すべてのプロダクト
Search
ドキュメントセンター

:脅威検出ルールの設定

最終更新日:Jun 24, 2026

Threat Analysis and Response は、アラートログを分析して攻撃チェーンを特定し、セキュリティイベントを生成する事前定義済みの検出ルールを提供します。必要に応じて、事前定義済みルールを有効化または無効化したり、カスタムルールを作成したりできます。

マルチアカウント管理の概要

マルチアカウントシナリオでグローバルアカウント管理者として Security Center コンソールにログインした場合、ルールまたはデータセットを設定する前に、ルール管理 ページでビューを切り替えます:

  • 現在のアカウントビュー:ルールとデータセットは、現在のアカウントのログデータにのみ適用されます。

  • グローバルアカウントビュー:ルールとデータセットは、Threat Analysis and Response で管理されているすべての Alibaba Cloud アカウントのログデータに適用されます。

詳細については、「マルチアカウント管理」をご参照ください。

検出ルールの設定

検出ルールは、クラウド製品からのログデータを分析するためのポリシーを定義します。ログ範囲、一致フィールド、集約フィールド、およびその他のパラメーターを指定して、ログを分析してセキュリティリスクを識別する方法を制御します。脅威分析と対応は、定義済みルールとカスタムルールをサポートしています。

定義済みルールの有効化または無効化

Security Center は、異常なプロセス動作、成功した Web 攻撃、悪意のあるドメインリクエスト、疑わしいログイン、異常なネットワークトラフィック、悪意のあるネットワークリクエスト、異常な Web 動作などのアラートおよびイベントを検出するための定義済みルールを提供します。定義済みルールの表示、有効化、または無効化は可能ですが、編集や削除はできません。

  1. Security Center コンソール にログインします。

  2. 左側メニューで、脅威の分析と応答 > 管理 > ルール管理 の順に選択します。コンソールの左上隅で、アセットが所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland

  3. 事前定義済み タブに、事前定義ルールの一覧が表示されます。

  4. (オプション) 定義済みルールの操作する列で[詳細]をクリックすると、その基本情報、ロジック、およびイベント生成設定を表示できます。

  5. 定義済みルールの [ルールステータス] 列のスイッチをクリックして、有効化または無効化します。

カスタムルールの作成

定義済みルールが要件を満たさない場合は、カスタムルールを作成できます。

  1. Security Center コンソール にログインします。

  2. 左側メニューで、脅威の分析と応答 > 管理 > ルール管理 の順に選択します。コンソールの左上隅で、アセットが所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland

  3. カスタム タブで、ルールを新しく追加する をクリックします。

  4. ルールを新しく追加する ページで、ルール情報を設定します。

    パラメーター

    説明

    [基本情報]

    カスタムルールの基本情報を設定します。

    • [ルール名]: カスタムルールの名前を入力します。

    • [ルール説明]: ルールの目的を明確にするための説明を入力します。

    • [脅威レベル]: ドロップダウンリストから、このルールによって検出されるアラートまたはイベントのリスクレベルを選択します。リスクレベルの詳細については、「セキュリティイベント」をご参照ください。

    • [脅威のタイプ]: ドロップダウンリストから、このルールが定義する脅威タイプを選択します。アラートタイプの詳細については、「CWPP (Cloud Workload Protection Platform) セキュリティアラートの概要」をご参照ください。

    [ルールロジックの設定]

    Set aggregation rules for security alerts.

    • [ログ範囲]: Select the log category and log type for the custom rule.

      Security Center lists available log types based on connected cloud products.

    • [一致するフィールド]: Select fields and field values to match alerts or events. Security Center provides available fields based on your selected log scope.

      Field operator descriptions

      • >: Greater than. Supports numeric fields.

      • >=: Greater than or equal to. Supports numeric fields.

      • <: Less than. Supports numeric fields.

      • <=: Less than or equal to. Supports numeric fields.

      • =: Equal to. Supports numeric and string fields.

      • <>: Not equal to. Supports numeric and string fields.

      • LIKE: Functions like the LIKE operator in SQL syntax. Supports string fields.

      • NOT LIKE: Negation of LIKE semantics. Supports string fields.

      • IN: Matches any value in a set. Separate multiple values with commas (,). Supports string fields.

