずに保存するには、下書きとして保存する をクリックします。
カスタムルールを作成した後、ルール管理 ページで表示、テスト、有効化、無効化、編集、または削除できます。
データセットの管理
データセットを使用すると、IP ブラックリストとホワイトリスト、コア資産リスト、カスタム脅威インテリジェンスの侵害のインジケーター (IOC) などのデータオブジェクトを一元管理できます。データセットは、検出ルールや応答プレイブックで再利用するためのカスタムデータを格納する 2 次元テーブルです。
データセットの作成
ナビゲーションペインで、 の順に選択します。コンソールの左上隅で、アセットが存在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
データセット タブをクリックし、データセットの新規追加 をクリックして データセットの新規追加 パネルを開きます。
データセット セクションで、ファイルテンプレートのダウンロード をクリックして、テンプレートをコンピューターにダウンロードします。テンプレートに記入して保存します。
次の点に注意してください。
テンプレートをアップロードする際は、プライマリキーを指定します。プライマリキーは、ログデータの検索と照合に使用されます。プライマリキーフィールドは空にできず、重複する値を含めないことを推奨します。
アップロードされたデータセットのプライマリキー列に重複する値が含まれている場合、システムは自動的に重複を削除します。
アップロードするファイルテンプレートのサイズは 3 MB を超えないようにしてください。
ファイルテンプレートに含めることができるデータセットレコードは 5,000 件以下です。
ファイルテンプレート内のデータセットフィールドの値は 200 バイトを超えることはできません。
データセットの新規追加 パネルに戻り、名前と説明を入力し、データセットファイルをアップロードし、プライマリキーを指定して、次へ をクリックします。
システムはデータセットフィールドを検証します。エラーが見つかった場合は、表示される指示に従ってフィールドを変更してください。
検証と作成 タブで、アップロードしたデータセットの内容を確認し、OK をクリックします。
次のステップ
検出ルールまたは応答プレイブックでデータセットを参照できます。詳細については、「セキュリティイベント」および「応答ルール」をご参照ください。
データセットリストの 引用された 列には、データセットを参照しているルールとプレイブックの数が表示されます。
関連操作
データセットを変更するには、データセットリストの 編集 列で 操作する をクリックします。
データセットをバッチ更新するには、データセットファイルテンプレートを編集し、一括更新 列で 操作する をクリックして、テンプレートを再度アップロードします。
データセットを削除するには、削除 列で 操作する をクリックします。
説明検出ルールまたはプレイブックで参照されているデータセットは削除できません。
カスタムルールの例
以下の例では、一般的な脅威シナリオに対してカスタムルールを設定する方法を示します。
SQL インジェクション攻撃 (UNION ベースのインジェクション)
WAF を攻撃するスキャナー IP
疑わしい機密コマンドを実行する Java プロセス
ブルートフォース攻撃
マイニングドメインに接続するホスト
HTTP アクセスリクエストの急増
関連ドキュメント
脅威分析と対応が生成したセキュリティイベントを確認し、対応します。詳細については、「セキュリティイベント」をご参照ください。
ログ管理機能を使用して、マルチリソース環境全体のログデータを参照し、クエリします。詳細については、「ログ検索」をご参照ください。
API オペレーションを呼び出して、ルールリストのクエリ、カスタムルールステータスの更新、またはカスタムルールの削除を実行します。詳細については、「ルール管理」をご参照ください。