ホスト保護設定の構成 - Security Center - Alibaba Cloud ドキュメントセンター

Security Center は、不正なホスト動作の防止、ランサムウェア対策、Webshell 接続の防止などのセキュリティ機能を提供します。これらの機能を設定して、ご利用のサーバーを保護できます。このトピックでは、利用可能なホスト保護機能とその設定方法について説明します。

プロアクティブ防御

機能紹介

Security Center のプロアクティブ防御機能は、一般的なウイルス、不正なネットワーク接続、Webshell 接続を自動的にインターセプトします。また、おとりを使用してランサムウェアをキャプチャします。次の表に、プロアクティブ防御の機能を示します。

機能	サポート対象エディション	説明
悪意のあるホスト行動からの保護	Anti-virus、Advanced、Enterprise、および Ultimate	悪意のあるホスト行動からの保護機能は、一般的なネットワークウイルスを自動的にインターセプトして削除します。これには、主流のランサムウェア、DDoS トロイの木馬、マイニングプログラム、トロイの木馬、不正なプログラム、バックドア、ワームが含まれます。 Anti-virus 以上のエディションの Security Center を購入すると、悪意のあるホスト行動からの保護機能がデフォルトで有効になります。すべてのサーバーがこの機能の検知範囲に追加されます。 Security Center エディション間の機能差 Anti-virus は、トロイの木馬やマイニングプログラムなどの一般的なウイルスを自動的にブロックします。 Advanced、Enterprise、および Ultimate は、より包括的な防御機能を提供します。これらのエディションは、ATT&CK フレームワークで一般的な攻撃シナリオを効果的にインターセプトし、一般的なサービスやアプリケーションへの大規模な侵入をブロックし、一般的なランサムウェアの暗号化動作を停止させます。また、カスタムルールをサポートしてホストを保護します。カスタム防御ルールの詳細については、「ホスト固有のルールの管理」をご参照ください。説明感染型ウイルスは高度な不正プログラムです。ウイルス本体は、実行のために通常のプログラムファイルに不正なコードを書き込みます。これにより、多くの通常のプログラムが感染し、ホストとして検知されます。感染型ウイルスはシステムプロセスに害を及ぼす可能性があります。システムプロセスを終了させると、システムの安定性にリスクが生じる可能性があります。このため、Security Center は感染型ウイルスを自動的に隔離しません。これらのウイルスは手動で処理する必要があります。
ランサムウェア対策 (ブービートラップの検出)	Anti-virus、Advanced、Enterprise、および Ultimate	この機能は、新しいタイプのランサムウェアをキャプチャするためのおとりを提供します。ウイルスの動作分析を使用して、新しいランサムウェアに対する防御を自動的に開始します。 Security Center によってサーバーに設定されたおとりファイルは、新しいタイプのランサムウェアをキャプチャするためにのみ使用されます。これらのファイルはサービスを中断しません。レスポンス検出 > セキュリティアラートページに移動し、CWPP タブをクリックし、アラートタイプを高精度防御に設定して、削除されたランサムウェアを表示できます。
Web サイトのバックドア攻撃からの保護	Enterprise および Ultimate	この機能を有効にすると、Security Center は既知の Webshell によって開始された疑わしい接続を自動的にインターセプトし、関連ファイルを隔離します。関連するアラートと隔離されたファイルは、レスポンス検出 > セキュリティアラートページの Cloud Workload Protection Platform (CWPP) タブで表示できます。詳細については、「セキュリティアラートの評価と処理」および「セキュリティアラートの評価と処理」をご参照ください。説明 Enterprise または Ultimate を購入すると、Security Center はデフォルトで Web サイトのバックドア攻撃からの保護機能を有効にし、すべてのサーバーをその検知範囲に追加します。
悪意のあるネットワーク行動からの保護	Advanced、Enterprise、および Ultimate	この機能を有効にすると、Security Center はサーバーと公開されている不正なソースとの間のネットワーク動作をインターセプトし、サーバーのセキュリティを強化します。
能動的な防御体験の最適化	Enterprise および Ultimate	この機能を有効にすると、サーバーが予期せずシャットダウンしたり、防御機能が失われたりした場合に、Security Center はセキュリティ分析のためにサーバーの Kdump データを収集します。これにより、Security Center のセキュリティ保護機能が継続的に向上します。

