Security Center は、サーバーの重要なファイルをリアルタイムで監視し、読み取り、書き込み、削除、名前の変更、権限の変更を追跡し、潜在的な盗難や改ざんについてアラートで通知します。本トピックでは、監視ルールの設定に関するベストプラクティスと DingTalk チャットボットのアラート設定について説明します。
ホスト侵入検知とコアファイル監視
多層防御は、サイバーセキュリティのベストプラクティスです。ホスト侵入検知は、行動パターンに基づいて不審なアクティビティを特定します。コアファイル監視は、ファイルやディレクトリへの不正な変更を検知することで、これを補完します。
これらの機能を組み合わせることで、複雑な脅威の検知能力が向上します。セキュリティインシデント発生時、コアファイル監視のアラートは、セキュリティチームが攻撃者の活動を追跡し、インシデント対応やフォレンジック分析を行うのに役立ちます。
コアファイル監視は、悪意のある内部関係者の操作や運用上のミスなど、内部の脅威も検知します。
ルール設定のガイドラインと例
以下のガイドラインは、一般的な監視ルールの設定について説明しています。ルールは正当な操作を誤検知としてフラグを立てることがあります。表の最後の列には、アラートをトリガーする可能性のある通常の活動の例が記載されています。
誤検知を最小限に抑えるために、段階的に展開してください。
-
パイロットテスト:最初に少数のマシンに新しいルールをデプロイします。
-
綿密な監視:試用期間中にトリガーされたイベントを監視し、ルールの正確性を検証します。
-
反復的な改善:確認済みの正常な操作に対してホワイトリストルールを追加し、アラート疲れを軽減します。
-
完全なデプロイ:誤検知が最小限に抑えられ、ルールが安定した後、より多くのサーバーにデプロイします。
|
タイプ |
説明 |
サブタイプ |
アクション |
ファイルパスの例 |
潜在的な誤検知 |
|
コアシステムファイル |
これらのディレクトリには、システムコマンドと共有ライブラリが含まれています。これらを監視することで、悪意のあるバイナリの設置や依存関係の変更などの改ざんを検知します。 |
システム実行可能バイナリディレクトリ |
書き込み、削除 |
|
パッケージ管理によるインストールやソースからのコンパイル ( |
|
共有ライブラリディレクトリ |
書き込み、削除 |
|
|||
|
設定ファイル |
攻撃者は、次のような目的で重要な設定ファイルを変更します。
|
ユーザーおよび権限ファイル |
書き込み |
|
標準コマンド (useradd、usermod、userdel、passwd) を使用するとこれらのファイルに書き込みが発生します。手順に基づいてホワイトリストルールを追加するか、監査のためにアラートデータを使用してください。 |
|
重要なシステム設定ファイル |
書き込み、削除 |
|
ネットワーク設定、名前解決、またはカーネルパラメータを定期的に変更すると、これらのファイルが変更されます。 |
||
|
運用アプリケーションの設定ファイル |
書き込み |
|
システムのメンテナンス、セキュリティ強化、およびキーローテーションによって、これらのファイルが変更される場合があります。それに応じてホワイトリストルールを設定してください。 |
||
|
セキュリティ監査設定ファイル |
書き込み、削除 |
|
監査フレームワークの初期設定やコンプライアンスのためのポリシー調整により、これらのファイルが変更されることがあります。 |
||
|
Web サービス設定ファイル |
書き込み |
|
初期設定、モジュールの変更、および Web サービスの更新を行うと、これらのファイルが変更されます。 |
||
|
データベース設定ファイル |
書き込み |
|
データベースサービスのインストールや運用上の変更により、これらのファイルが変更されることがあります。必要に応じてホワイトリストルールを追加してください。 |
||
|
一般的な永続化の場所 |
攻撃者は、再起動後や定期的な実行中に永続的なアクセスを維持するために、スケジュールされたタスク、悪意のあるサービス、または起動スクリプトを追加します。 |
Cron 関連ファイル |
書き込み |
|
通常の crontab 管理では、これらのファイルが変更されることがあります。 |
|
サービス関連ファイル |
書き込み |
|
サービスベースのアプリケーションをインストールすると、システムサービスが変更される可能性があります。 |
||
|
シェル設定ファイル |
書き込み |
|
