Security Center エージェントの高度な機能を設定して、セキュリティとリソース効率を向上させることができます。たとえば、クライアントの自己防衛 を有効にして不正なアンインストールを防止したり、リソース使用量制限を設定してローカルファイル検出などの操作における CPU とメモリの消費量を制御したりできます。このトピックでは、エージェント機能の設定で利用可能な機能とその設定方法について説明します。
クライアントの自己防衛
機能概要
エージェント自己保護は、Security Center エージェントの安定した動作を保証する組み込みの保護メカニズムです。アンインストールやプロセス終了などの不正な操作を積極的に遮断します。これにより、攻撃者や異常なプロセスによってエージェントが無効化されるのを防ぎ、Security Center が継続的かつ効果的なサーバー保護を提供できるようにします。
この機能はエージェント自体を保護するものであり、サーバーのセキュリティ保護を直接提供するものではありません。
コアバリュー
不正なアンインストールの防止:攻撃者がサーバーを侵害した後にセキュリティエージェントを削除するのをブロックします。
プロセスの安定性の確保:コアエージェントプロセスが誤って、または悪意を持って終了されるのを防ぎます。
保護の継続性の確保:エージェントの障害によるセキュリティ保護の中断を回避します。
互換性:この機能は、特定のオペレーティングシステムとカーネルバージョンに依存します。サーバー環境に互換性がない場合、機能のステータスは「保護に失敗しました:互換性のないカーネルバージョン」と表示され、機能は有効になりません。
範囲
エディションの制限:この機能は、Security Center の無料ユーザーと有料ユーザーの両方が利用できます。
オペレーティングシステムとカーネルバージョンの制限:詳細については、「付録:エージェント自己保護でサポートされるオペレーティングシステムとカーネルバージョン」をご参照ください。
サーバーのエージェント自己保護の有効化
エージェント自己保護の防御モードを有効にすると、保護範囲内にあり、エージェントがインストールされているすべてのサーバーでこの機能が自動的に有効になります。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
タブをクリックします。クライアントの自己防衛 セクションで、Defense Mode スイッチをオンにします。
保護の範囲: の右側にある 管理 をクリックします。
クライアントの自己防衛 パネルで、エージェント自己保護を有効にするサーバーを選択し、OK をクリックします。
説明サーバーで クライアントの自己防衛 を有効にすると、保護メカニズムはすぐに有効になります。クライアントの自己防衛 を無効にすると、メカニズムは 5 分後に無効になります。
エージェント自己保護ステータスの表示
サーバーのエージェント自己保護ステータスを確認するには、次の手順を実行します。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
ホストのアセットリストで対象サーバーを見つけ、サーバー名をクリックするか、操作する 列の 表示 をクリックします。
サーバー詳細ページで、 タブをクリックします。防衛ステータス セクションで、クライアントの自己防衛 のステータスを表示します。
アンインストール手順
自己保護を有効にすると、エージェントのアンインストールが制限されます。エージェントは、以下の承認された方法のいずれかを使用してのみアンインストールできます:
コンソールからのアンインストール:Security Center コンソールから直接エージェントをアンインストールします。
ローカルでのアンインストール:まず、コンソールでサーバーの エージェント自己保護 機能を無効にします。次に、サーバー上でローカルにエージェントをアンインストールします。
ローカルファイルスキャンエンジン
機能概要
ローカルファイル検出エンジンは、Alibaba Cloud Security Center がローカルファイル用に開発した独自の脅威検出エンジンです。このエンジンは、データアップロードやクラウドベースのスキャンによるパフォーマンスオーバーヘッドを削減し、検出効率を向上させます。
この機能を有効にすると、ファイルはローカルスキャンとクラウドベースのスキャンを組み合わせたデュアルエンジンモードでスキャンされます。システムはまずローカルエンジンを使用してファイルをスキャンします。脅威が見つからない場合、ファイルはクラウドにアップロードされ、包括的な検出を保証するためにセカンダリスキャンが行われます。
範囲
必要なサブスクリプション:Enterprise または Ultimate。別のエディションを使用している場合は、アップグレードする必要があります。
説明サーバーの保護エディションは、購入したエディションに設定する必要があります。詳細については、「サーバーに保護エディションを関連付ける」をご参照ください。
従量課金:この課金方法は Host and Container Security に必要です。有効にするには、「購入」をご参照ください。
説明サーバー保護レベルは Host Protection または Host and Container Protection に設定する必要があります。詳細については、「サーバーに保護レベルを関連付ける」をご参照ください。
ローカルファイル検出の有効化
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
タブをクリックします。ローカルファイルスキャンエンジン セクションで、ファイルスキャン スイッチをオンにします。
