クラウド時代において、複雑な IT 環境、断片化されたデータ、遅いセキュリティ対応時間、複雑な攻撃の検出の難しさ、コンプライアンス要件など、セキュリティ運用は複雑化しています。企業は包括的な脅威検出および対応システムを必要としており、複数のクラウド環境、アカウント、サービスからのアラートとログデータを一元化することで、攻撃に迅速に対応できます。セキュリティセンターのクラウド脅威検出および対応(CTDR)機能は、ログの標準化、アラート生成、集約分析、イベントのオーケストレーションと対応などの機能を備えたクラウドネイティブのセキュリティ情報およびイベント管理ソリューションを提供します。
CTDR のしくみ
CTDR は、複数プロバイダーのさまざまなアカウントおよびクラウドサービスからログを収集します。定義済みおよびカスタムの検出ルールを使用してこれらのログを分析し、攻撃を特定し、完全な攻撃チェーンを復元し、詳細なセキュリティイベントを生成します。脅威が検出されると、セキュリティオーケストレーション自動応答(SOAR)をアクティブ化して Alibaba Cloud サービスと連携し、ブロックや隔離などのアクションを実行してセキュリティイベント処理効率を高めます。
はじめに
1. CTDR の購入と有効化
CTDR は、サブスクリプションと従量課金の課金方法をサポートしています。このトピックでは、サブスクリプションの課金方法を例として、機能を購入して有効化する具体的な手順を紹介します。詳細については、「課金概要」をご参照ください。
セキュリティセンターコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
脅威の分析と応答 ページで、Subscription をクリックします。
購入ページで、以下の手順に従って購入パラメータを構成します。
以下は、設定する必要がある購入パラメータです。必要に応じて、他の購入パラメータを設定することもできます。詳細については、「セキュリティセンターの購入」をご参照ください。
課金方法: [サブスクリプション]
エディション: [value-added Plan]
CTDR:
購入するかどうか: [はい] を選択します。
追加するログデータ: [100 GB/日] に設定します。
ログストレージ容量: [1000 GB] に設定します。
サービスリンクロール: [サービスリンクロールの作成] をクリックします。
収集ポリシー: [CTDR 機能の推奨ログ収集ポリシーを有効にした後、実際のリソース使用量に基づいて課金されます。] を選択します。
2. クラウドサービスを追加する
推奨ログアクセス ポリシーを使用すると、CTDR は現在の Alibaba Cloud アカウントのセキュリティセンター、Web Application Firewall、Cloud Firewall、および ActionTrail からログを自動的に追加するため、手動で構成する必要はありません。次の表に、データソースとサポートされているセキュリティ機能を示します。
ActionTrail イベントログへの自動アクセスは、セキュリティセンターの Anti-virus、Advanced、Enterprise、または Ultimate エディションでのみ提供されます。セキュリティセンターの有料バージョンがない場合、システムは ActionTrail イベントログを自動的に追加しません。
推奨ログアクセス ポリシーを有効にしていない場合、またはサードパーティのクラウドサービスログを追加する必要がある場合は、「クラウドサービスのログを追加する」をご参照ください。
番号 | Alibaba Cloud サービス | データソース | 標準化されたログカテゴリ | サポートされているセキュリティ機能 |
1 | セキュリティセンター | アラートログ | セキュリティログ - アラートログ |
|
2 | 脆弱性ログ | セキュリティログ - 脆弱性ログ | イベントの調査と追跡 | |
3 | ベースラインログ | セキュリティログ - ホストベースラインログ | イベントの調査と追跡 | |
4 | ログインログ | ログインログ - ホストログインログ | イベントの調査と追跡 | |
5 | Web アクセスログ | ネットワークログ - HTTP ログ | 定義済み分析ルール | |
6 | ファイルの読み取りおよび書き込みログ | ホストログ - プロセスファイルの読み取りおよび書き込みログ | イベントの調査と追跡 | |
7 | プロセス起動ログ | ホストログ - プロセス起動ログ |
| |
8 | DNS クエリログ | ホストログ - プロセス DNS クエリログ |
| |
9 | ネットワーク接続ログ | ホストログ - プロセスネットワーク接続ログ |
| |
10 | Web Application Firewall | WAF アラートログ | セキュリティログ - WAF アラートログ |
|