      • NOT IN: Negation of IN. Separate multiple values with commas (,). Supports string fields.

      • REGEXP: Regular expression matching. Supports string fields.

      • NOT REDEXP: Negation of regular expression pattern. Supports string fields.

      • THREAT DETECT: Threat detection rule. Only validates src_ip, dst_ip, domain, url, and md5 fields. Returns true if the specified field matches an entry in the threat detection database.

      • NOT_IN_IP_DATASET: Matches against the primary key of a dataset. Requires the dataset's primary key to be an IP-type field. Supports IP addresses and CIDR notation.

      • IN_IP_DATASET: Matches against the primary key of a dataset. Requires the dataset's primary key to be an IP-type field. Supports IP addresses and CIDR notation.

      • NOT_IN_IDATASET: Matches against the primary key of a dataset. Requires the dataset's primary key to be a common string-type field.

      • IN_DATASET: Matches against the primary key of a dataset. Requires the dataset's primary key to be a common string-type field.

      • Click [+ フィールドの新規追加] to add fields to a group. Fields within a group use an AND relationship.

      • Click [+ フィールドグループの新規追加] to add field groups. Field groups use an OR relationship.

    • [集計フィールド]: Select fields for event aggregation.

    • [ログ数のしきい値]: Set the threshold condition for triggering an alert based on log fields.

    • [統計期間]: Set the time window for alert aggregation.

      Security Center aggregates logs of the selected type within this period based on the aggregation fields.

    [イベント生成の設定]

    Specify whether alerts detected by this rule are converted into events.

    Select Yes to convert matching alerts into events. Choose one of the following event generation methods:

    • [組み込みのイベントルールを使用する]: Alerts matching this rule are aggregated into predefined events (events generated by predefined rules).

    • [アラートごとに 1 つのイベントが生成されます]: Each alert generates a separate event.

    • [このルールによって生成されたすべてのアラートは 1 つのイベントとして集計されます]: All alerts matching this rule are aggregated into a single event.

      If you select this option, set the [実行サイクル] for alert aggregation. The maximum period is 24 hours.

  5. (任意) ルールを検証するには、テスト をクリックしてテスト方法を選択します。

    次のテスト方法を使用できます。

    • [シミュレーションデータ]: SQL ステートメントを記述して、一致するデータをテストします。ステートメントを記述する際は、シミュレートされたデータ値の例を参照してください。値を入力した後、[テスト] をクリックします。

    • [ビジネスデータ]: 本番データを使用してルールをテストします。[テスト] をクリックすると、アラート数とイベント数の折れ線グラフ、およびアラートとイベントのリストが表示されます。

    テストはデフォルトで 7 日間実行されます。 オンライン または [テストの終了] をクリックして、テストを早期に停止できます。 オンライン をクリックすると、ルールはすぐに有効になります。 [テストの終了] をクリックすると、返回图标 アイコンを使用してルール管理ページに戻ります。 セキュリティセンターは、ルールを無効な状態で作成します。

  6. テストをスキップした場合は、ルールを新しく追加する ページでルールが正しく設定されていることを確認し、オンライン をクリックします。

    ルールを公開せずに保存するには、下書きとして保存する をクリックします。

カスタムルールを作成した後、ルール管理 ページで表示、テスト、有効化、無効化、編集、または削除できます。

データセットの管理

データセットを使用すると、IP ブラックリストとホワイトリスト、コア資産リスト、カスタム脅威インテリジェンスの侵害のインジケーター (IOC) などのデータオブジェクトを一元管理できます。データセットは、検出ルールや応答プレイブックで再利用するためのカスタムデータを格納する 2 次元テーブルです。

データセットの作成

  1. ナビゲーションペインで、脅威の分析と応答 > 管理 > ルール管理 の順に選択します。コンソールの左上隅で、アセットが存在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland

  2. データセット タブをクリックし、データセットの新規追加 をクリックして データセットの新規追加 パネルを開きます。

  3. データセット セクションで、ファイルテンプレートのダウンロード をクリックして、テンプレートをコンピューターにダウンロードします。テンプレートに記入して保存します。