Installation Scope の右側にある 管理 をクリックします。
ローカルファイルスキャンエンジン パネルで、ローカルファイル検出を有効にするサーバーを選択し、OK をクリックします。
In-depth Detection Engine
詳細検出エンジンは、ルートキット、トンネリング、バックドアなどの高度なセキュリティリスクを発見するのに役立ちます。
範囲
必要なサブスクリプション:Enterprise または Ultimate。別のエディションを使用している場合は、アップグレードする必要があります。
説明サーバーの保護エディションは、購入したエディションに設定する必要があります。詳細については、「サーバーに保護エディションを関連付ける」をご参照ください。
従量課金:この課金方法は Host and Container Security に必要です。有効にするには、「購入」をご参照ください。
説明サーバー保護レベルは Host Protection または Host and Container Protection に設定する必要があります。詳細については、「サーバーに保護レベルを関連付ける」をご参照ください。
詳細検出の有効化
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
タブをクリックします。In-depth Detection Engine セクションで、Depth Test スイッチをオンにします。
Installation Scope の右側にある 管理 をクリックします。
In-depth Detection Engine パネルで、詳細検出を有効にするサーバーを選択し、OK をクリックします。
クライアントリソースの管理
Security Center エージェントがサーバー上で実行されると、少量のサーバーリソースを消費します。Security Center は、エージェントのリソース消費を管理するために使用できる 3 つのリソース管理モードを提供します。最適なセキュリティ保護を実現するために、サーバーに適した保護モードを選択してください。
リソース管理モード
いずれかのリソース管理モードを選択した場合、エージェントが設定されたメモリまたは CPU 使用量の最大制限を超えると、エージェントは一時停止します。リソース使用量が許容レベルまで低下すると、エージェントは自動的に再起動します。
保護モード | 最大メモリまたは CPU 使用量 | サポート対象エディション | シナリオ |
低消費モード |
| すべてのエディション | このモードは、セキュリティ要件が低いビジネスシナリオに適しています。 このモードでは、エージェントは大量のリソースを消費する機能を自動的にダウングレードします。これにより、脅威検出に遅延が生じる可能性があります。スムーズモードを有効にすることを推奨します。 説明 低消費モードは、Security Center の新規追加アセットに対してデフォルトで有効になっています。 |
スムーズモード |
| Anti-virus、Advanced、Enterprise、および Ultimate | このモードは、重要なビジネスの保護に適しています。 このモードでは、エージェントはより多くのリソースを消費してデータを収集し、タイムリーなリスク検出を保証します。 |
カスタムモード |
| Enterprise および Ultimate | このモードは、重大イベント中のセキュリティ確保に適しています。 このモードでは、メモリと CPU の使用量を柔軟に制御できます。 重要 エージェントのリソース制限のしきい値が低すぎると、一部の検出機能が失敗する可能性があります。この設定は慎重に行ってください。 |
保護モードの設定
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
タブをクリックします。クライアントリソースの管理 セクションで、スムーズモード または カスタムモード の右側にある 管理 をクリックします。
スムーズモード または カスタムモード パネルで、リソース管理モードを設定するサーバーを選択し、OK をクリックします。
各サーバーには、スムーズモード または カスタムモード のいずれか 1 つのリソース管理モードのみを選択できます。たとえば、サーバーが スムーズモード にあり、それを カスタムモード に設定すると、その保護モードは カスタムモード に変更されます。
説明カスタムモード では、より多くの種類のアラートが検出され、検出エンジンはより敏感になります。これにより、誤検知率が増加する可能性があります。アラートを迅速に監視および処理することを推奨します。
(オプション) サーバーをカスタムモードに設定した場合、メモリと CPU の使用量のしきい値を変更できます。
メモリと CPU の使用量のしきい値が高いほど、より精密な保護が可能になります。適切な しきい値を設定することを推奨します。
付録:エージェント自己保護でサポートされるオペレーティングシステムとカーネルバージョン
オペレーティングシステム | サポート対象のオペレーティングシステムバージョン | サポート対象のカーネルバージョン |
Windows (64 ビット) |
| すべてのバージョン |
CentOS (64 ビット) |
| |
Ubuntu (64 ビット) |
| |
Alibaba Cloud Linux (Alinux) (64 ビット) | Alinux 2.1903 | |
Anolis (64 ビット) | すべてのバージョン | |
RHEL | RHEL 6、7、および 8 |
|