11 | WAF 2.0 の完全/ブロック/ブロックおよびモニターログ | ネットワークログ - HTTP ログ | 定義済み分析ルール | |
12 | WAF 3.0 の完全/ブロック/ブロックおよびモニターログ | ネットワークログ - HTTP ログ | 定義済み分析ルール | |
13 | Cloud Firewall | Cloud Firewall のリアルタイムアラートログ | セキュリティログ - ファイアウォールアラートログ |
|
14 | ActionTrail | ActionTrail イベントログ | 監査ログ - クラウドプラットフォーム操作監査ログ | イベントの調査と追跡 |
3. ログ配信を有効にする(オプション)
CTDR に追加されたすべてのログは、ログ管理機能を使用して保存できます。ログ分析、追跡、またはコンプライアンスのニーズに合わせて、次の手順に従ってログ配信を有効にします。ログ配信を有効にした後でのみ、CTDR の ログ管理、ルール管理(カスタムルール)、およびダッシュボード機能にアクセスできます。ルール管理(カスタムルール)とダッシュボード
左側のナビゲーションウィンドウで、 を選択します。
プロダクトアクセス ページで、右上隅にある ログ設定 アイコンをクリックします。
[ログ配信管理] 領域で、配信するログタイプの [ホットデータへのログ配信/有効と無効] 列のスイッチをアクティブにします。
複数のログタイプを選択し、[ログの一括配信] をクリックできます。
[ログ管理] ページで、目的のログタイプの横にあるスイッチをアクティブにして、配信を有効にします。
4. 脅威検出ルールを管理する
CTDR には、組み込みの定義済み検出ルールとカスタム検出ルールがあり、追加されたログを徹底的に分析し、潜在的な攻撃チェーンとタイムラインを特定し、包括的なセキュリティイベントレポートを作成します。
定義済みルール
CTDR は、デフォルトですべての定義済みルールをアクティブにします。これらのルールは、指定された [ログスコープ] 内の脅威のみを検出するように設計されています。 ページで、定義済みルールの有効化ステータスを表示および変更できます。
カスタムルール
3. ログ配信を有効にする(オプション) に従ってログ配信を有効にしている場合は、ニーズに応じて 脅威検出ルールをカスタマイズ できます。
5. セキュリティアラートを生成する
攻撃が有効な定義済みルールまたはカスタムルールと一致すると、対応するセキュリティアラートが生成されます。これらのアラートは、 ページの [アラートの集約と分析] タブと [カスタムアラート分析] タブで表示できます。
6. セキュリティイベントを生成および処理する
セキュリティイベントの生成方法
セキュリティイベントは、定義済みまたはカスタムルールによって複数の関連するセキュリティアラートを集約することで作成され、脅威の迅速な特定と対応を可能にします。これらのイベントは、アラートのソースに基づいて次の 2 つのカテゴリに分類されます。
ネットワーク: CTDR はハッカーの検出(スキャンや偵察など)に焦点を当て、定義済みルールによってネットワーク側のアラートからイベントを生成し、攻撃者がユーザー情報をさらにプローブするのを防ぎます。
ホスト: CTDR はグラフコンピューティング技術を使用して、関連付け(MD5 ハッシュや親プロセス ID の一致など)を持つホスト側のアラートを集約し、ユーザーが攻撃のエントリポイントを迅速に見つけて対応できるようにします。
すべてのアラートがセキュリティイベントを生成するわけではありません。次の条件を満たすものだけが生成されます。
ホスト側のアラート: すべてのホスト側のアラートはセキュリティイベントを生成します。
ネットワーク側のアラート: ネットワーク側のアラートは、定義済みまたはカスタムルールで定義されたイベント集約戦略と一致する場合にのみイベントを生成します。
ホワイトリスタルール: イベントホワイトリスタルールが適用されている場合、このルールと一致するアラートはイベントを生成しません。
定義済みルール: 定義済みルールのみが有効になっている場合、アラートは、それらの定義済み設定内の [グラフコンピューティング] または [エキスパートルール] をトリガーした場合にのみイベントを生成します。
セキュリティイベントを表示する
ページで、対象のイベントの [アクション] 列の [詳細] をクリックすると、イベントタイムライン、セキュリティアラート、関連付けられたエンティティ、インテリジェントアシスタントからの説明などの詳細を表示できます。これにより、イベントを処理する必要があるかどうかを判断できます。
セクション | 説明 |
Overview | このセクションでは、イベントと ATT&CK フェーズに関する基本情報を提供します。影響を受けたアセットの数、生成方法、関連アラートの数、検出ルール、関連アカウント、発生時刻、アラートソースなどの情報をこのエリアで確認できます。 |
