セキュリティアラートが発生した際、手動でのトリアージに費やす時間が増えるほど、リスクにさらされる時間も長くなります。Agentic SOC の自動応答ルールはそのギャップを埋めます。各ルールはトリガー条件と 1 つ以上のアクションを定義し、システムは一致するアラートやイベントが到着した瞬間に、手動の介入なしでそれらのアクションを実行します。これにより、平均応答時間 (MTTR) が短縮され、セキュリティチームは日常的なトリアージではなく、複雑な脅威分析に集中できるようになります。
一般的なユースケース:
WAF アラートが生成された瞬間に悪意のある IP アドレスをブロックし、攻撃がエスカレートするのを防ぎます。
複数のアラートが集約されて深刻度の高いセキュリティイベントになった場合、自動的にオーナーを割り当て、リスクレベルを引き上げます。
既知の安全な IP を自動的にホワイトリストに追加することで、繰り返し発生するアラート通知を抑制します。
仕組み
受信するすべてのアラートまたはイベントは、4 段階のパイプラインを通過します。
データ入力 — Security Center は、WAF や AEGIS などのクラウド製品からアラートを取り込み、関連するアラートをセキュリティイベントに集約します。
ルールマッチング — 応答エンジンは、設定された [トリガー] と [フィルター条件] に基づいて、有効化されているすべてのルールを評価します。
アクションの実行 — ルールが一致すると、システムは [サイレンスルール] ポリシーに従い、設定されたすべてのアクションを順次実行します。
結果のロギング — すべての自動化されたアクションは、監査と追跡のために [レスポンスセンター] に記録されます。
基本概念
| 概念 | 説明 |
|---|---|
| エンティティ | 応答アクションのターゲット。エンティティは、アラートやイベントから抽出された主要情報です。IP アドレス、ファイルの MD5 ハッシュ、またはプロセス名などが該当します。 |
| プレイブック | 事前定義された自動化ワークフロー。ルールが一致すると、システムはプレイブックを実行して、エンティティに対して複雑な応答操作を実行します。 |
| 事前定義ルール | システムによって提供される組み込みの応答ポリシー。製品ページから直接有効にできます。その構成は表示できますが、編集や削除はできません。 |
| カスタムルール | ビジネスニーズに合わせて作成するルールで、柔軟なトリガーとアクションの設定が可能です。 |
自動応答ルールの作成
ルールを作成して有効にすると、Agentic SOC は新しいセキュリティイベントに対してそのルールを照合します。一致が発生すると、システムは設定されたアクションを自動的に実行します。
前提条件
開始する前に、以下を確認してください。
Agentic SOC を設定する権限を持つ Security Center コンソールへのアクセス
ルールで [プレイブックの実行] を使用する場合は、公開済みのプレイブック (事前定義またはカスタム)
ステップ 1:レスポンスオーケストレーションを開く
Security Center コンソール - Agentic SOC - レスポンスオーケストレーション に移動します。左上隅で、アセットが配置されているリージョン ([中国本土] または [中国本土以外]) を選択します。
ステップ 2:ルールの作成を開始する
[自動応答ルール] タブで、[ルール作成] をクリックします。
ルールをすばやく作成するには、既存の事前定義ルールまたはカスタムルールを選択し、[アクション] 列の [コピー] をクリックします。
ステップ 3:基本情報の設定
ルール名 — シナリオ、オブジェクト、アクションを反映した名前を使用します。例:MiningProgram_Process_AutoTerminate。
トリガー — ルールをいつ実行させたいかに基づいてトリガーメソッドを選択します。
| トリガーメソッド | 実行タイミング | サポートされるアクション |
|---|---|---|
| アラートトリガー | 単一のアラートが生成された直後 | [プレイブックの実行] と [アラートをホワイトリストに追加] のみ |
| イベント発生 | 複数のアラートが集約されてセキュリティイベントになった初回 | すべてのイベントレベルのアクションとプレイブックの実行 |
| イベント更新 | 新しいアラートが既存のイベントに関連付けられ、その発生時刻が更新されたとき | すべてのイベントレベルのアクションとプレイブックの実行 |
ステップ 4:フィルター条件の設定
フィルター条件は、ルールが実行されるために一致する必要があるフィールド値を定義します。利用可能なフィールドは、選択した Trigger によって異なります。[条件の追加] または [グループの追加] をクリックして、ロジックを作成します。
