Agentic SOC には、取り込まれたアラートとログを分析し、脅威の攻撃チェーンとタイムラインを再構築し、集約アラートと詳細なセキュリティイベントを生成するための定義済み検出ルールが含まれています。また、カスタム検出ルールを作成して、ビジネスニーズに合わせた脅威検出システムを構築することもできます。
概要
Agentic SOC のルール管理機能は、標準化されたログを分析し、組み込みのプレイブックを使用して集約および分析アラートとカスタム分析アラートを生成します。グラフコンピューティング、アラートパススルー、同一タイプ集約などのメソッドを使用してセキュリティイベントを作成し、脅威イベントの処理を支援します。ルール管理は、アラートとイベントを生成するために、次のルールフォーマットをサポートしています:
SQL 構文:指定された範囲内のログに対して、ログのフィルタリング、特徴のマッチング、ウィンドウ統計、その他の関連分析を実行することで、アラート検出とイベント生成を行います。
プレイブック:Alibaba Cloud サービスの API を呼び出し、プレイブックのフローに基づいて意思決定を行うことで、アラート検出とイベント生成を実行します。これは通常、ビジネスステータスのアラートに使用されます。
ルールの種類
ルールの種類 | 説明 |
定義済み | 定義済みルールは、有効範囲内にあり Agentic SOC に取り込まれたログを分析することで、すぐに使える脅威検出機能を提供します。ルールヒットから生成されたセキュリティアラートは、 ページの Aggregate and Analyze Alerts タブに表示されます。これらのルールは、グラフ関連付け技術を使用して、同じアセットまたは侵害の痕跡 (IOC) を共有するアラートをイベントに集約し、カスタム分析アラートを除くすべてのアラートを関連付けて集約します。 |
カスタム | カスタムルールは、複雑な脅威検出シナリオ向けに、柔軟なルール拡張機能とルールテンプレートを提供します。これにより、テンプレートに基づいて脅威検出ルールを迅速にカスタマイズできます。SQL 構文またはプレイブックに基づいて、カスタムルールの脅威検出を実装できます。 カスタムルールによって生成されたセキュリティアラートは、 ページの Custom Alert Analysis タブに表示されます。カスタムルールは、アラートパススルーまたは同一タイプ集約を通じてセキュリティインシデントを生成します。 |
イベント生成メソッド
グラフコンピューティング:グラフ関連付け技術を使用して、同じアセットまたは侵害の痕跡 (IOC) を持つアラートをイベントに関連付けて集約します。カスタム分析アラートを除くすべてのアラートが関連付けられ、集約されます。
アラートパススルー:分析ルールに基づいて生成された各アラートに対して、1 つのセキュリティイベントを生成します。
同一タイプ集約:同じ分析ルールに基づいて生成されたすべてのアラートを、単一のセキュリティイベントに集約します。
適用範囲
Agentic SOC サービスを有効化する際に選択した課金モデルと課金項目によって、利用可能なルール管理機能の範囲が決まります。詳細については、「Agentic SOC の購入と有効化」をご参照ください。
サブスクリプション:
ログアクセストラフィック のみを購入する場合: 事前定義済み ルール、カスタム ルール (正規化メソッドが「Scan Query」のログのみをサポート)。
説明ログ管理 の従量課金機能も購入した場合、すべてのカスタムルールを使用できます。
購入 ログアクセストラフィック と Log Storage Capacity : 事前定義済み ルールと カスタム ルール。
Log Storage Capacity の単独購入: サポートされていません。
従量課金: 事前定義済み ルール、カスタム ルール (Scan Query 正規化メソッドを使用するログのみをサポート)。
説明従量課金の ログ管理 機能も購入した場合、すべてのカスタムルールを使用できます。
ワークフロー
定義済みルールの有効化または無効化
定義済みの分析ルールはデフォルトで有効になっています。定義済みルールの詳細を表示したり、ルールを有効または無効にしたりできます。定義済みルールを編集または削除することはできません。
Security Center コンソールの [Agentic SOC] > [ルール管理] ページに移動します。左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
事前定義済み タブで、定義済みルールのリストを表示できます。特定のルールの 操作する 列で、詳細 をクリックして、基本情報、アラート生成設定、インシデント生成設定を表示できます。
Rule Status: スイッチをクリックして、対象の定義済みルールを有効または無効にします。
