アラートのスキャン範囲とアラート処理ルールの設定方法 - Security Center

アラート設定機能を使用すると、アセット上の Web ディレクトリを管理し、アラートのホワイトリストルールを設定できます。これにより、より詳細な脅威保護ルールを作成し、それらを一元的に管理できます。これにより、アセット上のセキュリティ脅威を迅速に検出し、そのセキュリティステータスをリアルタイムで監視できます。このトピックでは、カスタム Web ディレクトリとアラート処理ルールの設定方法について説明します。

アラート生成ルールの設定

一部のアラートは、システム機能の設定に依存します。これらの機能のルールは、それぞれのページで管理できます。

ホスト保護: 悪意のある動作防御、承認済みログイン管理、ウイルス対策などの機能は、Precise Defense、Unusual Logon、Account Errors、Malicious Software などのタイプのアラートを生成します。
コンテナ保護: コンテナーのプロアクティブ防御やコンテナーファイル保護などの機能は、Container Escape Prevention、コンテナのプロアクティブディフェンス、[コンテナークラスターの異常] などのタイプのアラートを生成します。
機能の設定: ホスト保護設定やコンテナー保護設定などの機能は、Precise Defense、Webshell、Container Escape Prevention、[コンテナークラスターの異常]、Suspicious Process Behavior などのタイプのアラートを生成します。

カスタム Web ディレクトリの管理

Security Center は、サーバー上の Web ディレクトリを自動的に検出し、動的検出と静的スキャンを実行します。この機能は、サーバー上の標準的な Web ディレクトリを自動的に検出して監視するだけでなく、カスタム Web ディレクトリを手動で追加して、包括的なセキュリティスキャンおよび保護システムに含めることもできます。

ハッカーが既知の Webshell を使用して異常な接続を試みると、Security Center は積極的に接続をブロックし、アラートを生成します。アラートは、[アラート] ページのアラートリストに表示されます。

メリット

セキュリティの死角を排除: Web アプリケーション、Web サイトのソースコード、またはプロジェクトファイルは、/data/wwwroot/my_project や /opt/app などの非標準のカスタムパスにデプロイされる場合があります。これらのパスは、通常の自動スキャンで見逃される可能性があり、セキュリティの死角を生み出します。カスタムディレクトリを手動で追加することで、デプロイ場所に関係なく、すべての Web アセットを Security Center の監視下に置くことができます。
検出精度の向上: 実際の Web ディレクトリにスキャンを集中させることで、Web 以外のファイルの不要なスキャンを削減します。これにより、検出効率と精度が向上します。
ビジネスアーキテクチャへの柔軟な適応: この機能は、カスタムサーバーのデプロイと運用保守 (O&M) の実践を完全にサポートします。これにより、セキュリティポリシーがビジネスアーキテクチャと緊密に連携することが保証されます。

注意

ルートディレクトリを追加しない: サーバーのパフォーマンスとスキャン効率を確保するため、Linux の / や Windows の C:\ などのサーバーのルートディレクトリを Web ディレクトリとして追加しないでください。
説明
パフォーマンスと効率を確保するため、ルートディレクトリを Web ディレクトリとして追加することはできません。
特定の Web パスを追加する: Web アプリケーションが保存されている特定のパスのみを追加してください。無関係なディレクトリを追加すると、誤検知や不要なパフォーマンスオーバーヘッドが発生する可能性があります。

手順

Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョン (中国または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、レスポンス検出 > アラートを選択します。
説明
クラウド脅威検知と対応 (CTDR) を有効化している場合、左側のナビゲーションウィンドウのパスは 脅威の分析と応答 > セキュリティアラート に変わります。
[アラート] ページで、右上隅にある Cloud Workload Alert Management > セキュリティアラートの設定 をクリックします。
セキュリティアラートの設定 パネルで、Web ディレクトリ定義 セクションの [管理] をクリックします。
Web ディレクトリ定義 パネルで、パスとサーバー情報を設定します。
- 監視したい Web ディレクトリの絶対パス (/home/www/my_app など) を入力します。
- パスが有効になるサーバーを選択します。
[OK] をクリックしてディレクトリを追加します。

アラート処理ルールの管理

アラート処理ルール管理機能は、一元的な管理インターフェイスを提供します。セキュリティアラートを処理して「Add to Whitelist」または「Defense Without Notification」を選択すると、システムは自動的に処理ルールを生成します。この機能を使用して、これらのルールを一元的に表示、編集、削除し、セキュリティポリシーが効果的かつ正確であり続けることを保証できます。

Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョン (中国または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、レスポンス検出 > アラートを選択します。
説明
クラウド脅威検知と対応 (CTDR) を有効化している場合、左側のナビゲーションウィンドウのパスは 脅威の分析と応答 > セキュリティアラート に変わります。
[アラート] ページで、右上隅にある Cloud Workload Alert Management > セキュリティアラートの設定 をクリックします。
セキュリティアラートの設定 パネルで、アラート処理ルール タブをクリックします。
アラート処理ルール セクションで、宛先ルールを編集または削除できます。
- アラート処理ルールの編集
  1. 編集したいルールを見つけ、[アクション] 列の編集をクリックします。
  2. ルールの編集 パネルで、アラート処理ルールが有効になるサーバーを変更します。
  3. [OK] をクリックして変更を保存します。
- アラート処理ルールの削除
  重要
  ルールを削除すると、デフォルトの検出およびアラート動作が再開されます。たとえば、ホワイトリストルールを削除すると、以前は無視されていた同様のアラートが再度生成されます。ルールを削除する前に、その影響を理解していることを確認してください。
  1. 削除したいルールを見つけ、[アクション] 列の [削除] をクリックします。
  2. [OK] をクリックしてルールを削除します。