デフォルトでは、Security Center は DingTalk チャットボットを通じて通知を送信します。Lark や WeChat Work を通じて Security Center のアラートを受信する必要がある場合は、CloudMonitor のイベントサブスクリプション機能を利用して、これらのアラートをご利用の Lark や WeChat Work のグループに転送できます。
概要
Security Center はセキュリティアラートを CloudMonitor にプッシュし、CloudMonitor はイベントサブスクリプションを通じてアラートを Lark や WeChat Work に転送します。設定プロセスは以下の通りです:
-
CloudMonitor へのプッシュの有効化:Security Center の通知設定で、CloudMonitor へのプッシュスイッチをオンにし、プッシュするアラートタイプを選択します。
-
チャットボットの作成:Lark または WeChat Work でカスタムチャットボットを作成し、その Webhook URL を取得します。
-
CloudMonitor アラートグループの作成:
-
CloudMonitor でアラート連絡先を作成し、Webhook URL を連絡先にバインドします。
-
Webhook URL を持つアラート連絡先を CloudMonitor のアラートグループに追加します。
-
-
CloudMonitor 通知ポリシーの作成:CloudMonitor で通知ポリシーを作成し、アラートグループに関連付け、通知の受信者を定義します。
-
CloudMonitor イベントサブスクリプションの設定:イベントサブスクリプションポリシーを作成して Security Center からのシステムイベントをサブスクライブし、通知ポリシーに関連付けます。
ステップ 1:Security Center での CloudMonitor へのプッシュの有効化
Security Center で CloudMonitor へのプッシュ機能を有効にすることで、CloudMonitor が Security Center からのアラートを受信できるようになります。
この機能を有効にするまで、CloudMonitor は Security Center からのアラートを受信しません。
-
Security Center コンソール > [システム設定] > [通知設定] ページに移動します。ページの左上隅で、ご利用のアセットが所在するリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
-
Cloud Monitor Push タブで、プッシュする通知項目を選択します。次の表では、これらの通知項目について説明します。
通知項目
プッシュ頻度
説明
Security Incident
Push ResultDetails:制限なし
DDoS 攻撃やブルートフォース攻撃など、検出されたセキュリティ攻撃に関する通知。
セキュリティアラート
Push ResultDetails:制限なし
不審なログインアクティビティや悪意のあるプロセスなど、ホストまたはコンテナで検出された脅威に関する通知。
Baseline Check
Push ResultOverview:毎週木曜日に 1 回送信。
セキュリティベースラインチェックのサマリーレポートに関する通知。
クラウドプラットフォーム設定のチェック
Push ResultOverview:毎週木曜日に 1 回送信。
クラウドプラットフォーム設定リスクチェックのサマリーレポートに関する通知。
エージェントレス検出
Push ResultDetails:カスタマイズ可能
エージェントのインストールを必要としないセキュリティスキャンの結果に関する通知。
Malicious file
Push ResultDetails:カスタマイズ可能
不正なファイル検出 SDK によって検出された不正なファイルに関する通知。
Vulnerability
Push ResultOverview:毎週木曜日に 1 回送信。
Push ResultDetails:カスタマイズ可能
システムおよびアプリケーションの脆弱性の検出結果とサマリーに関する通知。
アプリケーション保護
Push ResultDetails:カスタマイズ可能
ランタイムアプリケーション自己保護 (RASP) のアラート通知。
ステップ 2:チャットボットの作成
Lark または WeChat Work でカスタムチャットボットを作成し、その Webhook URL を取得します。この URL はステップ 3 で CloudMonitor のアラート連絡先に追加します。
Lark チャットボット
このセクションでは、Lark デスクトップクライアントを使用してカスタム Lark チャットボットを作成する方法について説明します。
-
Lark クライアントを開き、ログインします。Lark グループで、右上隅の
アイコンをクリックし、[グループボット] をクリックします。 -