説明

アクティブディフェンスセクションのすべての機能が無効になっている場合、Security Center はウイルスが検知されたときにのみセキュリティアラートを送信します。その後、コンソールでウイルス関連のアラートを手動で処理する必要があります。アクティブディフェンスセクションのすべての機能を有効にして、サーバーのセキュリティを強化してください。セキュリティアラートの処理方法の詳細については、「セキュリティアラートの評価と処理」をご参照ください。

防御機能の有効化

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護するアセットのリージョンを選択します：Chinese MainlandまたはOutside Chinese Mainland。
設定 > ホスト保護設定 タブで、アクティブディフェンスセクションの 悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、Web サイトのバックドア攻撃からの保護、および 悪意のあるネットワーク行動からの保護をオンにします。
アクティブディフェンスセクションのすべてのスイッチをオンにすると、Security Center は不正なホスト動作、ランサムウェア、異常な Webshell 接続、不正なソースからのアクセスなど、複数の脅威からサーバーを保護します。
プロアクティブ防御タイプの右側にある管理をクリックします。ウイルスまたは不正な動作のインターセプトを有効にするサーバーを選択し、OK をクリックします。
悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、Web サイトのバックドア攻撃からの保護、および 悪意のあるネットワーク行動からの保護サービスを有効にすると、Security Center はウイルスの実行に関連するプログラムやプロセスを自動的にインターセプトし、異常な接続をブロックします。
(任意) 能動的な防御体験の最適化チェックボックスをオンにします。
能動的な防御体験の最適化を選択すると、サーバーで例外が発生したときに Security Center がセキュリティデータを取得し、セキュリティ保護を向上させるのに役立ちます。このオプションを選択することを推奨します。

次のステップ

レスポンス検出 > セキュリティアラート ページの CWPP タブに移動して、コンテナのプロアクティブディフェンスアラートのリストで、プロアクティブ防御機能によって自動的にインターセプトされたウイルスを表示します。検索条件を 処理済みに設定し、アラートタイプに 高精度防御を選択する必要があります。 Precision Defense

説明

悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、および Web サイトのバックドア攻撃からの保護機能を有効にした後、一部のプログラムが誤って脅威として報告されたり、正常に隔離されなかったりする場合があります。

誤検知によりファイルが隔離された場合は、ファイル隔離ボックスから復元できます。詳細については、「セキュリティアラートの評価と処理」をご参照ください。
レスポンス検出 > アラート ページの Cloud Workload Protection Platform (CWPP) タブで、隔離に失敗したイベントを手動で隔離できます。詳細については、「セキュリティアラートの評価と処理」をご参照ください。

Webshell 検知

Webshell 検知機能は、独自の検知エンジンを使用して Web サーバーと Web ディレクトリをスキャンし、Webshell とトロイの木馬プログラムを検出します。定期的な静的および動的検知メカニズムを組み合わせ、ワンクリック手動隔離機能を提供します。Security Center クライアントは、サーバーでこの機能を有効にした後にのみ Webshell 検知を実行します。以下に、検知と処理の機能について説明します：

毎日深夜に Web ディレクトリ全体をスキャンして静的検知を実行します。動的検知は、Web ディレクトリファイルに変更があった場合にトリガーされます。
Webshell 検知のアセット範囲の設定をサポートします。
検知された Webshell ファイルの隔離、回復、無視をサポートします。

説明

無料版は一部のタイプの Webshell 検知のみをサポートします。Security Center の他の有料エディションは、すべてのタイプの Webshell 検知をサポートします。より包括的な Webshell 検知を行うには、Anti-virus、Advanced、Enterprise、または Ultimate エディションにスペックアップしてください。スペックアップ方法の詳細については、「スペックアップとスペックダウン」をご参照ください。

Webshell 検知スイッチの設定

デフォルトでは、Security Center は Security Center クライアントがインストールされているすべてのサーバーで Webshell 検知を有効にします。公開 Web サービスを提供するすべてのサーバーで Webshell 検知を有効にすることを推奨します。サーバーが完全に隔離された内部ネットワーク上にある場合は、次の手順に従ってそのサーバーの Webshell 検知を無効にしてください。

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します：Chinese MainlandまたはOutside Chinese Mainland。
設定 > ホスト保護設定 タブを選択し、Web サイトのバックドア検出セクションで管理をクリックします。
Webshell 検出駆除スコープパネルで、Webshell 検知を無効にするサーバーのチェックボックスをオフにし、OK をクリックします。