条件ロジック:
グループ内 — [AND] または [OR] ロジックで複数の条件を設定します。
グループ間 — [AND] または [OR] ロジックで複数の条件グループを設定します。
たとえば、group1 AND group2 OR group3 という関係を持つ 3 つのグループがある場合:
group1は内部で AND ロジックを使用します。group2は内部で OR ロジックを使用します。group3は内部で AND ロジックを使用します。
サポートされる条件:
| 条件 | 説明 |
|---|---|
= | 等しい |
<> | 等しくない |
contains | 文字列を含む |
not contains | 文字列を含まない |
in | 値のリストのいずれかに一致します。 複数の値はカンマで区切ります。例: condi1,condi2 |
not in | 値のリストのいずれにも一致しません。 複数の値はカンマで区切ります。例: condi1,condi2 |
is null | 空文字列です。 ""、null、NULL はすべて空文字列として扱われます。 |
is not null | 空文字列ではありません。 |
regexp | 正規表現に一致します。 |
not regexp | 正規表現に一致しません。 |
in ip dataset | IP データセットに含まれます。 |
not in ip dataset | IP データセットに含まれません。 データセットを選択する前に、[Agentic SOC] > [Agentic SOC] > [インテグレーションセンター] > [監視リスト] でデータセットを設定してください。 |
in dataset | データセットに含まれます。 |
not in dataset | データセットに含まれません。 |
ステップ 5:ルールアクションの設定
「[ルール操作]」エリアで、[追加] をクリックして、1 つ以上の操作を設定します。ルールが実行されたとき、Agentic SOC はすべての操作を順次実行し、一致したエンティティに対して適用します。
複数のルールアクションを追加した場合、ルールが実行されるたびにすべてのアクションが順次実行されます。
トリガーごとのアクションの可用性:
| アクション | アラートトリガー | イベント発生 / イベント更新 |
|---|---|---|
| プレイブックの実行 | はい | はい |
| アラートをホワイトリストに追加 | はい | いいえ |
| インシデントステータスの変更 | いいえ | はい |
| リスクレベルの変更 | いいえ | はい |
| 推奨プレイブックの使用 | いいえ | はい |
| オーナーの変更 | いいえ | はい |
| イベントタグの追加 | いいえ | はい |
| イベントタグの削除 | いいえ | はい |
アクションの詳細:
プレイブックの実行 — ルールが実行されると、選択したプレイブックを自動的に実行します。
[事前定義プレイブック] と公開済みの [カスタムプレイブック] をサポートします。
[開始] ノードが特定の出力パラメータータイプで設定されているプレイブックのみがルールにリンクできます。サポートされるエンティティタイプ:IP エンティティ、ファイルエンティティ、プロセスエンティティ、コンテナエンティティ、ドメイン名エンティティ、ホストエンティティ、およびセキュリティアラート。
パラメーター 説明 エンティティ (悪意のある IP や悪意のあるプロセスなど) デフォルトは [自動取得] であり、変更できません。Agentic SOC は、受信したアラートまたはイベントのログからエンティティ情報を取得します。 宛先アカウント プレイブックを実行する Alibaba Cloud アカウントです。[システムの自動取得] を選択すると、エンティティオブジェクトで識別されたアカウントが使用されます。あるいは、[カスタム] を選択して、現在の Alibaba Cloud UID (ルートアカウント) またはマルチアカウントセキュリティ管理下のメンバーアカウントを指定することもできます。 効果 IP プレイブックアクションの有効期間。たとえば、プレイブックが IP を 7 日間ブロックする場合、7 日後に IP は自動的にブロック解除されます。IP を 7 日間ホワイトリストに追加する場合、7 日後に IP は自動的にリリースされます。IP を 7 日間モニタリングする場合、7 日後にモニタリングは停止します。 アラートをホワイトリストに追加 — 一致するアラートの以降の通知を抑制します。
クラウドワークロード保護プラットフォーム (CWPP) アラートの場合、ステータスは自動的に [自動的にホワイトリストに追加] に更新されます。