[グループボット] パネルで、[ボットを追加] をクリックし、[カスタムボット] を選択します。
-
チャットボットの設定ページで、[ボット名] (例:
CloudMonitor アラート) を入力し、[追加] をクリックします。 -
Webhook URL をコピーします。次に、[カスタムキーワード] を選択し、
アラート、CloudMonitor、Security Centerなどのキーワードを入力します。重要-
Lark チャットボットでは、メッセージ本文に指定されたカスタムキーワードの少なくとも 1 つが含まれている必要があります。そうでない場合、メッセージはブロックされます。アラートメッセージが確実に配信されるように、複数の一般的なキーワードを追加することを推奨します。
-
Webhook URL は安全に保存してください。CloudMonitor でアラート連絡先を設定する際に必要になります。

-
WeChat Work ボットの作成
このセクションでは、WeChat Work モバイルアプリを使用してカスタム WeChat Work チャットボットを作成する方法について説明します。
-
WeChat Work アプリを開き、ログインします。
-
WeChat Work グループで、右上隅の
アイコンをタップし、[グループボット] をタップします。 -
[グループボット] ページで、[ボットを追加] をタップします。
-
[ボットを追加] ページで、[カスタムボット名] (例:
CloudMonitor アラート) を入力し、[追加] をタップします。 -
確認ページで、[コピー] をタップして WeChat Work チャットボットの Webhook URL を保存します。
重要Webhook URL は安全に保存してください。CloudMonitor でアラート連絡先を設定する際に必要になります。
ステップ 3:アラート連絡先とポリシーの設定
CloudMonitor でアラート連絡先を作成し、ステップ 2 で取得した Webhook URL を連絡先にバインドし、その連絡先をアラートグループに追加します。これにより、CloudMonitor は Webhook URL を通じて Lark または WeChat Work にアラート通知を送信できるようになります。
-
アラート連絡先の作成
-
CloudMonitor コンソールにログインします。左側のナビゲーションウィンドウで、を選択します。
-
アラーム送信先 タブで、送信先を作成 をクリックします。
-
アラーム送信先の設定 パネルで、以下の情報に基づいてパラメーターを設定してください。
-
名前:
Lark chatbotやWeChat Work chatbotなどの名前を入力します。 -
Dingtalk|Lark|WeCom|Slack Webhook (http | https):ステップ 2 で取得した Webhook URL を貼り付けます。これは汎用の Webhook フィールドであり、Lark と WeChat Work の両方の Webhook URL を入力できます。
-
-
(オプション) Webhook 接続性のテスト:Webhook 入力フィールドの右側にある [テスト] ボタンをクリックします。状態コード
200は接続が成功したことを示します。 -
情報を確認した後、[確認] をクリックします。
-
-
アラートグループの作成
-
アラーム送信先グループ タブをクリックし、次に 送信先グループを作成 をクリックします。
-
送信先グループを作成 パネルで、次の情報に基づいてパラメーターを設定し、OK をクリックします。
-
グループ名:
Lark chatbot groupやWeChat Work chatbot groupなどのグループ名を入力します。 -
送信先の選択: 前のステップで作成したアラート連絡先を選択します。
-
-
-
通知ポリシーの作成
-
左側のナビゲーションウィンドウで、を選択します。
-
ポリシーを作成 をクリックします。次の情報に基づいてパラメーターを設定し、[OK] をクリックします。
-
名前:ポリシーの名前を入力します。例:
Security Center Alert Notification。 -
通知設定: 通知グループを直接設定する を選択します。
-
連絡先グループ:前のステップで作成したアラートグループを選択します。
-
-
ステップ 4:イベントサブスクリプションの設定
イベントサブスクリプションポリシーを作成して Security Center からのシステムイベントをサブスクライブし、ステップ 3 で作成した通知ポリシーに関連付けます。
-
CloudMonitor コンソールにログインします。左側のナビゲーションウィンドウで、を選択します。
-
サブスクリプションポリシー タブで、サブスクリプションポリシーの作成 をクリックし、次の情報に基づいてパラメーターを設定します。
-
名前: ポリシーの名前を入力します。
Security Center Alerts to Larkのような、分かりやすい名前を付けることを推奨します。 -
