すべてのプロダクト
Search

このプロダクト

    Security Center:自動応答ルール

    ドキュメントセンター

    Security Center:自動応答ルール

    最終更新日:Jul 19, 2025

    自動応答ルールを使用すると、アラートまたはインシデントがトリガーされたときに、システムが事前定義された応答を実行できます。 これらのルールは、特定のセキュリティインシデントタイプ(マルウェア感染や侵入試行など)に基づいて、特定の応答アクション(マルウェアファイルの隔離やネットワーク接続の終了など)を実行できます。

    応答フロー

    自動応答ルールの種類

    • 事前定義済み: システムには、直接有効化できる組み込みの応答ポリシーが用意されています。 詳細ページで関連する構成を表示できます。 事前定義ルールは編集または削除できません。

    • カスタム: SOAR は柔軟なルール構成を提供します。 ニーズに合わせて応答ルールをカスタマイズできます。

    カスタム自動応答ルールを追加する

    自動応答ルールを追加した後、Security Center は指定したポリシーに基づいて新しいセキュリティインシデントを照合します。 一致が特定されると、事前定義されたルールが実行され、セキュリティ脅威に迅速に対応して軽減できます。

    1. Security Center コンソール にログインします。コンソールの左上隅で、保護するアセットが配置されているリージョンを選択します: 中国 または 全世界 (中国を除く)

    2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > 応答オーケストレーション を選択します。

    3. 自動応答ルール タブで、ルールを新しく追加する をクリックします。

      説明

      事前定義ルールまたはカスタムルールを選択し、Copy をクリックして、新しいカスタム応答ルールとしてコピーすることもできます。

    4. 自動応答ルールの作成 パネルで、以下の説明に基づいて自動応答ルールを構成し、[OK] をクリックします。

      基本情報

      • ルール名: ルールの内容と機能をすばやく理解して見つけるのに役立つルール名をカスタマイズします。

      • 実行方法: ルールの有効時間とトリガー方法。

        • アラートのトリガー: アラートフィーチャフィールドをルールポリシーフィールドと照合します。 一致が見つかった場合、アラートをトリガーしたエンティティ(IP アドレス、ファイル、またはプロセス)に対して自動応答が実行されます。

        • イベントのトリガー: インシデントフィーチャフィールドをルールポリシーフィールドと照合します。 一致が見つかった場合、インシデントをトリガーしたエンティティ(IP アドレス、ファイル、またはプロセス)に対して自動応答が実行されます。

      ルール設定

      ルールをトリガーする特定のフィールド値を設定します。 実行方法ごとに異なるフィーチャフィールドを構成する必要があります。 新規追加 をクリックして、複数のルールを追加できます。

      重要

      複数のルールを追加する場合、自動応答ルールで事前定義されているアクションは、すべてのルールが一致する場合にのみ実行できます。

      フィーチャフィールドの説明

      アラートトリガー

      アラートフィーチャ

      説明

      alert_desc

      アラートの説明

      alert_detail

      JSON 形式のアラートの詳細。 「fetch」関数を使用して、JSON 内のキーの値を抽出できます。

      alert_level

      アラートレベル

      alert_name

      アラート名

      alert_src_prod

      アラートのソース プロダクト

      alert_src_prod_module

      アラートのソース プロダクト モジュール

      alert_title

      アラートタイプとアラート名をハイフンでつなげたアラートタイトル

      alert_type

      アラートタイプ

      alert_uuid

      アラートのユニーク ID であるアラート UUID

      asset_list

      JSON 形式のアセットリスト

      att_ck

      ATT&CK 手法 ID

      attack_ip

      攻撃者 IP アドレス

      cloud_code

      クラウド サービスプロバイダー

      entity_list

      JSON 形式のエンティティリスト

      ioc_ip

      悪意のある IP アドレス

      is_defend

      アラートが防御されているかどうか

      is_white

      アラートがホワイトリストに登録されているかどうか

      log_code

      ログタイプまたはログ ソースコード

      occur_time

      発生時刻

      product_code

      プロダクト名

      インシデントトリガー

      インシデントフィーチャ

      説明

      incident_name

      インシデントの名前。

      incident_uuid

      インシデントの ID。

      説明

      この ID はシステムによって自動的に生成されます。 セキュリティイベントの処理 リストページで表示できます。

      threat_level

      インシデントのレベル。有効な値:

      • 情報

      • 致命的

      incident_type

      インシデントのタイプ。有効な値:

      • net-attack: エキスパートルール。

      • graph: グラフコンピューティング。

      • singleToSingle: パススルーアラート。

      • allToSingle: アラート 集約。

      status

      インシデントのステータス。有効な値:

