セキュリティセンターのコアファイル監視機能は、サーバー上の重要なファイルのリアルタイム監視を可能にし、読み取り、書き込み、削除、名前変更、権限変更などの操作を追跡します。 疑わしいアクティビティに対してアラートを生成し、コアファイルの盗難や改ざんを防ぎます。 このトピックでは、コアファイル監視機能の構成ルールと例について説明し、機能の使用を強化するために DingTalk チャットボットを設定してアラート通知を受信する方法について説明します。
ホスト侵入検知とコアファイル監視の関係
サイバーセキュリティに関しては、多層的で詳細な防御戦略が推奨されます。 ホスト侵入検知は通常、既知と未知の両方の悪意のある動作とシステムアクティビティに焦点を当て、侵入の特徴を分析することにより、疑わしい侵入を識別します。 一方、コアファイル監視は、ファイルシステム内のファイルとディレクトリの整合性を維持し、不正な変更を検出することに重点を置いています。
これらの機能は連携して包括的な保護を提供し、複雑な脅威の検出を強化します。 攻撃者の動作を理解することは、セキュリティイベントに対応するために不可欠です。 攻撃者が確立した監視ルールの範囲内でファイルにアクセスまたは変更した場合、コアファイル監視はアラートを生成し、運用担当者が攻撃者の詳細なアクティビティを追跡して効率的な対応と調査を行うのに役立ちます。
さらに、コアファイル監視は、外部の脅威だけでなく、内部スタッフによる有害な操作やエラーなど、機能によって記録される内部の脅威も検出できます。
構成ルールと例
このセクションでは、コアファイル監視の構成ルールと例を示します。 次の表は、一般的なシナリオと監視ルールを設定する方法を示しています。 ユーザーシステムによっては、異なるルールによって誤検知が発生する可能性があることに注意することが重要です。 表の最後の列は、アラートをトリガーする可能性のある通常の操作の例を示しています。
誤検知がシステム運用に与える影響を軽減するために、さまざまなユーザーシステムにデプロイする前に、監視ルールをテストするための次の手順をお勧めします。
小規模テスト: 最初は、パイロットテストのために少数のマシンにルールを適用します。
詳細監視: 試用中は、各ルールがトリガーされる状況を綿密に監視して、ルールの正確性と適合性を評価します。
反復的な改善: 検出結果に基づいて、確認済みの無害な操作にタイムリーにホワイトリストルールを追加して、重要なアクティビティがアラートをトリガーしないようにし、管理するアラートの数を減らします。
正式なデプロイ: いくつかのテストと最適化の後、ルールが安定していて誤検知がほぼなくなったら、デプロイをより多くのサーバーに拡張します。
タイプ | 説明 | 特定のタイプ | 操作 | ファイルパスの例 | 誤検知をトリガーする可能性のある操作の説明 |
コアシステムファイル | このタイプのディレクトリには、ほとんどのシステムコマンドと共有リンクライブラリが含まれています。 これらのディレクトリに作成された監視ルールは、悪意のあるバイナリの挿入やシステム依存関係の改ざんなど、攻撃者による潜在的な悪意のある改ざんを検出するのに役立ちます。 | 実行可能システムバイナリディレクトリ | 書き込みと削除 |
| パッケージ管理ソフトウェアを使用して実行されるインストールや更新などのアクティビティも、ディレクトリにデータを書き込む可能性があります。 コードリポジトリからソースコードを手動で取得し、コードをコンパイルしてソフトウェアをインストールすると、誤ってディレクトリにデータを書き込む可能性があります。 ほとんどの場合、make && make install コマンドが使用されます。 通常の操作によってアラートがトリガーされないようにするには、ビジネス要件に基づいてホワイトリストルールを構成する必要があります。 |
共有ライブラリディレクトリ | 書き込みと削除 |
| |||
構成ファイル | 攻撃者は、さまざまなキーシステム構成ファイルを修正して攻撃を開始する可能性があります。 例:
| ユーザーと権限に関連するファイル | 書き込み |
| useradd、usermod、userdel、passwd コマンドを使用して実行される通常の操作などにより、ファイルにデータが書き込まれる場合があります。 特定の O & M ルールに基づいて適切なホワイトリストルールを作成するか、アラートデータを監査ログとして使用できます。 |
キシステム構成ファイル | 書き込みと削除 |
| ファイルは、ネットワーク設定、名前解決設定、およびカーネルパラメータを変更する O & M タスクを実行することによって変更されます。 | ||
O & M アプリケーションの構成ファイル | 書き込み |
| ファイルは、システムメンテナンス、構成の更新、セキュリティ強化、または定期的なキーローテーション中に変更される場合があります。 適切なホワイトリストルールを作成することをお勧めします。 | ||
セキュリティ監査の構成ファイル | 書き込みと削除 |
| システムの監査フレームワークを初めて構成するとき、またはコンプライアンスとセキュリティ要件を満たすために監視ルールを変更するときに、ファイルが変更される場合があります。 | ||
Web サービスの構成ファイル | 書き込み |
| Web サービスの初期構成、インストール後の設定、関連モジュールの追加と削除、および Web サービスの更新により、ファイルが変更される場合があります。 | ||
データベースの構成ファイル | 書き込み |
| データベースサービスのインストールと O & M の変更により、ファイルが変更される場合があります。 ビジネス要件に基づいて適切なホワイトリストルールを作成することをお勧めします。 | ||
一般的な永続化メカニズム | 攻撃者は、スケジュールされたタスク、悪意のあるサービス、またはスタートアップスクリプトを追加して、定期的な実行中またはシステムの再起動後に永続的なアクセスを維持できます。 | Cron | 書き込み |
| 通常の O & M 操作では、既存の crontab エントリが追加、調整、または削除される場合があり、その結果、cron ファイルが変更されます。 |
サービス | 書き込み |
