Alibaba Cloud Security Center の Threat Detection and Response (CTDR) は、クラウドネイティブな SIEM ソリューションであり、複雑な IT 環境におけるセキュリティ運用の課題(セキュリティデータの断片化、遅延する対応時間、高度な攻撃の検出困難、コンプライアンス要件など)に対処します。CTDR はマルチクラウド環境、複数の Alibaba Cloud アカウント、および複数のサービスからアラートおよびログデータを集約し、ログの標準化、アラート生成、集約・分析、インシデント対応のオーケストレーションを提供します。
機能概要
コア処理ワークフロー
CTDR は、マルチクラウドプラットフォーム、複数の Alibaba Cloud アカウント、複数の Alibaba Cloud サービス、およびサードパーティのセキュリティベンダーからログを取り込みます。事前定義済みおよびカスタムの検知ルールを使用して収集されたログを分析し、脅威を特定、攻撃チェーンを再構築、セキュリティインシデントを生成します。脅威が検出されると、CTDR は自動対応のオーケストレーションをトリガーし、関連するクラウドサービスと連携して、悪意のある IP アドレスのブロックや悪意のあるファイルの隔離などのセキュリティアクションを実行します。
利用フロー
1. CTDR の購入と有効化
サブスクリプションまたは従量課金のいずれかの課金方法で CTDR を有効化できます。本トピックではサブスクリプション方式を例として説明します。従量課金での有効化については、「ステップ 1:従量課金で Agentic SOC を有効化する」をご参照ください。CTDR の請求明細については、「請求明細」をご参照ください。
[Security Center コンソール] にログインします。
左側のナビゲーションウィンドウで、[] を選択します。
[脅威の分析と応答] ページで、[Subscription] をクリックします。
購入ページで、以下のパラメーターを設定します。その後、[Order Now] をクリックして支払いを完了します。
以下の項目は必須です。その他の項目は必要に応じて選択または設定してください。詳細については、「Security Center の購入」をご参照ください。
購入方法: サブスクリプション
バージョン: Value-added Plan
Threat Detection and Response:
購入: [はい] を選択します。
ログ取り込みトラフィック: [100 GB/日] に設定します。
ログストレージ容量: [1000 GB] に設定します。
サービス連携ロール: [Create Service-linked Role] をクリックします。
取り込みポリシー: [After you enable the recommended log collection policy, the Agentic SOC service automatically collects logs and bills you the next day based on actual log volume.] を選択します。
2. クラウドサービスログの取り込み
推奨されるログ取り込みポリシーを有効化すると、CTDR は現在の Alibaba Cloud アカウント内の Security Center、Web Application Firewall (WAF)、Cloud Firewall、および ActionTrail から自動的にログを取り込みます。以下の表に、サポートされるデータソースおよびセキュリティ機能を示します。
ActionTrail イベントログは、Security Center の Anti-virus Edition、Premium Edition、Enterprise Edition、または Ultimate Edition を購入している場合にのみ自動的に取り込まれます。有料版の Security Center を購入していない場合は、ActionTrail イベントログは自動的に取り込まれません。
推奨されるログ取り込みポリシーを有効化しない場合、または サードパーティのクラウドサービス からのログを取り込みたい場合は、「クラウドサービスログの取り込み」をご参照ください。
序数 | Alibaba Cloud サービス | データソース | 標準化されたログカテゴリ | サポートされるセキュリティ機能 |
1 | Security Center | セキュリティアラートログ | セキュリティログ – アラートログ |
|
2 | 脆弱性ログ | セキュリティログ – 脆弱性ログ | インシデント調査およびトレーサビリティ | |
3 | ベースラインログ | セキュリティログ – ホストベースラインログ | インシデント調査およびトレーサビリティ | |
4 | ログイン監査ログ | ログインログ – ホストログインログ | インシデント調査およびトレーサビリティ | |
6 | ファイル読み取り/書き込みログ | ホストログ – プロセスファイル読み取り/書き込みログ | インシデント調査およびトレーサビリティ | |
7 | プロセス起動ログ | ホストログ – プロセス起動ログ |
| |
8 | DNS リクエストログ | ホストログ – プロセス DNS リクエストログ |
| |
9 | ネットワーク接続ログ | ホストログ – プロセスアウトバウンドネットワーク接続ログ |
| |