運用スタッフは、環境設定を変更したり、コマンドエイリアスを作成したりするために、これらのファイルを変更します。 |
||
|
Web サービスコードディレクトリ |
Web コードディレクトリを監視することで、Web シェルのアップロードや、ページの改ざん、スクリプトインジェクションなどの不正な変更を検知できます。攻撃者は脆弱性を悪用して Web シェルをアップロードし、リモートでサーバーにアクセスします。 |
Web コードディレクトリ |
書き込み、権限変更 |
|
サービスのデプロイ、CMS プラグインの更新、および CI/CD ツール (Jenkins、GitLab CI/CD、Ansible) を使用すると、これらのディレクトリへの書き込みが発生します。書き込みプロセスルールを設定するか、アップロードディレクトリを除外するか、ファイル拡張子を制限してください。 |
|
機密情報を含むファイル |
認証情報の漏洩は大きなリスクです。ホストへのアクセス権を取得した後、攻撃者はラテラルムーブメントを実行するために認証情報を探します。機密ファイルへの読み取り操作を監視すると、これらの活動を検出するのに役立ちます。 |
クラウドサービス CLI 認証情報 |
読み取り |
|
関連アプリケーションが、これらのファイルを正当に読み取ることがあります。たとえば、Alibaba Cloud CLI は |
|
バージョン管理認証情報 |
読み取り |
|
|||
|
データベース設定 |
読み取り |
|
|||
|
運用およびオーケストレーションシステム用の秘密鍵 |
読み取り |
|
DingTalk チャットボット通知の設定
DingTalk チャットボットを設定すると、DingTalk グループで Security Center の脅威アラートをリアルタイムで受信できます。
DingTalk チャットボット通知は、Security Center の Enterprise Edition と Ultimate Edition でのみサポートされています。
前提条件
ターゲットの DingTalk グループでカスタムチャットボットを作成し、その Webhook URL を取得してください。[Security Settings] で、通知言語に一致するカスタムキーワードを設定してください。
-
中国語:云安全中心
-
英語:Security
操作手順
-
Security Center コンソールにログインします。
-
左側メニューで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
-
通知設定 ページで、DingTalk チャットボット タブをクリックし、新しいロボットを追加する をクリックします。
-
DingTalk チャットロボットを追加する パネルでパラメータを設定し、追加 をクリックします。
パラメーター
説明
例
[ロボット名]
DingTalk チャットボットのカスタム名。
コアファイルアラート通知
[Webhook アドレス]
DingTalk グループから取得したチャットボットの Webhook URL。
重要Webhook URL は機密情報として扱ってください。URL が漏洩すると、セキュリティリスクが生じます。
https://oapi.dingtalk.com/robot/send?access_token=XXXX
[アセットグループ]
Security Center の アセットセンター ページからアセットグループを選択します。チャットボットは、選択されたグループ内のアセットに関するアラートを送信します。
Alibaba Cloud
[通知スコープ]
通知するアラートタイプとリスクレベルを選択します。利用可能なタイプ:[Vulnerability]、[ベースライン検査]、[セキュリティアラート]、[AccessKey Leak Detection]、[クラウドハニーポット]、[アプリケーション保護]、[ランサムウェア対策]、[コアファイルの監視]、[不正ファイル検出]。
コアファイル監視/アラートレベル/緊急
[通知頻度]
通知間隔。オプション:1、5、10、または 30 分。制限なしの場合は、各アラートをリアルタイムで送信します (Webhook ごとに毎分最大 20 件)。
30
[通知言語]
通知言語:中国語または英語。
中国語
チャットボットはデフォルトで Enable になっています。Security Center は、設定されたポリシーに従って通知を送信します。
-
(任意) リストからチャットボットを見つけ、操作する 列の テスト をクリックして接続を確認します。