      • 0: 未処理

      • 1: 処理中

      • 5: 処理 失敗

      • 10: 処理済み

      gmt_create

      インシデントが作成された時刻。

      att_ck

      ATT&CK 手法 ID。

      description

      インシデントの説明。

      条件フィールドの説明

      条件

      説明

      =

      以下に等しい。

      <>

      以下と等しくない。

      contains

      文字列が含まれています。

      not contains

      文字列が含まれていません。

      in

      条件値内。 複数の条件値はコンマで区切られます(例: condi1,condi2)。

      not in

      条件値外。 複数の条件値はコンマで区切られます(例: condi1,condi2)。

      is null

      空の文字列。 ""、null、および NULL はすべて空の文字列と見なされます。

      is not null

      空の文字列ではありません。

      regexp

      正規表現に一致します。

      not regexp

      正規表現に一致しません。

      not in ip dataset

      IP データセットに含まれていません。

      説明

      データセットは、脅威の分析と応答 > 脅威の分析と応答 > Integration Center > Observation List で構成してから選択する必要があります。

      in ip dataset

      IP データセットに含まれています。

      not in dataset

      データセットに含まれていません。

      in dataset

      データセットに含まれています。

      ルールアクション

      アラートまたはインシデントが自動応答ルールに一致すると、構成されたアクションがエンティティに対して実行されます。 [追加] をクリックして、複数のルールアクションを設定します。

      重要

      複数のアクションを追加する場合、構成したすべてのルールが一致したときに、アクションが同時に実行されます。

      実行方法が アラートのトリガー の場合、スクリプトの実行 のみがサポートされます。

      実行方法が イベントのトリガー の場合、次のアクションがサポートされます: スクリプトの実行イベントステータスの変更脅威レベルの変更、および Use Recommend Playbook

      • スクリプトの実行: ルールが一致すると、選択したプレイブックが自動的に実行されます。 これには、Custom PlaybookPredefined Playbook、および 公開 Custom Playbook が含まれます。

        説明

        • 自動応答ルールは、固定フォーマット 入力パラメーターを持つプレイブックにのみ関連付けることができます。 選択できるプレイブックは、開始ノードに次の出力パラメータータイプのいずれかを持っている必要があります: IP エンティティ、ファイル エンティティ、プロセス エンティティ、コンテナー エンティティ、ドメイン エンティティ、ホスト エンティティ、またはセキュリティアラート。

        • 同じエンティティの場合、同じプレイブックは 1 日に 1 回だけ実行されます。

        IP エンティティプレイブックの場合は、Playbook Parameters に入力する必要があります。 一般的なパラメーターは次のように説明されています。

        パラメーター

        説明

        悪意のある IP

        デフォルト値は Automatically Obtain で、変更できません。 CTDR はアラートまたはインシデントによって送信されたログデータに基づいて、処理される IP 情報を自動的に取得します。

        ターゲットアカウント

        プレイブックを実行する Alibaba Cloud アカウント。 アカウントは次の方法で取得できます。

        システムにより自動的に取得: システムは、CTDR に追加された Alibaba Cloud アカウントの 属性 説明を含むエンティティからこの情報を取得します。

        カスタム: これは、現在の Alibaba Cloud UID(プライマリアカウント)またはそのメンバーアカウントにすることができます。

        アクション期間

        IP プレイブック実行の有効期間。これはアクションによって異なります。

        • プレイブックに IP ブロックアクションが含まれていて、アクション期間が 7 日間に設定されている場合、IP アドレスは 7 日間ブロックされ、期間の 有効期限切れ 後に自動的にブロック解除されます。

        • プレイブックに IP ホワイトリスト登録アクションが含まれていて、アクション期間が 7 日間に設定されている場合、IP アドレスは 7 日間ホワイトリストに登録され、7 日後に自動的に解放されます。

        • プレイブックが監視モードで IP アドレスを処理するためのもので、アクション期間が 7 日間に設定されている場合、IP アドレスは 7 日間監視およびアラートされ、7 日後に監視が削除されます。

      • イベントステータスの変更: ルールが一致すると、インシデントのステータスは自動的に [処理済み] に変更されます。

      • 脅威レベルの変更: ルールが一致すると、インシデントのリスクレベルは自動的に高、中、または低に変更されます。

      • Use Recommend Playbook: システムは、アラートとエンティティ情報に基づいて事前定義プレイブックを推奨します。 Predefined Playbook タブですべての組み込みプレイブックを表示できます。 たとえば、WAF アラートから抽出された IP エンティティの場合、システムは WAF ブロック IP アドレスのプレイブックを推奨します。

    5. ルールは作成後、デフォルトで無効になっています。自動応答ルールを有効にするには、ルールリストページに移動し、[有効化ステータス] 列の Switch icon アイコンをクリックします。

    次のステップ

    自動応答ルールを有効にすると、インシデントまたはアラートがルールポリシーに一致した場合、システムは自動的にルールアクションを実行します。

    • 脅威の分析と応答 > 処理センター で処理の詳細を表示できます。

    • プレイブックが実行されると、実行レコードが生成されます。 プレイブックの詳細ページで履歴レコードを表示できます。

    参照

    詳細については、「プレイブック構成ガイド」をご参照ください。