ホスト保護設定タブで機能を有効にする方法 - Security Center

Security Center は、悪意のあるホスト行動からの保護、ランサムウェア対策、Webshell 防止などのさまざまな機能を提供します。これらの機能を有効にすることで、サーバーを保護できます。このトピックでは、ホスト保護設定タブで有効にできる機能と、その有効化方法について説明します。

プロアクティブ防御

概要

プロアクティブ防御は、一般的なウイルス、悪意のあるネットワーク接続、Webshell 接続を自動的に遮断します。プロアクティブ防御では、おとりを使用してランサムウェアをキャプチャすることもできます。次の表に、プロアクティブ防御の機能を示します。

機能	サポート対象エディション	説明
悪意のあるホスト行動からの保護	ウイルス対策、Advanced、Enterprise、Ultimate	悪意のあるホスト行動からの保護機能は、ランサムウェア、DDoS トロイの木馬、マイニングプログラム、トロイの木馬、悪意のあるプログラム、Webshell、コンピューターワームなどの一般的なネットワークウイルスを自動的に検出して削除するのに役立ちます。 Security Center ウイルス対策以上を購入すると、Security Center はすべてのサーバーで悪意のあるホスト行動からの保護機能を自動的に有効にします。 Security Center エディション間の機能の違い Security Center ウイルス対策は、トロイの木馬やマイニングプログラムなどの一般的なウイルスを自動的にブロックできます。 Security Center Advanced、Enterprise、Ultimate は、より包括的な防御機能を提供します。これらのエディションは、Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) フレームワークにおける一般的な攻撃を効果的に遮断し、一般的なサービスやアプリケーションでの大規模な侵入イベントを遮断し、一般的なランサムウェアの暗号化動作をブロックし、カスタムルールをサポートしてホストを保護します。カスタム防御ルールの詳細については、「ホスト固有のルール管理機能を使用する」をご参照ください。説明コンピューターウイルスは悪意のあるプログラムの一種です。ウイルスは、実行のために悪意のあるコードを通常のプログラムファイルに書き込むことができます。これにより、多数の通常のプログラムが感染し、ウイルスホストとして検出されます。コンピューターウイルスはシステムプロセスを危険にさらします。システムプロセスが予期せず終了すると、システムの安定性にリスクが生じます。Security Center はコンピューターウイルスを自動的に隔離しません。ウイルスは手動で処理する必要があります。
ランサムウェア対策 (ブービートラップの検出)	ウイルス対策、Advanced、Enterprise、Ultimate	この機能は、おとりを使用して新しいタイプのランサムウェアをキャプチャし、そのパターンを分析してサーバーを保護します。 Security Center によってサーバーに構成されたおとりファイルは、新しいタイプのランサムウェアをキャプチャするためにのみ使用されます。ファイルがサービスを中断することはありません。[CTDR] > [アラート] ページに移動し、[CWPP] タブをクリックし、[アラートタイプ] を [高精度防御] に設定して、削除されたランサムウェアを表示できます。
Web サイトのバックドア攻撃からの保護	Enterprise および Ultimate	この機能を有効にすると、Security Center は既知の Webshell によって開始された疑わしい接続を自動的に遮断し、関連ファイルを隔離します。[CTDR] > [アラート] ページに移動し、[CWPP] タブをクリックして、関連するアラートと隔離されたファイルを表示できます。詳細については、「セキュリティアラートの分析と処理」および「セキュリティアラートの分析と処理」をご参照ください。説明 Security Center Enterprise または Ultimate を購入すると、Security Center はすべてのサーバーで Webshell 防止機能を自動的に有効にします。
悪意のあるネットワーク行動からの保護	Advanced、Enterprise、Ultimate	この機能を有効にすると、Security Center はサーバーと公開されている悪意のあるアクセスソース間の異常なネットワーク動作を遮断します。これにより、サーバーのセキュリティが強化されます。
能動的な防御体験の最適化	Enterprise および Ultimate	この機能を有効にすると、サーバーが予期せずシャットダウンした場合や防御機能が利用できなくなった場合に、Security Center は保護分析のためにサーバーの kdump データを収集します。これにより、Security Center の保護機能が継続的に強化されます。