説明または、定義済みルールのリストで、対象ルールの Enabling Status 列の Enable または Disabled をクリックします。
定義済みルールがヒットしたときに生成されるアラートは、 ページの Aggregate and Analyze Alerts タブで集約および分析できます。
カスタムルールの作成と有効化
Security Center コンソールの [Agentic SOC] > [ルール管理] ページに移動します。左上隅で、保護したいアセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
Rule Template タブで、対象テンプレートの操作列にある Create Rule をクリックします。または、カスタム タブで Create Custom Rule をクリックします。
重要より簡単で効率的な設定のために、ルールテンプレートからルールを作成することを推奨します。
Create Custom Rule パネルの Basic Information タブで、ルール名と説明を入力し、次へ をクリックします。
Alert Settings タブで、アラート生成ルールを設定します。
生成されたアラート情報は、 ページの Custom Alert Analysis タブで表示できます。利用可能な設定項目とその値は、設定されたルールによって異なります。以下に設定項目とその値について説明します:
SQL 構文
このメソッドは SQL を使用して、指定された範囲内のログに対して、ログのフィルタリング、特徴のマッチング、ウィンドウ統計、その他の関連分析を実行することで、アラート検出とイベント生成を行います。
ルール本文
設定項目
説明
Rule Body
デフォルトは [SQL] です。
ログ範囲
ルールが検出するログの範囲を選択します。ログの標準化カテゴリと標準化構造を選択する必要があります。複数の標準化ログ構造を選択できます。
Standard Fields リンクをクリックして、現在のログ構造のログフィールドの説明を表示します。
SQL Statement
SQL 文を使用して、指定されたイベントのレコードをクエリし、潜在的な悪意のある動作を特定します。SQL クエリ文の設定方法の詳細については、以下のトピックをご参照ください:
SQL 構文の詳細については、「SQL 分析の構文と特徴」をご参照ください。
スケジュール設定
SQL 本文を持つカスタムルールが有効になると、Agentic SOC は Scheduling Settings に基づいて、Simple Log Service (SLS) に対応する定期 SQL ジョブを作成します。その後、SLS はスケジュール間隔に基づいて複数の実行インスタンスを生成します。詳細については、「定期 SQL ジョブの管理」および「定期 SQL ジョブの結果データのクエリ」をご参照ください。
スケジュールパラメーターの説明
設定項目
説明
Scheduling Interval
SQL クエリを実行する頻度を設定します。次のいずれかのメソッドを使用できます:
Fixed Interval:範囲は 5 分から 24 時間です。
[Cron]:最小精度は分、フォーマットは 24 時間形式です。設定例:
0/5 * * * *:0 分から開始して 5 分ごとに実行します。0 0/1 * * *:0:00 から開始して 1 時間ごとに実行します。0 18 * * *:毎日 18:00 に 1 回実行します。0 0 1 * *:毎月 1 日の 00:00 に実行します。
SQL Time Window
定期 SQL インスタンスでクエリするログの時間範囲を指定します。値は 5 分から 24 時間の範囲内である必要があります。
重要タイムウィンドウは、スケジュール間隔以上である必要があります。
Start Time
ルールが有効になった後、定期 SQL インスタンスが実行を開始する時刻です。次のいずれかのメソッドを使用できます:
Rule Enabled At:ルールが有効になった瞬間。
Specified Time:設定した特定の時刻 (分単位まで正確)。
定期 SQL タスク実行パラメーター
タスクスケジュール時刻:スケジュール設定の Start Time と Scheduling Interval によって決まります。スケジュールされた時刻は、前のインスタンスの実行タイムアウト、遅延、または補足実行の影響を受けません。
たとえば、ルールの開始時刻が 2025 年 5 月 16 日 10:58:45 で、スケジュール間隔が 5 分の場合、スケジュールされた時刻は 2025 年 5 月 16 日 10:58:45、2025 年 5 月 16 日 11:03:45、2025 年 5 月 16 日 11:08:45 などとなります。
実行時間:定期 SQL タスクが実際に実行された時刻です。タスクがリトライされた場合、これは最後のリトライが開始された時刻です。
