Security Center はサーバーのログインを監視し、承認済みの基準から外れたログインがあった場合に異常ログインアラートを生成します。サーバーに対して安全と見なされるロケーション、IP アドレス、時間範囲、アカウントを定義することで、誤検知を減らし、不正アクセスを検出します。
前提条件
開始する前に、以下をご確認ください。
セキュリティセンターコンソールセキュリティセンターコンソールにログインします。
ホスト保護ルールを設定するために必要な権限
承認済みログインポリシーの仕組み
Security Center は、設定されたディメンションに基づいてログインを評価します。設定されたディメンションの承認済み基準から外れた場合にのみ、ログインによって異常ログインアラートがトリガーされます。
ポリシーは特定のサーバーを対象とします。ポリシーの作成または編集時に、各ポリシーを適用するサーバーを指定します。
承認済みログインポリシーの設定
Security Center は、4 つのログインディメンションをサポートしています。
| ディメンション | 制御内容 |
|---|---|
| 承認済みログインロケーション | ログインが許可される地理的リージョン |
| 承認済みログイン IP アドレス | ログインが許可されるソース IP アドレスまたは範囲 |
| 承認済みログイン時間 | ログインが許可される時間範囲 |
| 承認済みログインアカウント | ログインが許可されるユーザーアカウント |
4 つのディメンションはすべて同じ設定手順に従います。以下の例では、[承認済みログインロケーション] を使用します。
「セキュリティセンター コンソール」にログインします。左上隅で、資産が配置されているリージョンを選択します:中国 または 中国以外。
左側のナビゲーションウィンドウで、[保護設定] > [ホスト保護] > [ホスト固有のルール管理] を選択します。
[一般的なログイン管理] タブをクリックします。
[承認済みログインロケーション] タブで、[ポリシーの作成] をクリックします。
[承認済みログインロケーション] パネルで、1 つ以上の承認済みロケーションを選択し、ポリシーを適用するサーバーを選択して、[OK] をクリックします。
[承認済みログイン IP アドレス]、[承認済みログイン時間]、[承認済みログインアカウント] の各タブでステップ 4〜5 を繰り返し、残りのディメンションを設定します。
ポリシーの編集または削除
編集: エントリを見つけ、[編集] をクリックして、ポリシーの対象となるサーバーを変更します。
削除: エントリを見つけ、[操作] 列の [削除] をクリックして、ポリシーを削除します。
承認済み IP アドレスへのメモの追加
「[承認済みログオン IP アドレス]」タブで、IP アドレスを見つけ、「[備考]」列の
アイコンをクリックして備考を追加します。
異常ログインアラートの表示
ログインが承認済みの基準から外れると、Security Center は [アラート] ページに異常ログインアラートを生成します。
これらのアラートを確認するには、次の手順を実行します。
[アラート] ページに移動します。
[CWPP] タブを選択します。
[アラートタイプ] を [異常ログイン] に設定します。
[操作] 列の [詳細] をクリックして、特定のアラートの脅威情報を表示します。
アラートの処理方法については、「アラートの表示と処理」をご参照ください。