説明

アクティブディフェンス セクションのすべての機能が無効になっている場合、Security Center はウイルスが検出されたときにのみアラートを送信します。Security Center コンソールにログインして、アラートを手動で処理する必要があります。サーバーのセキュリティを強化するために、アクティブディフェンス セクションのすべての機能を有効にすることをお勧めします。詳細については、「セキュリティアラートの分析と処理」をご参照ください。

プロアクティブ防御の機能を有効にする

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
[設定] > ホスト保護設定 タブで、アクティブディフェンス セクションの 悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、Web サイトのバックドア攻撃からの保護、悪意のあるネットワーク行動からの保護 をオンにします。
アクティブディフェンス セクションのすべてのスイッチをオンにすると、Security Center はサーバーに対して、悪意のあるホストの動作の防止、ランサムウェア対策、Webshell 防止、悪意のあるソースへのアクセスに対する防御の機能を有効にします。
各機能の右側にある管理をクリックして、検出範囲を設定します。表示されるパネルで、機能を有効にするサーバーを選択し、[OK] をクリックします。
[プロアクティブ防御] セクションで 悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、Web サイトのバックドア攻撃からの保護、悪意のあるネットワーク行動からの保護 をオンにすると、Security Center は検出されたウイルスに関連するプログラムやプロセスを自動的にブロックし、疑わしい接続を遮断します。
任意。 能動的な防御体験の最適化 を選択します。
能動的な防御体験の最適化 を選択すると、Security Center は例外発生時にサーバーのセキュリティを反映するサーバーデータを収集します。サーバーのセキュリティを強化するために、[プロアクティブ防御におけるユーザーエクスペリエンスの最適化] を選択することをお勧めします。

次のステップ

[CTDR] > [アラート] ページに移動し、[CWPP] タブをクリックして、[高精度防御] のリストでプロアクティブ防御によって隔離されたウイルスを表示できます。ウイルスを表示するには、ステータスのドロップダウンリストから [処理済み] を選択し、[アラートタイプ] の下にある [高精度防御] をクリックします。精准防御

説明

悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、Web サイトのバックドア攻撃からの保護 をオンにした後、誤検知や隔離の失敗が発生する可能性があります。

誤検知により一部のファイルが隔離された場合は、[隔離されたファイル] パネルで隔離されたファイルを復元できます。詳細については、「セキュリティアラートの分析と処理」をご参照ください。
[CTDR] > [アラート] ページに移動し、[CWPP] タブをクリックして、Security Center が隔離に失敗したファイルを手動で隔離できます。詳細については、「セキュリティアラートの分析と処理」をご参照ください。

Webshell の検出と削除

Webshell の検出と削除機能は、Alibaba Cloud が開発したエンジンを使用して一般的な Webshell ファイルをスキャンし、スケジュールされたスキャンタスクをサポートし、リアルタイム保護を提供し、ワンクリックで Webshell ファイルを隔離できます。この機能は、サーバーと Web ディレクトリを定期的にスキャンして Webshell とトロイの木馬を検出します。Security Center は、サーバーの Webshell 検出と削除を有効にした後にのみ、サーバーで Webshell 検出タスクを実行し、アラートを生成します。Webshell の検出と削除の方法は次のとおりです。

毎日深夜に Web ディレクトリ全体をスキャンして静的検出を実行します。動的検出は、Web ディレクトリファイルに変更があった場合にトリガーされます。
Webshell 検出のアセット範囲の構成をサポートします。
検出された Webshell ファイルの隔離、回復、無視をサポートします。

説明

Security Center Basic は一部のタイプの Webshell のみを検出します。すべてのタイプの Webshell を検出する場合は、Security Center Basic をウイルス対策、Advanced、Enterprise、または Ultimate エディションにアップグレードすることをお勧めします。詳細については、「Security Center のアップグレードとダウングレード」をご参照ください。

サーバーの Webshell 検出と削除を有効にする

Security Center は、Security Center エージェントがインストールされているサーバーに対して、デフォルトで Webshell 検出と削除機能を有効にします。パブリック Web サービスを提供するサーバーに対して、Webshell 検出と削除機能を有効にすることをお勧めします。サーバーがインターネットから完全に隔離されている場合は、以下の手順に従ってサーバーの Webshell 検出と削除機能を無効にできます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
[設定] > ホスト保護設定 タブで、Web サイトのバックドア検出 セクションの管理をクリックします。
Webshell 検出駆除スコープ パネルで、Webshell の検出と削除を無効にするサーバーの選択を解除し、[OK] をクリックします。