    次の点に注意してください。

    • テンプレートをアップロードする際は、プライマリキーを指定します。プライマリキーは、ログデータの検索と照合に使用されます。プライマリキーフィールドは空にできず、重複する値を含めないことを推奨します。

      アップロードされたデータセットのプライマリキー列に重複する値が含まれている場合、システムは自動的に重複を削除します。

    • アップロードするファイルテンプレートのサイズは 3 MB を超えないようにしてください。

    • ファイルテンプレートに含めることができるデータセットレコードは 5,000 件以下です。

    • ファイルテンプレート内のデータセットフィールドの値は 200 バイトを超えることはできません。

  4. データセットの新規追加 パネルに戻り、名前と説明を入力し、データセットファイルをアップロードし、プライマリキーを指定して、次へ をクリックします。

    システムはデータセットフィールドを検証します。エラーが見つかった場合は、表示される指示に従ってフィールドを変更してください。

  5. 検証と作成 タブで、アップロードしたデータセットの内容を確認し、OK をクリックします。

次のステップ

検出ルールまたは応答プレイブックでデータセットを参照できます。詳細については、「セキュリティイベント」および「応答ルール」をご参照ください。

データセットリストの 引用された 列には、データセットを参照しているルールとプレイブックの数が表示されます。

関連操作

  • データセットを変更するには、データセットリストの 編集 列で 操作する をクリックします。

  • データセットをバッチ更新するには、データセットファイルテンプレートを編集し、一括更新 列で 操作する をクリックして、テンプレートを再度アップロードします。

  • データセットを削除するには、削除 列で 操作する をクリックします。

    説明

    検出ルールまたはプレイブックで参照されているデータセットは削除できません。

カスタムルールの例

以下の例では、一般的な脅威シナリオに対してカスタムルールを設定する方法を示します。

SQL インジェクション攻撃 (UNION ベースのインジェクション)

パラメーター

基本情報

ルール名

sql_injection

ルールの説明

SQL インジェクション攻撃 (UNION ベースのインジェクション)

脅威レベル

重要

脅威タイプ

異常なネットワークトラフィック

ルールロジック設定

ログ範囲

  • ログカテゴリには HTTP Activity を選択します。

  • ログタイプには、以下を選択します: ALB フローログCLB レイヤー 7 ログインターネット HTTP ログDDoS New BGP Anti-DDoS フローログWAF フローログCDN フローログDDoS Anti-DDoS フローログ (レガシー)

マッチングフィールド

一致フィールドグループ 1 では、1 番目のフィールドに、request_parametersREGEXPunion\b[\s\S]+select\b を選択または入力します。