10 | Web Application Firewall | WAF アラートログ | セキュリティログ – Web Application Firewall アラートログ |
|
11 | WAF 2.0 フル/インターセプト/インターセプト&モニターログ | ネットワークログ – HTTP ログ | 事前定義済み分析ルール | |
12 | WAF 3.0 フル/インターセプト/インターセプト&モニターログ | ネットワークログ – HTTP ログ | 事前定義済み分析ルール | |
13 | Cloud Firewall | Cloud Firewall リアルタイムアラートログ | セキュリティログ – ファイアウォールアラートログ |
|
14 | ActionTrail | ActionTrail イベントログ | 監査ログ – プラットフォーム操作監査ログ | インシデント調査およびトレーサビリティ |
3. ログ配信の有効化(オプション)
CTDR に取り込まれたログは、ログ管理機能を使用して保存できます。ログ分析、トレーサビリティ、または等級保護コンプライアンスを利用するには、必要なログタイプに対してログ配信を有効化してください。CTDR ログ管理、ルール管理(カスタムルール)、およびダッシュボード機能 を使用するには、事前にログ配信を有効化する必要があります。詳細については、「ログ管理」をご参照ください。
左側のナビゲーションウィンドウで、[] を選択します。コンソールの左上隅で、保護対象資産が配置されているリージョンを選択します: [Chinese Mainland] または [Outside Chinese Mainland]。
[プロダクトアクセス] ページで、右上隅の [ログ設定] をクリックします。
[Log Delivery Management] セクションで、配信したい各ログタイプの [Deliver Log to Hot Data/Enabled and Disabled At] 列の下にあるトグルスイッチをオンにします。
複数のログタイプを選択してから、Batch Deliver Log To をクリックします。
[ログ管理] ページで、目的のログタイプの横にあるトグルスイッチをオンにして、そのログタイプを直接バケットに配信することも可能です。
4. 脅威検知ルールの管理
CTDR は、組み込みの事前定義済み検知ルール および カスタム検知ルール を使用して取り込まれたログを分析し、脅威の攻撃チェーンおよびタイムラインを特定し、セキュリティインシデントレポートを生成します。
事前定義済みルール
CTDR は、すべての事前定義済みルールをデフォルトで有効化します。事前定義済みルールは、指定された [ログ範囲] 内でのみ脅威を検出します。事前定義済みルールの有効化状態は、[] ページで確認および調整できます。
カスタムルール
[ステップ 3] で ログ配信 を有効化した場合、ビジネスニーズに基づいてカスタムの脅威検知ルールを作成できます。手順については、「カスタムルールの作成」をご参照ください。
5. セキュリティアラートの生成
脅威または攻撃が有効化された事前定義済みルールまたはカスタムルールに一致すると、CTDR はセキュリティアラートを生成します。事前定義済みルールおよびカスタムルールによって生成されたアラートは、[] ページの [Aggregate and Analyze Alerts] タブおよび [Custom Alert Analysis] タブで確認できます。
6. セキュリティインシデントの生成と対応
セキュリティインシデントの生成方法
セキュリティインシデントは、事前定義済みまたはカスタムルールが複数の関連するセキュリティアラートを集約 することで生成され、迅速な識別および対応が可能になります。セキュリティインシデントは、ソースデバイスに基づいて次の 2 つのカテゴリに分類されます。
ネットワーク側:CTDR は、スキャンやプロービングなどの攻撃者の偵察活動を検出し、事前定義済みルールを使用してネットワーク側のアラートからインシデントを生成し、さらなる情報収集を防止します。
ホスト側:CTDR はグラフコンピューティングを使用して、MD5 ハッシュや親プロセス ID などの関係性を共有するホスト側のアラートを集約し、インシデントを生成して攻撃の侵入口を特定できるように支援します。
すべてのアラートがセキュリティインシデントを生成するわけではありません。インシデントの生成をトリガーするのは、以下の条件を満たすアラートのみです。
ホスト側のアラートは常にセキュリティインシデントを生成します。ネットワーク側のアラートは、事前定義済みまたはカスタムルール内のイベント集約ポリシーに一致する場合にのみセキュリティインシデントを生成します。
ホワイトリストルールを設定した場合、そのルールに一致するアラートはインシデントを生成しません。
事前定義済みルールのみを有効化している場合、[Graph Compute] または [Expert Rules] に一致するアラートのみがインシデントを生成します。
セキュリティインシデントの確認
[] ページで、対象インシデントの [操作] 列の [詳細] をクリックします。インシデントの詳細、タイムライン、セキュリティアラート、関連エンティティ、AI アシスタントの説明を確認し、インシデントの対応が必要かどうかを判断します。詳細については、「セキュリティインシデント」をご参照ください。
領域 | 説明 |
[Overview] セクション | 基本的なインシデント情報および MITRE ATT&CK フェーズを表示します。影響を受けた資産の数、インシデントの生成方法、関連アラートの数、検知ルール、連結アカウント、発生時刻、アラートソースを確認できます。 |