サブスクリプションタイプ:システムイベント を選択します。
-
サブスクリプションスコープ:
-
プロダクト:Security Center を選択します。
-
イベントタイプ: ステップ 1 で Security Center で有効にした CloudMonitor プッシュ通知の Notification Item と Push Content に対応するイベントタイプを選択します。マッピングは次のとおりです。
Security Center
CloudMonitor
Security Incident
Incident
セキュリティアラート
Suspicious
Baseline Check
System-Baseline-cnt
クラウドプラットフォーム設定のチェック
Cspm-cnt
エージェントレス検出
Agentless
Malicious file
mfd SDK
Vulnerability
Push Result Overview:Vulnerability-cnt
Push Result Details:Vulnerability
アプリケーション保護
Rasp
-
イベント名とイベントレベル: 受信したいイベント通知を選択します。
-
これらのフィールドを空のままにすると、すべてのイベントの通知を受信します。
-
ブラックリストとして設定 を選択すると、ルールが反転します。指定した イベント名 または イベントレベル のイベントを除き、すべてのイベントの通知を受信します。
-
-
アプリケーションのグループ化、イベント内容、およびイベントリソースは、デフォルト設定のままにします。
-
-
複合ノイズリダクション:デフォルト設定を使用します。
-
通知設定:ステップ 3 で作成した通知ポリシーを選択します。
-
カスタム通知方法とプッシュと統合:デフォルト設定のままにします。
-
-
パラメーターを設定した後、[送信] をクリックします。
よくある質問
-
設定完了後にアラートが届かないのはなぜですか?
以下の項目を順にご確認ください:
-
Security Center のプッシュスイッチ:ステップ 1 で、受信したいアラートタイプに対して [CloudMonitor へのプッシュ] スイッチがオンになっていることを確認します。
-
イベントサブスクリプションルール:ステップ 4 で作成したイベントサブスクリプションポリシーを確認します。[イベントタイプ] や [イベントレベル] などのフィルター条件が、受信を期待するアラートと一致していることを確認します。
-
Lark のキーワード (最も一般的な問題):Lark を使用している場合、チャットボット設定のカスタムキーワードが実際のアラートメッセージの内容と一致していることを確認します。
アラートやイベントのような一般的なキーワードを使用することを推奨します。 -
Webhook URL:CloudMonitor で [アラート連絡先] に移動し、[テスト] 機能を使用して Webhook URL が到達可能かどうかを確認します。URL が正しく、ファイアウォールや他のネットワークポリシーによってブロックされていないことを確認します。
-
CloudMonitor のイベント履歴:[イベントセンター] > [イベント履歴] で、イベントが正常に受信およびプッシュされたかを確認します。イベントは存在するがプッシュに失敗した場合、通常は失敗の理由が記録されています。
-
-
アラート疲れを避けるにはどうすればよいですか?
-
マージとノイズリダクションの有効化:ステップ 4 のイベントサブスクリプションポリシーで、[マージとノイズリダクション] を設定します。例えば、1 分以内に同じイベントの通知をマージするように設定します。
-
正確なフィルタリングの使用:同じイベントサブスクリプションポリシーで、[イベントレベル] を設定 (例:高リスクのみをサブスクライブ) したり、特定の [イベント名] を指定したりすることで、重要度の低いアラートの通知を減らします。
-
-
Webhook のテストで 200 以外の状態コードが返された場合はどうすればよいですか?
200 以外の状態コードは、CloudMonitor がチャットボットにメッセージを送信できなかったことを意味します。一般的な原因は次のとおりです:
-
不正な URL:コピーした Webhook URL が不完全または間違っています。
-
IP ホワイトリストの制限:Lark のような一部のチャットツールでは、IP ホワイトリストを使用するセキュリティ設定がある場合があります。このリストに CloudMonitor サーバーの IP アドレスを追加する必要があるかもしれません。
-
キーワードの不一致 (Lark):メッセージ本文に指定されたキーワードが含まれていないため、Lark チャットボットがメッセージをブロックしています。
-
頻度制限の超過:短時間に送信されたメッセージが多すぎたため、チャットツールの頻度制限がトリガーされました。例えば、WeChat Work チャットボットには 1 分あたり 15 メッセージの制限があります。
-