対処センターは、アクションを標準化された対処ポリシーと対処タスクに抽象化することで、セキュリティ応答を効率化します。手動で実行されるか、自動化ルールによってトリガーされるかにかかわらず、すべての応答アクションを管理および監査するための一元的なビューを提供します。
基本概念
Entity Object:アラートやインシデントに関与するコアオブジェクト。例として、IP アドレス、ドメイン名、ファイルハッシュ、プロセス、ホスト、コンテナ、Elastic Compute Service (ECS) インスタンス ID などのクラウドリソース ID、ユーザーアカウントなどがあります。
Handling Component:特定のセキュリティ操作を実行するアトミックなツール。IP アドレスのブロックやファイルの隔離など、単一の最小限のアクションを担当します。
Script:1 つ以上の Handling Componentで構成される自動化されたセキュリティワークフロー。トリガー条件や判断ロジックから実行アクションまで、完全な応答パスを事前定義します。
処理ポリシー:完全なセキュリティ応答の決定を表します。プレイブックがトリガーされると、システムはどのエンティティをターゲットにするか (What)、どのプレイブックを実行するか (How)、どこで応答を有効にするか (Where) を指定する対処ポリシーを生成します。
説明処理ポリシーと 処理タスクは 1 対多の関係です。単一の 処理ポリシーが複数の 処理タスクに対応することがあります。
処理タスク:特定のターゲット (クラウドアカウントやリソースなど) に対する対処ポリシーの実行記録。ポリシーから派生した特定の実行単位であり、単一の操作の詳細な結果 (成功または失敗) を提供します。
概要
レスポンス活動データソース
対処センターのデータ (対処ポリシーと対処タスク) は、次のシナリオで生成されます:
まだ 脅威の分析と応答
Manual Handling Event:推奨される処理ポリシーの使用、スクリプトの実行、または Add to Whitelist (自動応答ルール) を使用して、セキュリティイベントを手動で対処します。詳細については、「CWPP セキュリティイベントの評価と対処」をご参照ください。
脅威の分析と応答 を有効化している場合
Manual Handling Event:推奨される処理ポリシーの使用、スクリプトの実行、または Add to Whitelist (自動応答ルール) オプションを使用して、セキュリティイベントを手動で対処できます。詳細については、「Agentic SOC セキュリティイベントの評価と対処」をご参照ください。
Incident Trigger Playbook:プレイブックは、応答オーケストレーション で事前定義された自動応答ルールに基づいて実行されます。これらのルールは、Event Occurrence または Event Update によってトリガーされ、スクリプトの実行 アクションを実行します。詳細については、「自動応答ルール」をご参照ください。
Alert Trigger Playbook:
プレイブックは、応答オーケストレーション で事前定義された自動応答ルールに基づいて実行されます。これらのルールは、Alert Occurrence によってトリガーされ、スクリプトの実行 アクションを実行します。詳細については、「自動応答ルール」をご参照ください。
Manual Execution Playbook:応答オーケストレーション では、指定された Custom Playbook および Predefined Playbook を手動で Run できます。詳細については、「プレイブック設定ガイド」をご参照ください。
データ保持期間
デフォルトでは、対処ポリシーと対処タスクのデータは 90 日間保持されます。
脅威の分析と応答 サービスが有効期限切れまたはキャンセルされた場合、サービスによって生成されたデータは 15 日間のみ保持されます。事前にデータをバックアップまたは移行することを推奨します。
操作手順
対処ポリシーの表示
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン:Chinese Mainland または Outside Chinese Mainland を選択します。
説明脅威の分析と応答 サービスを有効化している場合、ナビゲーションパスは に変更されます。
処理ポリシー タブで、セキュリティインシデントの対処ポリシーに関する情報を表示します。
Entity Object:対象ポリシーの Entity Object の名前をクリックして、そのコンテキスト、Alibaba Cloud の脅威インテリジェンス、関連アラート、およびその他の情報を表示します。
関連ソース:関連ソース 列のエントリをクリックして、対処ポリシーに関連付けられているアラート、セキュリティインシデント、またはプレイブックを表示します。
タスクの表示:操作する 列で タスクの表示 をクリックして 処理タスク ページに移動し、対処ポリシーに関連付けられているタスク情報を表示します。
Scriptの表示:Script の名前をクリックして、実行と公開の履歴、基本的な説明、設定されたワークフローコンポーネントなどの詳細を表示します。
説明脅威の分析と応答 を有効化して、プレイブック情報を表示する必要があります。
表示および管理 処理タスク
対処タスクの表示
処理タスク タブには、次の情報が表示されます:
Entity Object:対象タスクの Entity Object の名前をクリックして、そのコンテキスト、Alibaba Cloud の脅威インテリジェンス、関連アラート、およびその他の情報を表示します。
Handling Component:セキュリティの脅威を解決するために実行されたプレイブック内の対処コンポーネント。一般的な対処コンポーネントの詳細については、「付録:一般的なセキュリティ対処コンポーネント」をご参照ください。
Scriptの表示:Script の名前をクリックして、実行と公開の履歴、基本的な説明、設定されたワークフローコンポーネントなどの詳細を表示します。
説明脅威の分析と応答 を有効化して、プレイブック情報を表示する必要があります。
Task Status:タスクのステータスが [失敗] の場合、その横にある
アイコンにカーソルを合わせると、失敗の理由が表示されます。
管理処理タスク
Retry:失敗したタスクを再試行するには、操作する 列の Retry をクリックします。
説明Retry ボタンがグレー表示されている場合、タスクは再試行できません。