説明定期 SQL タスクは、タイムアウト、遅延、またはバックフィルされる可能性があります。その結果、実行時間がスケジュールされた時刻と異なる場合があります。
SQL クエリ範囲:SQL 分析の時間範囲です。この範囲は、タスクスケジュール時刻と SQL Time Window によって決まり、実際のタスク実行時間とは関係ありません。計算式:[スケジュール時刻 (分に切り捨て) - SQL タイムウィンドウ, スケジュール時刻 (分に切り捨て))。
たとえば、ルールの開始時刻が 2025 年 5 月 16 日 10:58:45、スケジュール間隔が 5 分、SQL タイムウィンドウが 5 分の場合。
最初の定期タスクの SQL クエリ範囲は次のようになります:
スケジュール時刻:2025 年 5 月 16 日 10:58:45
データタイムスタンプ:[2025 年 5 月 16 日 10:53:00, 2025 年 5 月 16 日 10:58:00)
2 番目の定期タスクの SQL クエリ範囲は次のようになります:
スケジュール時刻:2025 年 5 月 16 日 11:03:45
データタイムスタンプ:[2025 年 5 月 16 日 10:58:00, 2025 年 5 月 16 日 11:03:00)
アラートログ生成
Agentic SOC は、Alert Log Generation 設定項目に基づいて異なるアラートログを生成します。これらのログは で表示できます。
アラート属性の定義
Generation Structure:アラートのログカテゴリ (例:エンドポイント検出 & レスポンス、ファイアウォール) を選択します。
説明ドロップダウンリストから View Standard Fields をクリックして、ログタイプのフィールド詳細を表示できます。
アラートタイプ:現在のルールによって検出されるアラートのタイプを指定します。
Alert Level:
機能:アラートのリスクレベルを定義します。
有効値:情報、低、中、高、重大。
ATT&CK Phase
機能:ルールによって検出された攻撃行動を、対応する攻撃ステージとテクニックに関連付けます。
設定:
+ 攻撃ステージの追加をクリックして、複数の攻撃ステージをマッピングできます。各攻撃ステージ内で複数の攻撃テクニックを選択できます。
制限:すべてのステージにわたる攻撃テクニックの総数は 5 を超えてはなりません。
Entity Mapping
IP アドレスやファイル名など、クエリ結果の非構造化フィールドを構造化されたエンティティオブジェクトにマッピングします。これにより、システムはエンティティに関連するすべてのアクティビティを集約し、脅威プロファイルを構築し、分析効率を向上させることができます。
手順
エンティティタイプの選択
ドロップダウンリストから、マッピングするエンティティのタイプ (ホスト、ファイル、IP アドレス、プロセスなど) を選択します。
Add Entity Mapping をクリックして、さまざまなタイプのエンティティを設定できます。
エンティティプロパティのマッピング
各エンティティのプロパティを設定します。プロパティは 2 つのカテゴリに分類されます:
必須プロパティ:エンティティの一意の識別子。たとえば、「IP アドレス」エンティティの必須プロパティはアドレス自体です。
オプションプロパティ:エンティティの補足情報を提供します。たとえば、「ホスト名」を「IP アドレス」エンティティにオプションプロパティとして関連付けることができます。
Add Entity Attribute Mapping をクリックして、エンティティに複数のプロパティを設定できます。
プロパティ値の設定
選択した各プロパティに値を割り当てます。
フォーマット:2 つのフォーマットがサポートされています:
変数参照:
$field_name$(クエリ結果のフィールドを参照します)。定数:固定の文字列値。
例:
Alert Enrichment
クエリフィールドを変数として参照することで、アラート名と説明を動的に生成できます。
アラート名:
長さとフォーマット:最大長は 50 文字です。
参照フォーマット:
$SQL クエリ返却フィールド$。デフォルト (空欄の場合):ルール名 が使用されます。
例:$src_ip$ からの高頻度の複数タイプのネットワーク攻撃が検出されました。
アラートの説明:
長さ:最大長は 1,000 文字です。
変数参照フォーマット:
$sql_query_return_field$。デフォルト (空のままにする):デフォルト値は ルール説明 です。
例:アラート元:$product_code$。$src_ips$ からのネットワーク攻撃が検出されました。影響を受けるアセットは次のとおりです:$dst_ips$。
