Agentic SOC では、非標準ログを分析するカスタム SQL 検出ルールを作成できます。本トピックでは、ApsaraDB RDS SQL 監査ログを例として、拡張フィールドの追加、標準化ルールの設定、データソースの統合、およびカスタム SQL 検出ルールの作成方法について説明します。この方法は、他の種類の非標準ログにも適用できます。
概要
デフォルトでは、Agentic SOC は標準的な Alibaba Cloud セキュリティログを収集・分析します。ApsaraDB RDS SQL 監査ログなどの非標準ログを分析するには、カスタム検出ルールがそれらを処理できるように、事前に拡張フィールドとデータ統合を設定する必要があります。全体の設定手順は次のとおりです。
拡張フィールドの追加:RDS Database Audit Activity スキーマに拡張フィールドを追加し、非標準フィールドを検出ルール内で参照できるようにします。
標準化ルールの変更:RDS Database Audit Activity の標準化ルールで、拡張フィールドのマッピング方法を [元の値を保持] に設定します。
データソースの有効化:RDS SQL 監査ログのデータソースを追加・有効化し、Agentic SOC がログデータを受信できるようにします。
サービス統合の有効化:ApsaraDB RDS の取り込みポリシーを有効化し、ログが Agentic SOC で処理されるようにします。
カスタム SQL 検出ルールの作成:ルールテンプレートに基づいてカスタム SQL 検出ルールを作成します。
アラートの確認と対応:検出ルールによって生成されたアラートまたはイベントを確認・対応します。
事前準備
Agentic SOC が有効化されていること。詳細については、「Agentic SOC の購入と有効化」をご参照ください。
ApsaraDB RDS for MySQL インスタンスが利用可能で、SQL 監査機能が有効になっていること。詳細については、「ApsaraDB for RDS SQL 監査ログの収集」をご参照ください。
ステップ 1:拡張フィールドの追加
RDS Database Audit Activity スキーマに拡張フィールドを追加し、これらの非標準フィールドをカスタム SQL 検出ルール内で参照・クエリできるようにします。詳細については、「標準化ルールとデータセット」をご参照ください。
Security Center コンソール - Agentic SOC - 管理 - アクセス設定にアクセスします。ページ左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
Standard Fields ページをクリックし、Standardized Field タブをクリックします。
左側の Standard Fields パネルで、Log Activity Category> 監査カテゴリ を展開し、RDS Database Audit Activity を選択します。
右側パネルで、Extension Fields タブをクリックし、Field Management をクリックします。以下の拡張フィールドを追加します。これらのフィールドは参考情報です。必要に応じて調整してください。
拡張フィールド名
フィールドタイプ
説明
APP_NAME
text
アプリケーション名。
application_name
text
アプリケーションの名前。
backend_type
text
バックエンドタイプ。
command_tag
text
コマンドタグ。
connection_from
text
接続元。
context
text
コンテキスト情報。
database_name
text
データベースの名前。
detail
text
詳細情報。
env
text
環境情報。
error_severity
text
エラーの重大度レベル。
ステップ 2:標準化ルールの変更
ステップ 1 で追加した拡張フィールドが取り込まれるように、RDS Database Audit Activity の標準化ルールを変更します。
Integration Settings ページで、Standardized Rule タブをクリックします。
Service 検索ボックスで、ApsaraDB RDS を検索します。
Add Extended Fields 列で、ドロップダウンリストをクリックし、Keep Original を選択します。
ステップ 3:データソースの有効化
RDS SQL 監査ログのデータソースを追加・有効化し、Agentic SOC がログデータを受信できるようにします。
Integration Settings ページで、Data Source タブをクリックします。
Data Source Name 検索ボックスで、RDS SQL audit log を検索し、操作する 列の 編集 をクリックします。
データソース編集ページで、Create Instance をクリックし、RDS SQL 監査ログが配置されているリージョンとログストアを選択します。
OK をクリックします。The data source is updated. というメッセージが表示されたら、編集ページを閉じます。接続ステータスを更新し、ステータスが Normal であることを確認します。
(オプション)Auto Discovery をオンにして、新しいインスタンスを自動的に同期します。
ステップ 4:サービス統合の有効化
ApsaraDB RDS の取り込みポリシーを有効化し、RDS SQL 監査ログが Agentic SOC で受信・処理されるようにします。
Integration Settings ページで、Service Integration タブをクリックします。
ApsaraDB RDS を見つけ、操作する 列の アクセス設定 をクリックします。
Access Policy ページで、RDS SQL audit logs および リレーショナルデータベース監査ログの標準化ルール の取り込みポリシーを有効化します。
ステップ 5:カスタム SQL 検出ルールの作成
ルールテンプレートに基づいてカスタム SQL 検出ルールを作成します。
Security Center コンソール - Agentic SOC - 管理 - 検出ルールにアクセスします。ページ左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
Rule Template タブをクリックし、データベースに対するクエリステートメントの実行によりエラーが発生 テンプレートを検索します。
操作 列の Create Rule をクリックします。
ルール設定ページで、以下のパラメーターを設定します。その他のパラメーターはデフォルト値のままにしてください。詳細については、「検出ルール」をご参照ください。
説明この例では、
APP_NAMEおよびdatabase_nameは、ステップ 1 で設定した拡張フィールドです。ルール本文:SQL 構文 を選択します。
ログ範囲:監査ログ > リレーショナルデータベース監査ログ を選択します。
SQL クエリステートメント:ビジネス要件に基づいて SQL ステートメントを変更します。テンプレートのデフォルト SQL ステートメントは次のとおりです。
* |set session mode=scan;select distinct user_id, start_time, src_ip, db, user, table_name, sql, affect_rows from log where schema='RDS_DATABASE_AUDIT_ACTIVITY' and regexp_like(sql, '''\s*and\s+updatexml\s*\(') and APP_NAME='Test' and database_name='TestDatabase'
ステップ 6:アラートの確認と対応
検出ルールが有効になると、一致するログパターンが検出された際にシステムが自動的にアラートまたはイベントを生成します。これらは Agentic SOC ページで確認・対応できます。
Agentic SOC ページで、セキュリティイベントの処理 または アラート タブをクリックします。
カスタム SQL 検出ルールによってトリガーされたアラートまたはイベントを確認し、必要に応じて対応します。
よくある質問
検出ルールがアラートをトリガーしないのはなぜですか?
以下の順序で問題をトラブルシューティングしてください。
サービス統合:ステップ 4 の取り込みポリシーが有効になっていることを確認します。
データソースのステータス:データソース タブで、RDS SQL 監査ログの接続ステータスが Normal であることを確認します。
標準化ルール:RDS Database Audit Activity の標準化ルールにおける 拡張フィールドの追加 の値が 元の値を保持 に設定されていることを確認します。
検出ルール:検出ルールが有効になっており、ログ範囲が リレーショナルデータベース監査ログ に設定されていることを確認します。
拡張フィールドと標準フィールドの違いは何ですか?
標準フィールド は、Agentic SOC の標準化スキーマで事前定義された汎用フィールド(例:
src_ip、user_id)であり、すべてのログタイプに適用されます。拡張フィールド はユーザー定義のカスタムフィールドで、特定のログタイプに固有の非標準情報を格納します(例:database_name、command_tag)。どちらのフィールドも、検出ルールの SQL クエリ内で直接参照できます。