Timeline | このタブでは、セキュリティイベントのアラート攻撃タイムラインとトレースグラフを表示します。Full Screen をクリックして、攻撃タイムラインとトレースグラフを全画面表示し、アラートアイコンをクリックして詳細を確認します。場合によっては、トレースグラフで特定の攻撃エントリポイントを確認できます。 |
セキュリティアラート | このタブでは、イベントに集約されたセキュリティアラートのリストを表示します。多次元アラート統計(アラートの数、防御策、発生時刻を含む)を通じて、攻撃方法、攻撃の段階、および適切な処理策を判断するための洞察を収集します。 |
Entity | このタブでは、イベントに関連するエンティティ(ホスト、ファイル、プロセス、IP アドレス、ホストアカウントなど)を表示します。この情報は、IP の基本情報、Alibaba Cloud の脅威インテリジェンス、過去 30 日間に関連付けられたイベント、過去 30 日間に関連付けられたアラート、および関連付けられた処理タスクを理解するのに役立ち、悪意のあるエンティティと影響を受けたアセットを特定できます。 |
Response Activity | このタブでは、イベントの対応と処理の詳細なレコードを表示します。 |
Intelligent Assistant | セキュリティセンター AI を通じて対話機能を提供し、イベントの概要、関連 IP の脅威インテリジェンス、および影響を受けたアセットの詳細を提供します。 |
セキュリティイベントを処理する
セキュリティセンターは、推奨される戦略を使用して手動で、またはセキュリティオーケストレーション自動応答(SOAR)によって自動的に、セキュリティイベントを処理することをサポートしています。
手動: セキュリティイベントの重大度とビジネスシナリオに基づいてセキュリティイベントを確認および管理します。このアプローチは、複雑なインシデントや、専門知識を必要とする新しい未知の脅威に最適です。
自動: システムは、構成済みのプレイブックとルールを使用してセキュリティイベントを自動的に管理します(感染したホストの隔離や疑わしい IP アドレスのブロックなど)。この方法は、既知の明確に定義されたセキュリティイベントや、大量の類似した低リスクアラートなど、迅速な解決を必要とする複雑度の低い脅威に効果的です。
手動
特定された悪意のあるエンティティに対して、CTDR は検出ソースまたはエンティティの防御可能なデバイスに基づいて推奨される処理戦略をワンクリックで作成できます。この機能は、タスクを自動的に生成し、処理プレイブックを実行することで、Alibaba Cloud セキュリティサービスによるセキュリティイベントの迅速な解決を促進します。たとえば、Alibaba Cloud WAF を使用してリスクの高い受信 IP をブロックしたり、Alibaba Cloud セキュリティセンターを使用してリスクの高いファイルを隔離したりできます。
次の表に、これらの戦略で対処されるエンティティと、関連するクラウドサービスモジュールを示します。
エンティティ | 推奨される処理プレイブック | 関連サービス | 関連サービスモジュール |
IP アドレス | 組み込みの Alibaba Cloud WAF を使用して、受信するリスクの高い IP をブロックする | Alibaba Cloud Web Application Firewall | |
組み込みの Alibaba Cloud Firewall を使用して、送信されるリスクの高い IP をブロックする | Alibaba Cloud Cloud Firewall | ||
組み込みの Alibaba Cloud Firewall を使用して、受信するリスクの高い IP をブロックする | |||
ファイル | 組み込みの Alibaba Cloud セキュリティセンターを使用して、リスクの高いファイルを隔離する | Alibaba Cloud セキュリティセンター | |
プロセス | 組み込みの Alibaba Cloud セキュリティセンターを使用して、リスクの高いプロセスを終了する | ||
組み込みの Alibaba Cloud セキュリティセンターを使用して、コマンドプロンプト(CMD)を介してリスクの高いプロセスを終了する | |||
組み込みの Alibaba Cloud セキュリティセンターを使用して、リスクの高いプロセスを終了および隔離する | |||
組み込みの Alibaba Cloud セキュリティセンターを使用して、MD5 を介してリスクの高いプロセスを終了する | |||
コンテナー | 組み込みの Alibaba Cloud セキュリティセンターを使用して、リスクの高いコンテナーを停止する | ||
ホスト | 組み込みの Alibaba Cloud セキュリティグループを使用して、受信するリスクの高い IP をブロックする | Alibaba Cloud ECS セキュリティグループ | |
組み込みの Alibaba Cloud セキュリティグループを使用して、ホストからのすべての送信トラフィックを禁止する | |||