重要変数を参照した後に生成された最終的なコンテンツが長さ制限を超えた場合、超過部分は自動的に切り捨てられます。
アラート抑制
Alert Suppression でルールを設定して、生成されるセキュリティアラートの数を制御できますが、アラートログの生成と配信には影響しません。
Agentic SOC は、抑制条件で指定されたフィールドの値のデカルト積に基づいてアラートをグループ化します。抑制ウィンドウ内で各グループに対して最大 100 件のセキュリティアラートを生成できます。アラートレコードの数がこの制限を超えると、同じ条件を満たす後続のレコードはセキュリティアラートを生成しません。
設定項目
説明
Suppression Window
Suppression Window は、アラートレコードの統計期間を決定します。
抑制ウィンドウは、ルールが最初のアラートログを生成した時刻に開始します。
値は 5 分から 24 時間の範囲内である必要があります。
説明ルールが 2025 年 5 月 16 日 10:58:45 に最初のアラートログを生成し、抑制ウィンドウが 10 分に設定されていると仮定します。最初の抑制ウィンドウは 10:58:45 から 11:08:45 までです。2 番目の抑制ウィンドウは 11:08:45 から 11:18:45 まで、となります。
Suppression Condition
SQL 文の `select` キーワードの後に定義された列名、フィールド名、またはエイリアスを入力します。このパラメーターを設定しない場合、システムはデフォルトでカスタム分析ルールの `rule_id` フィールドを抑制条件として使用します。
Agentic SOC は、抑制条件で指定されたフィールドの値のデカルト積に基づいてアラートをグループ化します。
たとえば、フィールド a と b の 2 つを抑制条件として指定し、a の値セットが {1,2}、b の値セットが {3,4} である場合、合計 4 つの組み合わせ {1,3}、{1,4}、{2,3}、{2,4} が生成されます。各組み合わせが 1 つのグループです。
ウィンドウ内で各グループに対して最大 100 件のセキュリティアラートを生成できます。
重要抑制条件はオプションです。抑制条件を指定しない場合、ウィンドウ全体でルールに基づいて最大 100 件のセキュリティアラートが生成されます。
プレイブック
Alibaba Cloud サービスの API を呼び出し、プレイブックのフローに基づいて意思決定を行うことで、アラート検出とイベント生成を実行します。これは通常、ビジネスステータスのアラートに使用されます。
説明ルールテンプレート (プレイブック) からルールが作成された場合、対応するカスタムプレイブックが自動的に作成されます。これは の [カスタムプレイブック] タブで表示できます。
ルール本文
設定項目
説明
Rule Body
Script を選択します。
Playbook Name
ルールテンプレート (プレイブック) からルールを作成する場合、プレイブック名を変更できます。プレイブック名は一意である必要があります。
カスタム タブで Create Custom Rule をクリックしてルールを作成する場合、ドロップダウンリストから適切なプレイブックを選択できます。
重要このドロップダウンリストには、次の条件を満たすプレイブックのみが表示されます:
プレイブックがカスタムプレイブックであること。
プレイブックが公開されていること。
プレイブックの開始ノードの入力パラメータータイプがカスタムであること。
プレイブックが他の分析および検出ルールに関連付けられていないこと。
Playbook Description
ルールテンプレート (プレイブッククラス) から作成されたルールは変更できます。
カスタム タブで Create Custom Rule をクリックしてルールを作成する場合、応答オーケストレーション内の対象プレイブックの説明が自動的に取得され、変更できません。
パラメーター設定
ルールテンプレート (プレイブック) からルールを作成する場合にのみ、パラメーターを設定する必要があります。プレイブックごとに必要なパラメーターは異なります。パラメーターの横にある
アイコンをクリックすると、その説明と設定手順が表示されます。権限付与設定
ルールテンプレート (プレイブック) からルールを作成する場合にのみ、権限付与を設定する必要があります。
Execution Role:ロールを作成していない場合は、Go to RAM Console to Create Role をクリックします。RAM のクイック権限付与ページで、[権限付与の確認] をクリックします。すると、AliyunSiemSoarExecutionDefaultRole という名前のロールが自動的に作成されます。