Webshell 検知アラートの処理

サーバーで Webshell 検知を有効にすると、Security Center は レスポンス検出 > セキュリティアラート ページの エージェントレス検出タブに Webshell ファイルなどのセキュリティ脅威に関するアラートを表示します。CWPP タブに移動して、タイプが Webshell のアラートを表示および処理できます。Webshell アラートを処理しない場合、アセットに深刻な脅威をもたらす可能性があります。これらのアラートはできるだけ早く処理することを推奨します。

説明

Security Center の無料版では、Webshell アラートのワンクリック処理はサポートされていません。Anti-virus エディション以上のエディションを使用している場合は、コンソールでワンクリックで検知された Webshell ファイルを隔離できます。詳細については、「セキュリティアラートの評価と処理」をご参照ください。

適応型脅威検知

適応型脅威検知機能はデフォルトで無効になっており、手動で有効にする必要があります。この機能を有効にすると、Security Center がサーバー上で高リスクの脅威 (高リスクアラート) を検知した場合、サーバークライアントで 7 日間、厳格アラートモードが自動的に有効になります。厳格アラートモードでは、すべてのセキュリティルールとエンジンが有効になり、疑わしい侵入や潜在的な脅威に対してアラートを発します。これにより、ハッカーの活動をより包括的に検知できます。

説明

Security Center は、サーバーに対して 7 日間、厳格アラートモードを自動的に有効にします。この期間中に手動でサーバーの保護モードを設定した場合、Security Center は 7 日後に厳格アラートモードを自動的に無効にしません。サーバーは、手動で設定した保護モードを引き続き使用します。

バージョン制限

必須サブスクリプション：Enterprise または Ultimate。別のエディションを使用している場合は、スペックアップする必要があります。
説明
購入したエディションに合わせてサーバー保護エディションを設定してください。詳細については、「サーバーに保護エディションを適用する」をご参照ください。
従量課金サービス：この課金方法は Host and Container Securityに必要です。サービスを有効にするには、「購入」をご参照ください。
説明
サーバー保護レベルは Host Protectionまたは Host and Container Protectionに設定する必要があります。詳細については、「サーバーに保護レベルを適用する」をご参照ください。

適応型脅威検知の有効化

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護したいアセットが配置されているリージョンを選択します：Chinese MainlandまたはOutside Chinese Mainland。
設定 > ホスト保護設定 タブを選択し、アダプティブ脅威検出機能セクションの コンテナのプロアクティブディフェンススイッチをオンにします。
説明
Security Center にクラウドリソースへのアクセスをまだ権限付与していない場合は、まずページ上のプロンプトに従って権限付与を完了してください。この操作により、Security Center がクラウドリソースにアクセスできるようになります。権限付与が成功すると、Resource Access Management サービスは Authorization for Security Center Service-linked Roleサービス用のサービスリンクロールを自動的に作成します。Security Center はこのロールを使用して、他のプロダクトのクラウドリソースにアクセスし、セキュリティ保護を提供します。詳細については、「Security Center のサービスリンクロール」をご参照ください。

アラート設定

Security Center は、さまざまなシナリオでのセキュリティニーズを満たすために、サーバーアラートに対して異なるアラートモードを提供します。デフォルトでは、Security Center は接続されているすべてのサーバーに対して バランスモードを有効にします。このモードは、Alibaba Cloud の専門家による包括的なテストに基づいており、低い誤検知率を維持しながら、より多くの疑わしいリスクを検知します。

アラートモードの変更

サーバーに対してより厳格な検知が必要な場合は、サーバーのアラートモードを Strict Modeに変更できます。

重要

Strict Modeでは、Alibaba Cloud はより多くの疑わしい動作を検知し、より多くのアラートを生成します。ただし、このモードは誤検知のリスクが高くなります。重要イベントサポート期間中は、このモードを慎重に使用してください。

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護したいアセットが配置されているリージョンを選択します：Chinese MainlandまたはOutside Chinese Mainland。
設定 > ホスト保護設定 を選択し、アラート設定セクションで、Strict Modeの右側にある管理をクリックします。
Strict Modeを有効にするサーバーを選択し、OK をクリックします。

参考資料

サーバーごとに異なる不正なホスト動作の防御ルールを作成するには、Security Center の不正動作防御機能を使用できます。
セキュリティアラートの評価と処理