ドメイン名 | 組み込みの Alibaba Cloud セキュリティセンターを使用して、悪意のある動作防御によって悪意のあるドメイン名をブロックする | Alibaba Cloud セキュリティセンター |
手順
左側のナビゲーションウィンドウで、 を選択します。
セキュリティイベントの処理 ページで、対象のイベントの 操作する 列で、Response [推奨処理ポリシーを使用] をクリックします。
パネルで、処理する悪意のあるエンティティを選択し、Confirm and update the event status. をクリックします。
推奨される戦略のエンティティとアクションの有効期間を変更できます。推奨される処理ポリシーの使用 パネルで、対応するエンティティのアクション列の [編集] をクリックします。[ポリシーの編集] パネルで、ブロックルールの宛先アカウントやアクションの有効期間などのパラメータを変更します。
[イベントステータスの更新] ダイアログボックスで、[イベントステータス] を [処理中] または [処理済み] に設定し、[OK] をクリックします。
[処理中]: 即時修正、追跡、脆弱性の修復など、イベント処理に関連する追加のアクションが実行されます。
[処理済み]: これ以上のアクションは必要ありません。
この手順を完了すると、CTDR は自動的に処理戦略を生成し、対応するタスクを実行します。タスクが失敗した場合、イベントステータスは [失敗] に更新されます。成功した場合、イベントステータスは指定したステータスを反映します。
イベント詳細内の タブで、CTDR によって自動的に生成された推奨処理戦略を表示できます。
自動
自動応答ルールは、アラートまたはイベントがトリガーされたときに定義済みのアクションを実行します。これらのルールは、悪意のあるファイルの隔離やネットワーク接続の切断などの適切なアクションを実行することで、マルウェア感染や侵入試行などの特定のセキュリティイベントに対処します。
これらのルールを追加すると、システムは新しいセキュリティイベントを定義された戦略に自動的に一致させます。一致が成功すると、CTDR はプリセットプレイブックをすぐに実行するように促され、脅威への対応と軽減が加速されます。
詳細については、「SOAR を使用する」をご参照ください。
自動応答ルールの構成に関する専門家のガイダンスについては、Managed Security Service Enterprise Edition の購入をご検討ください。詳細については、「Managed Security Service とは」をご参照ください。
以下の手順では、WAF によって検出されたネットワーク攻撃アラートを例として、IP ブロックのアクションを含む、自動イベント応答の完全なプロセスについて説明します。
前提条件
CTDR に Alibaba Cloud WAF アラートログが追加されています。クラウドサービスログを追加する方法の詳細については、「Alibaba Cloud サービスのログを追加する」をご参照ください。
ビジネス関連のリクエストがホワイトリストに登録されていることを確認して、インターセプトを防ぎます。詳細については、「アラートをホワイトリストに登録する」をご参照ください。
手順
左側のナビゲーションウィンドウで、 を選択します。
応答オーケストレーション ページの [自動応答ルール] タブで、[ルールの作成] をクリックします。
[自動応答ルールの作成] パネルで、以下の図のように応答ルールを設定し、[OK] をクリックします。
応答オーケストレーション ページの [自動応答ルール] タブで、[有効化ステータス] 列のスイッチを切り替えてルールをアクティブにします。
WAF で保護されているドメイン名で攻撃イベントが発生するまで待ちます。[セキュリティイベント処理] ページで対応するイベントを表示します。
[廃棄センター] タブには、イベントが自動応答ルールをトリガーしてプレイブックを開始すると、攻撃中の IP に割り当てられたポリシーとタスクが表示されます。
自動応答ルールによって作成された処理ポリシー
自動応答ルールによって作成された処理タスク
WAF コンソールで、CTDR が自動的に追加する攻撃 IP ブロックルールを確認します。
以下は、WAF 3.0 コンソールのステップです。
WAF 3.0 コンソール にログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
Web コア保護 ページの [カスタムルール] 領域で、CTDR が自動的に発行する攻撃 IP ブロックルールを表示できます。
参考資料
CTDR の 複数アカウント管理機能 を使用して、複数の Alibaba Cloud アカウントのデータを管理します。
CTDR は、Alibaba Cloud、Tencent Cloud、Huawei Cloud からのログをサポートし、複数のセキュリティサービスからのログとの統合 を可能にします。