説明ロールを作成する権限がない場合は、RAM 管理者 (Resource Management 権限を持つ RAM ユーザーまたは Alibaba Cloud アカウント) に連絡して、RAM コンソールでロールを作成し、信頼ポリシーをアタッチしてもらうことができます。詳細については、「信頼できる Alibaba Cloud サービス用の RAM ロールの作成」をご参照ください。設定は次のとおりです:
信頼できるエンティティ:[Alibaba Cloud サービス]。
信頼できるエンティティ名:cloudsiem.sas.aliyuncs.com。
ロール名:AliyunSiemSoarExecutionDefaultRole
Access Policy:このセクションには、選択したプレイブックテンプレートを実行するために必要な権限ポリシーがリストされます。必要なポリシーがアタッチされていない場合は、Modify Policy をクリックし、権限付与が必要なポリシーを選択してから、Authorize in RAM Console をクリックします。RAM のクイック権限付与ページにリダイレクトされ、権限付与を完了します。
重要権限付与の権限がない場合は、RAM 管理者 (Resource Management 権限を持つ RAM ユーザーまたは Alibaba Cloud アカウント) に連絡して、プレイブックの実行に必要なアクセスポリシーを AliyunSiemSoarExecutionDefaultRole ロールにアタッチしてもらうことができます。詳細については、「RAM ロールの権限管理」をご参照ください。
スケジュール設定
プレイブックを使用するカスタムルールの場合、ルールが有効になった後、Agentic SOC は [スケジュール設定] を使用して、プレイブックを呼び出すための定期タスクを作成します。
説明定期タスクが 1 サイクル内にプレイブックを実行できなかった場合、システムは 30 秒後にタスクを自動的にリトライします。リトライ後もタスクが失敗した場合、現在のタスクフローは停止し、待機状態に入ります。タスクは次のスケジュールサイクルで再開されます。
プレイブックの実行記録は、応答オーケストレーション モジュールのカスタムプレイブックの詳細ページで確認できます。
設定項目
説明
Scheduling Interval
プレイブックを実行する時間間隔を設定します。次のいずれかのメソッドを使用できます:
Fixed Interval:許可される範囲は 5 分から 24 時間です。
[Cron]:最小精度は分、フォーマットは 24 時間形式です。設定例:
0/5 * * * *:0 分から開始して 5 分ごとに実行します。0 0/1 * * *:0:00 から開始して 1 時間ごとに実行します。0 18 * * *:毎日 18:00 に 1 回実行します。0 0 1 * *:毎月 1 日の 00:00 に実行します。
Start Time
ルールが有効になった後、プレイブックが実行を開始する時刻です。次のいずれかのメソッドを使用できます:
Rule Enabled At:ルールが有効になった瞬間。
Specified Time:設定した特定の時刻 (分単位まで正確)。
アラートログ生成
Agentic SOC は、Alert Log Generation 設定項目に基づいてアラートログを生成します。生成されたアラートログは で表示できます。
Generation Structure では、Other Alert Logs のみを選択できます。
説明ドロップダウンリストの View Standard Fields をクリックして、このログタイプのフィールド詳細を表示できます。
アラートタイプ:現在のルールによって検出されるアラートのタイプを指定します。
Alert Level:
機能:アラートのリスクレベルを定義します。
有効値:情報、低、中、高、重大。
ATT&CK Phase
機能:ルールによって検出された攻撃行動を、対応する攻撃ステージとテクニックに関連付けます。
設定:
+ 攻撃ステージの追加をクリックして、複数の攻撃ステージをマッピングできます。各攻撃ステージ内で複数の攻撃テクニックを選択できます。
制限:すべてのステージにわたる攻撃テクニックの総数は 5 を超えてはなりません。
アラート抑制
Alert Suppression に設定したルールを使用して、生成されるセキュリティアラートの数を制御できますが、これはアラートログの生成と配信には影響しません。
Agentic SOC は、抑制条件で指定されたフィールドの値のデカルト積に基づいてアラートをグループ化します。抑制ウィンドウ内で各グループに対して最大 100 件のセキュリティアラートを生成できます。アラートレコードの数がこの制限を超えると、同じ条件を満たす後続のレコードはセキュリティアラートを生成しません。
設定項目
説明
Suppression Window