Webshell アラートの処理

サーバーの Webshell 検出と削除を有効にすると、Security Center がサーバー上で Webshell ファイルなどのセキュリティ脅威を検出したときに、[CTDR] > [アラート] ページの [CWPP] タブでタイプが Webshell のアラートを表示できます。アラートを処理しない場合、アラートがサーバーに脅威をもたらす可能性があります。できるだけ早くアラートを処理することをお勧めします。

説明

ワンクリックでの Webshell アラート処理機能は、Security Center の Basic エディションでは利用できません。ウイルス対策エディション以上のユーザーは、コンソールでワンクリックで検出された Webshell ファイルを隔離できます。詳細については、「セキュリティアラートの分析と処理」をご参照ください。

動的な適応型脅威検出機能

デフォルトでは、適応型脅威検出機能は無効になっています。この機能は手動で有効にする必要があります。適応型脅威検出機能が有効になった後、Security Center がサーバーで高リスクの侵入を検出すると、Security Center は自動的にサーバーの厳格なアラートモードを 7 日間有効にします。このモードでは、すべての保護ルールとセキュリティエンジンが有効になり、より包括的な方法で侵入を検出します。

説明

7 日間の期間中にサーバーの保護モードを手動で構成した場合、サーバーは構成された保護モードで実行されます。7 日間の期間が経過した後、厳格なアラートモードは自動的に無効にならず、サーバーは構成した保護モードで引き続き実行されます。

制限事項

エディション要件

サブスクリプション: Enterprise または Ultimate (下位のエディションを使用している場合はアップグレードする必要があります)。
説明
サーバーの保護エディションは Enterprise または Ultimate に設定する必要があります。詳細については、「サーバーに保護エディションをアタッチする」をご参照ください。
従量課金: Host and Container Security で従量課金の課金方法を有効にする必要があります。この課金方法が有効になっていない場合は、「購入」をご参照ください。
説明
サーバーの保護レベルは Host Protection または Host and Container Protection である必要があります。詳細については、「サーバーに保護レベルをアタッチする」をご参照ください。

適応型脅威検出を有効にする

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
[設定] > ホスト保護設定 タブで、アダプティブ脅威検出機能 セクションの [動的な適応型脅威検出] をオンにします。
説明
Security Center にクラウドリソースへのアクセスを権限付与していない場合は、画面の指示に従って権限付与を完了する必要があります。これにより、Security Center はクラウドリソースへのアクセスを許可されます。権限付与が成功すると、Resource Access Management (RAM) は自動的に [AliyunServiceRoleForSas] という名前のサービスリンクロールを作成します。Security Center はこのロールを偽装してクラウドリソースにアクセスし、リソースを保護できます。詳細については、「Security Center のサービスリンクロール」をご参照ください。

アラート設定

Security Center は、さまざまなシナリオでのセキュリティ要件を満たすために、サーバーごとに異なるアラートモードをサポートしています。デフォルトでは、Security Center は、Security Center に追加されたすべてのサーバーに対して バランスモード を有効にします。このモードでは、Security Center は誤検知率を最小限に抑えながら、できるだけ多くのリスクを検出しようとします。このモードは Alibaba Cloud の専門家によってテストされています。

アラートモードの変更

サーバー上のリスクをより厳格に検出したい場合は、サーバーのアラートモードを Strict Mode に変更できます。

重要

Strict Mode を有効にすると、Alibaba Cloud はより多くの疑わしい動作を検出し、アラートを生成します。ただし、このモードでは誤検知率が高くなります。主要なイベント中にこのモードを有効にすることをお勧めします。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
[設定] > ホスト保護設定 タブで、アラート設定 セクションの Strict Mode の [保護されたアセット] の右側にある管理をクリックします。
Strict Mode を有効にするサーバーを選択し、[OK] をクリックします。

Security Center:ホスト保護設定タブで機能を有効にする