[Timeline] タブ | このセキュリティインシデントのアラートタイムラインおよびトレーサビリティグラフを表示します。[Full Screen] をクリックして、タイムラインおよびトレーサビリティグラフを全画面で表示できます。全画面モードでは、アラートアイコンをクリックしてその詳細を確認できます。場合によっては、トレーサビリティグラフに具体的な 攻撃の侵入口 が表示されることもあります。 |
[セキュリティアラート] タブ | このインシデントに集約されたセキュリティアラートの一覧を表示します。アラート数、防御措置、発生時刻などの多次元的なアラート統計を使用して、攻撃手法、段階、適切な対応策を把握できます。 |
Entity タブ | インシデントに関与するエンティティの一覧を表示します。サポートされるエンティティタイプには、ホスト、ファイル、プロセス、IP アドレス、ホストアカウントが含まれます。すべてのエンティティを確認することで、IP アドレスの基本情報、Alibaba Cloud 脅威インテリジェンス、過去 30 日間の関連インシデント、過去 30 日間の関連アラート、関連する対応タスクを確認できます。これにより、悪意のあるエンティティおよび影響を受けた資産を特定できます。 |
[Response Activity] タブ | このインシデントに対して実施された対応およびアクションの詳細な記録を表示します。 |
[Security AI Assistant] セクション | Security Center の大規模言語モデル (LLM) を活用した AI 搭載チャットインターフェイスです。セキュリティインシデントを要約し、関連する IP アドレスの脅威インテリジェンスおよび影響を受けた資産の詳細を提供します。 |
セキュリティインシデントの対応
Security Center は、推奨される対応ポリシー を使用した手動対応、または 自動対応オーケストレーション を使用した自動対応をサポートしています。
セキュリティインシデントを手動で対応:インシデントをレビューし、重大度およびコンテキストに基づいてセキュリティ対策を適用します。専門家の判断を必要とする高複雑度のインシデントや未知の脅威に対してこのアプローチを使用します。
セキュリティインシデントを自動で対応:事前設定されたプレイブックおよびルールを実行して、感染ホストの隔離や不審な IP アドレスのブロックなどの対応を実施します。既知かつ明確に定義されたインシデントや、迅速な対応を必要とする低複雑度の脅威に対してこのアプローチを使用します。
セキュリティインシデントの手動対応
悪意のあるエンティティを特定した場合、CTDR はワンクリックで推奨対応ポリシーを作成し、自動的に対応タスクを生成してプレイブックを実行します。複数の Alibaba Cloud セキュリティサービスと連携することで、CTDR は WAF を通じてハイリスクなインバウンド IP アドレスをブロックしたり、Security Center を通じてハイリスクなファイルを隔離したりできます。
以下の表に、推奨対応ポリシーでサポートされるエンティティおよび統合されたクラウドサービスモジュールを示します。
エンティティタイプ | 推奨対応プレイブック | 統合プロダクト | 統合サービスモジュール |
IP アドレス | 組み込みの Alibaba Cloud WAF を使用してハイリスクなインバウンド IP をブロック | Alibaba Cloud Web Application Firewall | |
組み込みの Alibaba Cloud Cloud Firewall を使用してハイリスクなアウトバウンド IP をブロック | Alibaba Cloud Cloud Firewall | ||
組み込みの Alibaba Cloud Cloud Firewall を使用してハイリスクなインバウンド IP をブロック | |||
ファイル | 組み込みの Alibaba Cloud Security Center を使用してハイリスクなファイルを隔離 | Alibaba Cloud Security Center | |
プロセス | 組み込みの Alibaba Cloud Security Center を使用してハイリスクなプロセスを終了 | ||
組み込みの Alibaba Cloud Security Center を使用して CMD 経由でハイリスクなプロセスを終了 | |||
組み込みの Alibaba Cloud Security Center を使用してハイリスクなプロセスを終了および隔離 | |||
MD5 ハッシュを使用して組み込みの Alibaba Cloud Security Center でハイリスクなプロセスを終了 | |||
コンテナ | 組み込みの Alibaba Cloud Security Center を使用してハイリスクなコンテナを停止 | ||
ホスト | 組み込みの Alibaba Cloud ECS セキュリティグループを使用してハイリスクなインバウンド IP をブロック | Alibaba Cloud Elastic Computing Service セキュリティグループ | |
組み込みの Alibaba Cloud ECS セキュリティグループを使用してホストからのすべてのアウトバウンドトラフィックをブロック | |||
ドメイン名 | 組み込みの Alibaba Cloud Security Center 悪意ある動作防御を使用して悪意のあるドメイン名をブロック | Alibaba Cloud Security Center |