ブロックの解除:タスクが IP アドレスをブロックした場合、操作する 列の ブロックの解除 をクリックしてブロックを解除します。IP アドレスがもはや脅威ではないことを確認した後にのみ、この操作を行ってください。
課金
対処センター機能は別途課金されません。この機能へのアクセスは、Security Center の有料版に含まれています。
サブスクリプションユーザー:有料版のいずれかのサブスクリプションを購入することで、この機能を使用できます。
従量課金ユーザー:いずれかの従量課金モジュールを有効にすることで、この機能を使用できます。
一部の対処操作は、Web Application Firewall (WAF)、CDN、Anti-DDoS Proxy などの他の有料クラウドプロダクトと連携する場合や、追加の API 呼び出し料金が発生する場合があります。詳細な請求情報については、各クラウドプロダクトの料金ドキュメントをご参照ください。
付録:一般的なセキュリティ対処コンポーネント
識別子 | 説明 |
AegisKillProcess | プロセスを終了するための Security Center コンポーネント |
AegisDeepCleanUp | 詳細なマルウェアスキャンを行うための Security Center コンポーネント |
AegisQuaraFile | ファイルを隔離するための Security Center コンポーネント |
AegisKillQuara | プロセスを終了し、関連ファイルを隔離するための Security Center コンポーネント |
AliyunFirewallProcess | インバウンド IP アドレスをブロックするための Cloud Firewall コンポーネント |
SasOfflineCheck | オフラインホスト調査のための Security Center コンポーネント |
RegionCLBProcess | Alibaba Cloud クラシックロードバランサー (CLB) ブロッキングコンポーネント |
RegionALBProcess | Alibaba Cloud Application Load Balancer (ALB) ブロッキングコンポーネント |
CDNProcess | Alibaba Cloud CDN ブロッキングコンポーネント |
AliyunWafBlockIP | インバウンド IP アドレスをブロックするための Alibaba Cloud WAF コンポーネント |
SecurityPolicyBlockIP | インバウンド IP アドレスをブロックするための Alibaba Cloud セキュリティグループコンポーネント |
CfwWhiteListBatch | インバウンド IP アドレスを許可リストに追加するための Cloud Firewall コンポーネント |
WafWhiteListBatch | IP アドレスを許可リストに追加するための Alibaba Cloud WAF コンポーネント |
TencentCFWBlockIP | 高リスクの IP アドレスをブロックするための Tencent Cloud Firewall コンポーネント |
HuaWeiRegionCfwBlockIP | 高リスクの IP アドレスをブロックするための Huawei Cloud Firewall コンポーネント |
TencentWafBlockIP | 高リスクの IP アドレスをブロックするための Tencent Cloud WAF コンポーネント |
HuaWeiWafBlockIP | 高リスクの IP アドレスをブロックするための Huawei Cloud WAF コンポーネント |
DcdnWafBanIP | IP アドレスをブロックするための DCDN WAF コンポーネント |
AegisStopContainer | コンテナを停止するための Security Center コンポーネント |
AliNetBlockIP | IP アドレスを悪意のある行為の防御ブロックリストに追加するための Security Center コンポーネント |
AliNetBlockDNS | ドメイン名を悪意のある行為の防御ブロックリストに追加するための Security Center コンポーネント |
AliNetWhiteIP | IP アドレスを悪意のある行為の防御許可リストに追加するための Security Center コンポーネント |
AliNetWhiteDNS | ドメイン名を悪意のある行為の防御許可リストに追加するための Security Center コンポーネント |
AliyunCFWBlockDNS | アウトバウンドの悪意のあるドメイン名をブロックするための Cloud Firewall コンポーネント |
AliyunDDoSProxyBlockIP | IP アドレスをブロックするための Anti-DDoS Proxy コンポーネント |
AliyunDDoSProxyWhiteIP | IP アドレスを許可リストに追加するための Anti-DDoS Proxy コンポーネント |
AliyunFirewallMonitorIPin | インバウンド IP アドレスを監視モードで処理するための Cloud Firewall コンポーネント |
AliyunFirewallMonitorIPOut | アウトバウンド IP アドレスを監視モードで処理するための Cloud Firewall コンポーネント |
AliYunWafMonitorIP | IP アドレスを監視モードで処理するための Alibaba Cloud WAF コンポーネント |
よくある質問
対処タスクが失敗したのはなぜですか?
権限不足:操作に使用された RAM ロールに、WAF や Cloud Firewall などのターゲットクラウドプロダクトに対する必要な権限がありません。これを解決するには、ロールに必要な権限を付与します。
リソースが見つからない:ターゲットエンティティ (ホストやコンテナなど) が破棄されたか、関連するルールが削除されました。
クォータ超過:WAF の IP アドレスブロックリストなど、ターゲットクラウドプロダクトのルール数が上限に達しました。
アカウント間の制限:アカウント間の操作を実行するには、両方のアカウントが同じ企業実名認証を持ち、Resource Directory で一元管理されている必要があります。この操作は、認証エンティティが異なるアカウント間ではサポートされていません。
[再試行] ボタンがグレー表示されるのはなぜですか?
一部の対処タスクは、アクションが元に戻せないため再試行できません。