Agentic SOC アラートの場合、[ホワイトリストに追加] フィールドは [はい] に更新されます。
このホワイトリストルールに一致するアラートは、イベントに関連付けられなくなります。
推奨プレイブックの使用 — システムは、アラートおよびエンティティ情報に基づいて事前定義プレイブックを推奨します。たとえば、WAF アラートから抽出された IP エンティティの場合、システムは WAF での IP アドレスのブロック用プレイブックを推奨します。組み込みプレイブックをすべて表示するには、[事前定義プレイブック] タブをご覧ください。
インシデントステータスの変更 — ルールが実行されると、イベントのステータスを自動的に調整します。
リスクレベルの変更 — ルールが実行されると、イベントのリスクレベルを自動的に調整します。
所有者の変更 — イベントに所有者を自動的に割り当てます。この割り当ては、イベント詳細ページの [レスポンスアクティビティ] タブの [アクティビティログ] に記録されます。
イベントタグの追加 / イベントタグの削除 — イベントから指定されたタグを自動的に追加または削除することで、分類やフィルターが容易になります。
ルールの実行順序とサイレンスルール:
順序 — 同じイベントに対して複数のルールが実行される場合、アクションは [順序] で定義されたシーケンスで実行されます。システムはすべてのルールアクションを順次実行し、最後のアクションが以前のアクションの結果を上書きします。
サイレンスルール — 同じエンティティに対して、同じプレイブックは 1 分間に最大 1 回しか実行されません。
ステップ 6:ルールの有効化
ルールは、作成後にデフォルトで無効になります。ルール一覧ページで、[有効化ステータス] 列の 
アイコンをクリックして有効化します。
処理記録の表示
ルールを有効にした後、次のいずれかの場所でその実行結果を確認できます。
廃棄センター — Agentic SOC > [廃棄センター] に移動して、処理の詳細を表示します。
プレイブックの詳細 — プレイブックの詳細ページを開いて、履歴実行記録を表示します。
プレイブック実行記録 — Agentic SOC > SOAR > プレイブック実行記録 に移動して、すべてのプレイブック実行を表示します。
本番環境への適用
高リスクアクションを使用する前にテストしてください。 IP アドレスのブロックやファイルの削除を行うルールを有効にする前に、低リスクのアクションを使用してトリガーロジックを検証してください。高リスクのアクションに切り替える前に、ルールが期待されるイベントで実行されることを確認してください。
競合を避けるためにルールの順序を計画してください。 複数のルールが同じイベントに作用する場合、システムはアクションを順次実行し、最後のアクションが以前のアクションを上書きします。同じイベントフィールドを変更するルールがある場合は、常にルールの順序を確認してください。
正規表現は慎重に使用してください。 [フィルター条件] で、非効率な regexp パターンは、大規模な環境でのルールマッチングのパフォーマンスに影響を与える可能性があります。
よくある質問
ルールが実行されなかったのはなぜですか?
次の 4 つの項目を順番に確認してください。
ルールステータス — ルールリストページでルールが有効になっていることを確認します。
フィルター条件 — 条件を緩和するか、一時的にアクションを [イベントタグの追加] のような無害なものに置き換えて、ルールが一致するかどうかを確認してみてください。
フィールド値 — アラートまたはイベントの実際のフィールド値が、フィルター条件で設定したものと完全に一致していることを確認します。スペースや大文字と小文字の違いに注意してください。
サイレンスルール — 同じエンティティとプレイブックに対して最近ルールが実行された場合、サイレンスルールによって抑制されている可能性があります。同じプレイブックは、エンティティごとに 1 分間に最大 1 回しか実行されません。
プレイブックの実行に失敗しました。トラブルシューティングの方法は?
まず、実行ログから始めます。「[レスポンスセンター]」またはプレイブックの「[過去の実行記録]」ページに移動して、エラーの詳細を確認します。次に、以下を確認してください:
アカウント権限 — 宛先アカウント (またはその RAM ロール) が、VPC セキュリティグループルールの作成やファイルの隔離など、プレイブックの操作に必要な権限を持っていることを確認します。
エンティティパラメーター — トリガーとなったアラートからのエンティティ情報が完全であり、プレイブックに有効なパラメーターとして渡せることを確認します。