集約フィールド

設定は不要です。

ログカウントしきい値

設定は不要です。

統計期間

設定は不要です。

イベント生成設定

このルールのアラートをイベントに変換

はい

イベント生成方法

このルールのすべてのアラートを 1 つのイベントに集約する

実行期間

24 時間

WAF を攻撃するスキャナー IP

パラメーター

基本情報

ルール名

web_scanner_ip

ルールの説明

WAF を攻撃するスキャナー IP

脅威レベル

重要

脅威タイプ

悪意のあるネットワークの振る舞い

ルールロジック設定

ログ範囲

  • ログカテゴリにHTTP アクティビティを選択します。

  • ログタイプには WAF Flow Logs を選択します。

マッチングフィールド

マッチングフィールドグループ 1 で次の 2 つのフィールドを設定します。

  • フィールド 1: status=405

  • フィールド 2: final_plugin=waf

集約フィールド

domain

ログカウントしきい値

Countfinal_rule_type>=2 の順に選択または入力します。

統計期間

2 分

イベント生成設定

このルールのアラートをイベントに変換

いいえ

疑わしい機密コマンドを実行する Java プロセス

パラメーター

基本情報

ルール名

java_exec_suspicious_command

ルールの説明

疑わしい機密コマンドを実行する Java プロセス

脅威レベル

重要

脅威タイプ

異常なプロセスの振る舞い

ルールロジック設定

ログ範囲

  • ログカテゴリーにはプロセスアクティビティを選択します。

  • ログタイプにはプロセス起動ログを選択します。

マッチングフィールド

  • マッチングフィールドグループ 1

    • フィールド 1: parent_proc_pathlike%/java%

    • フィールド 2: proc_pathlike%/id%

  • マッチングフィールドグループ 2

    • フィールド 1: parent_proc_path, like, %/java%

    • フィールド 2:proc_pathlike%/ifconfig%

  • マッチングフィールドグループ 3

    • フィールド 1: parent_proc_pathlike%/java%

    • フィールド 2: proc_pathlike%/whoami%

  • マッチングフィールドグループ 4

    • フィールド 1: parent_proc_pathlike%/java%

    • フィールド 2:proc_pathlike%/curl%

  • マッチングフィールドグループ 5

    • フィールド 1: parent_proc_pathlike%/java%

    • フィールド 2: proc_pathlike%/wget%

集約フィールド

設定は不要です。

ログカウントしきい値

設定は不要です。

統計期間

設定は不要です。

イベント生成設定

このルールのアラートをイベントに変換

いいえ

ブルートフォース攻撃

パラメーター

基本情報

ルール名

host_crack

ルールの説明

ブルートフォース攻撃

脅威レベル

重要

脅威タイプ

異常なログイン

ルールロジック設定

ログ範囲

  • ログカテゴリには Logon Activity を選択します。

  • ログタイプとしてホストログオン失敗ログを選択します。

マッチングフィールド

マッチングフィールドグループ 1 で次の 5 つのフィールドを設定します。

  • フィールド 1: src_ipNOT LIKE10.%

  • フィールド 2: src_ipNOT LIKE192.168.%

  • フィールド 3:src_ipNOT REGEXP172\.1[6-9]\.

  • フィールド 4: src_ip, NOT REGEXP, 172\.2[0-9]\.

  • フィールド 5: src_ipNOT REGEXP172\.3[0-1]\.

集約フィールド

host_uuidsrc_ip を選択します。

ログカウントしきい値

次の順に選択または入力します: Sumconnect_count>=5

統計期間

3 分

イベント生成設定

このルールのアラートをイベントに変換

いいえ

マイニングドメインに接続するホスト

パラメーター

基本情報

ルール名

minner_domain

ルールの説明

マイニングドメインに接続するホスト

脅威レベル

重要

脅威タイプ

異常なネットワーク接続

ルールロジック設定

ログ範囲

  • ログカテゴリには、DNS アクティビティを選択します。

  • ログタイプには、インターネット DNS ログDNS 名前解決ログ を選択します。

マッチングフィールド

マッチングフィールドグループ 1 で次の 3 つのフィールドを設定します。

  • フィールド 1:dns_query_nameLIKE%cryptonight.net%

  • フィールド 2: dns_query_nameLIKE%minexmr.org%

  • フィールド 3:dns_query_nameLIKE%xmrpool.com%

集約フィールド

設定は不要です。

ログカウントしきい値

設定は不要です。

統計期間

設定は不要です。

イベント生成設定

生成されたアラートをイベントに変換

いいえ

HTTP アクセスリクエストの急増

パラメーター

基本情報

ルール名

web_access_overload

ルールの説明

HTTP アクセスリクエストの急増

脅威レベル

重要

脅威タイプ

異常なネットワークトラフィック

ルールロジック設定

ログ範囲

  • ログカテゴリには HTTP Activity を選択します。

  • ログタイプとして、ALB フローログCLB レイヤー 7 ログインターネット HTTP ログDDoS 新規 BGP アンチ DDoS フローログWAF フローログCDN フローログDDoS アンチ DDoS フローログ (レガシー) を選択します。

マッチングフィールド

照合フィールドグループ 1 では、最初のフィールドに statusLIKE2% を選択または入力します。

集約フィールド

domain

ログカウントしきい値

countrequest_url>=60000 の順に選択または入力します。

統計期間

1 分

イベント生成設定

生成されたアラートをイベントに変換

いいえ

関連ドキュメント

  • 脅威分析と対応が生成したセキュリティイベントを確認し、対応します。詳細については、「セキュリティイベント」をご参照ください。

  • ログ管理機能を使用して、マルチリソース環境全体のログデータを参照し、クエリします。詳細については、「ログ検索」をご参照ください。

  • API オペレーションを呼び出して、ルールリストのクエリ、カスタムルールステータスの更新、またはカスタムルールの削除を実行します。詳細については、「ルール管理」をご参照ください。