操作手順
左側のナビゲーションウィンドウで、[] を選択します。コンソールの左上隅で、保護対象資産が配置されているリージョンを選択します: [Chinese Mainland] または [Outside Chinese Mainland]。
[セキュリティイベントの処理]ページで、対象のインシデントの[操作する]列にあるをクリックします。
[] パネルで、対応する悪意のあるエンティティを選択し、[Confirm and update the incident status.] をクリックします。
宛先アカウントや操作の持続時間などのパラメーターを変更するには、推奨される処理ポリシーの使用 パネル内の対象エンティティの 編集 をクリックし、[ポリシーの編集] パネルでこれらを更新します。
[Update Incident Status] ダイアログボックスで、[Event Status] を [Handling] または [処理済み] に設定し、[OK] をクリックします。
[Handling]:即時修正、トレーサビリティ、脆弱性パッチ適用などの追加のインシデント対応アクションが残っている場合に選択します。
[処理済み]:現在のアクション以外に必要なインシデント対応アクションがない場合に選択します。
このステップを完了すると、CTDR は自動的に対応ポリシーを作成および実行します。実行に失敗した場合は、インシデントステータスが [処理に失敗しました] に更新されます。それ以外の場合は、選択した値にステータスが更新されます。
インシデント詳細ページの [] タブで、CTDR が自動生成した推奨対応ポリシーを確認します。
セキュリティインシデントの自動対応
自動対応ルールは、アラートまたはインシデントによってトリガーされると、事前定義されたアクションを実行します。たとえば、マルウェア感染や侵入試行に応じて、悪意のあるファイルを隔離したり、ネットワーク接続を終了したりします。ルールを作成すると、システムは新しいセキュリティインシデントを設定されたポリシーと照合します。一致した場合、CTDR は事前定義されたプレイブックを実行して、脅威への対応を加速します。詳細については、「対応ルール」をご参照ください。
自動対応ルールの設定中にセキュリティ専門家によるプロフェッショナルなガイダンスが必要な場合は、Managed Security Service Enterprise Edition の購入をご検討ください。詳細については、「Managed Security Service」をご参照ください。
以下の例では、自動対応ルールを使用して、WAF ネットワーク攻撃アラートによって生成されたインシデントを処理し、WAF に IP ブロックルールをデプロイします。
前提条件
Alibaba Cloud WAF アラートログを CTDR に取り込んでいます。「Alibaba Cloud サービスログの取り込み」をご参照ください。
ビジネス関連のリクエストがブロックされないように、ホワイトリストを設定しています。「セキュリティインシデント」をご参照ください。
操作手順
左側のナビゲーションウィンドウで、[] を選択します。コンソールの左上隅で、保護対象資産が配置されているリージョンを選択します: [Chinese Mainland] または [Outside Chinese Mainland]。
[応答オーケストレーション] ページで、[自動応答ルール] タブをクリックします。次に、[Add Rule] をクリックします。
[自動応答ルールの作成] パネルで、下図のように対応ルールを設定します。その後、[OK] をクリックします。
[応答オーケストレーション] ページの [自動応答ルール] タブで、[有効化ステータス] 列のトグルスイッチを切り替えて、作成したルールを有効化します。
すでに WAF に取り込まれているドメイン名に対して攻撃が発生するのを待ちます。攻撃後、[セキュリティイベントの処理] ページで対応するインシデントを確認します。
[処理センター] タブで、インシデントが自動対応ルールに一致した後にプレイブックによってデプロイされた対応ポリシーおよびタスクを確認します。
自動対応ルールによって作成された対応ポリシー
自動対応ルールによって作成された対応タスク
Web Application Firewall コンソールで、CTDR が自動的に追加した IP ブロックルールを確認します。
以下の手順は、WAF 3.0 コンソールを例としています。
-
[Web Application Firewall 3.0 コンソール] にログインします。トップメニューバーから、WAF インスタンスのリソースグループおよびリージョン([中国本土] または [中国本土以外])を選択します。
-
左側のナビゲーションウィンドウで、[] を選択します。
[Web コア保護] ページで、[カスタムルール] セクションに移動します。CTDR が自動デプロイした IP ブロックルールを確認します。
-
参照
CTDR を使用して複数の Alibaba Cloud アカウント間でデータを管理するには、マルチアカウント管理機能を使用します。詳細については、「マルチアカウント管理」をご参照ください。
Alibaba Cloud、Tencent Cloud、Huawei Cloud のログに加えて、CTDR はサードパーティのセキュリティベンダーからのログもサポートしています。詳細については、「セキュリティベンダーログの取り込み」をご参照ください。