| 特定のサービスアプリケーションをインストールすると、追加や変更操作など、システムサービスに対する操作が発生する可能性があります。 | ||
シェル構成 | 書き込み |
| O & M 担当者がデフォルトの環境設定を変更したり、頻繁に使用される複雑なコマンドのエイリアスを作成したりすると、関連ファイルが変更される場合があります。 | ||
Web コードディレクトリ | Web サービスのコードディレクトリを監視するルールは、Web アプリケーションのセキュリティを確保するのに役立ちます。 ほとんどの場合、攻撃者は脆弱性または不正アクセスを悪用して悪意のある webshell ファイルをアップロードします。 webshell ファイルを使用すると、攻撃者は侵害されたサーバーにリモートでアクセス、制御、および管理できます。 Web サービスのコードディレクトリを監視することで、潜在的な webshell のアップロードや、Web ページの改ざんや悪意のあるスクリプトの挿入などの不正な変更を効果的に検出できます。 | Web コードディレクトリ | 書き込みと権限の変更 |
| サービスの更新、サービスのデプロイ、特定のコンテンツ管理システム ( CMS ) のプラグインとテーマのインストールと更新など、日常のビジネスおよびメンテナンス操作では、Web スクリプトファイルがコードディレクトリに書き込まれる場合があります。 Jenkins、GitLab CI / CD、Ansible などの特定の自動デプロイメントツールも、継続的インテグレーションとデプロイメントプロセス中にファイルを書き込む場合があります。 これらの場合、特定の書き込みプロセスを構成するか、外部ファイルのアップロードを許可するディレクトリを制限し、特定のファイルサフィックスを制限してセキュリティを確保する必要があります。 |
機密コンテンツを含むファイル | 機密認証情報の漏洩は、サイバーセキュリティにおける主要なリスクの 1 つです。 攻撃者はホストにアクセスした後、機密情報を検索して横方向の移動を実行し、侵入フットプリントを拡大します。 機密コンテンツを含むファイルの読み取り操作を監視することで、侵入や悪意のあるアクティビティをできるだけ早く効果的に検出できます。 | クラウドサービス CLI の認証情報 | 読み取り |
| ほとんどの場合、機密情報を含むファイルは、ファイルが属するアプリケーションによって読み取られます。 たとえば、Alibaba Cloud CLI は |
バージョン管理の認証情報 | 読み取り |
| |||
データベースの構成 | 読み取り | / | |||
O & M およびオーケストレーションシステムの秘密鍵情報 | 読み取り |
|
DingTalk チャットボットの通知方法を構成する
DingTalk チャットボット通知方法を設定すると、指定された DingTalk グループのセキュリティセンターによって検出された脅威に関するリアルタイムアラートを受信します。
セキュリティセンター Enterprise エディションと Ultimate エディションのみが、通知方法として DingTalk チャットボットをサポートしています。
前提条件
通知を受信する DingTalk グループにカスタムチャットボットを作成し、チャットボットの Webhook URL を取得しました。 カスタムチャットボットを作成するときは、通知言語に基づいて セキュリティ設定 領域のカスタムキーワードを構成します。
中国語:云安全中心
英語:Security
手順
[セキュリティセンターコンソール] にログインします。コンソールの左上隅で、アセットが配置されているリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
通知設定 タブの DingTalk チャットボット で、新しいロボットを追加する をクリックします。
-
DingTalk チャットロボットを追加する パネルで、構成を完了し、追加 をクリックします。
構成項目
説明
例
ロボット名
チャットボットの名前。 分かりやすい名前を入力することをお勧めします。
コアファイルアラート通知
Webhook アドレス
チャットボットの Webhook URL 。対応する DingTalk グループで Webhook URL を取得できます。
重要Webhook URL は機密にしてください。 Webhook URL が漏洩すると、リスクが発生する可能性があります。
https://oapi.dingtalk.com/robot/send?access_token=XXXX
アセットグループ
セキュリティセンターの アセットセンター に作成したアセットグループを選択します。 アセットグループを選択すると、DingTalk チャットボットは、アセットグループ内のアセットに関連する通知を送信します。
Alibaba Cloud
通知スコープ
DingTalk チャットボットに通知を送信するアラートタイプ ( [脆弱性]、[ベースラインチェック]、[セキュリティアラート]、[AK 漏洩検知]、[クラウドハニーポット]、[アプリケーション保護]、[ランサムウェア対策]、[コアファイル監視]、[悪意のあるファイル検知] ) とリスクレベルを選択します。
コアファイル監視 / アラートレベル / 重大
通知頻度
DingTalk チャットボットが通知を送信する時間間隔。 有効値は、1 分、5 分、10 分、30 分、無制限です。 [無制限] を選択すると、アラートが生成されるたびに通知が送信されます。
[無制限] を選択した場合、1 分以内に最大 20 件の通知を Webhook URL に送信できます。
30
通知言語
通知の言語。 有効な値:英語と中国語。
中国語
新しく作成された DingTalk チャットボット通知は、[デフォルト] で有効になっています。 前の手順を完了すると、セキュリティセンターは構成に基づいて通知を送信します。
(オプション) DingTalk チャットボットリストで、新しく作成された DingTalk チャットボットを見つけて、操作する 列の テスト をクリックして、DingTalk チャットボット通知が DingTalk グループに正常に接続されていることを確認します。