Suppression Window は、アラートレコードをカウントするための統計期間を決定します。
抑制ウィンドウは、ルールが最初のアラートログを生成した時刻に開始します。
値は 5 分から 24 時間の範囲内である必要があります。
説明ルールが 2025 年 5 月 16 日 10:58:45 に最初のアラートログを生成し、抑制ウィンドウが 10 分に設定されていると仮定します。最初の抑制ウィンドウは 10:58:45 から 11:08:45 までです。2 番目の抑制ウィンドウは 11:08:45 から 11:18:45 まで、となります。
Suppression Condition
ドロップダウンリストのデータは、Generation Structure セクションの Alert Log Generation 設定で選択されたアラートログに対応する標準化ログフィールドから供給されます。
説明ページの Standardized Rule タブで、View Standard Fields をクリックして、対象ログの基本情報とフィールド詳細を表示します。
Agentic SOC は、抑制条件で指定されたフィールドの値のデカルト積に基づいてアラートをグループ化します。
たとえば、フィールド a と b の 2 つを抑制条件として指定し、a の値セットが {1,2}、b の値セットが {3,4} である場合、合計 4 つの組み合わせ {1,3}、{1,4}、{2,3}、{2,4} が生成されます。各組み合わせが 1 つのグループです。
ウィンドウ内で各グループに対して最大 100 件のセキュリティアラートを生成できます。
重要抑制条件はオプションです。抑制条件を指定しない場合、ウィンドウ全体でルールに基づいて最大 100 件のセキュリティアラートが生成されます。
イベント生成の設定 タブで、セキュリティイベント生成ルールを設定できます。
生成されたインシデントは、 ページで表示および処理できます。
設定項目
説明
Generate Event
アラートがルールにヒットしたときにイベントを生成するかどうかを選択します。
Incident Generation Method
アラートパススルー:現在のルールに基づいて生成された各アラートに対して、1 つのセキュリティイベントを生成します。
同一タイプ集約:現在のルールに基づいて生成されたすべてのアラートを、単一のセキュリティイベントに集約します。
Aggregation Window
Incident Aggregation by Type シナリオの場合にのみ、ウィンドウサイズを設定する必要があります。有効な範囲は 5 分から 24 時間です。
たとえば、集約ウィンドウを 5 分に設定すると、この 5 分間に生成されたすべてのセキュリティアラートが単一のセキュリティイベントに集約されます。
カスタムルールの有効化:新しく作成されたルールのステータスは、デフォルトで [無効] です。[有効化ステータス] 列または [操作] 列でルールのステータスを変更できます。
説明有効にする前に、カスタムルールをテストすることを推奨します。
カスタムルールのテスト (オプション)
カスタムルールを有効にする前に、ルールの Enabling Status を Testing に変更し、テストアラートを表示して出力が期待どおりであることを確認できます。システムは、組み込みの調整ロジックに基づいて、アラートフィールド、アラートフィールド値、および標準化フィールドを調整します。コンソールで調整結果を確認し、必要に応じてルールの SQL 構文またはプレイブックを調整して、生成されたアラートログが調整要件を満たすようにすることができます。
テストフェーズはオプションです。調整結果はルールの有効化に影響しません。
テスト中に生成されたアラートは、[セキュリティアラート] ページには表示されません。
手順:
カスタム タブで、対象ルールの Enabling Status を Testing に設定できます。
対象ルールの [操作] 列で、View Alert Test Result をクリックします。
テスト結果の詳細ページで、アラートトレンドグラフとアラートリストを表示したり、アラートの [操作] 列で 詳細 をクリックして調整結果を表示したりできます。
セキュリティアラートとイベントの表示と処理
脅威検出ルールが有効になった後、取り込まれたログがルールをトリガーすると、セキュリティアラートとイベントが生成されます。アラートとイベントは、次のトピックで説明されているように処理できます:
ページで、Custom Alert Analysis タブと Aggregate and Analyze Alerts タブで生成されたアラート情報を表示できます。詳細については、「セキュリティアラート」をご参照ください。
ページで生成されたインシデントを表示および処理します。詳細については、「セキュリティインシデントレスポンス」をご参照ください。