すべてのプロダクト
Search

このプロダクト

    Security Center:セキュリティインシデントの評価と処理 - Agentic SOC

    ドキュメントセンター

    Security Center:セキュリティインシデントの評価と処理 - Agentic SOC

    最終更新日:Jan 23, 2026

    セキュリティインシデントは、その影響を評価し、攻撃対象領域を分析することで処理できます。このプロセスには、誤検知の特定や即時修正の実行が含まれます。推奨される応答ポリシーの使用、インシデントステータスの更新、インシデントのホワイトリストへの追加、プレイブックの実行が可能です。これらの操作により、システムのセキュリティを維持し、正常な運用を確保できます。

    セキュリティインシデント処理のフローチャート

    image

    セキュリティイベントレスポンスの評価

    セキュリティインシデントを処理する前に、その影響を評価し、攻撃対象領域を分析する必要があります。これには、システムの運用中断を避けるための誤検知の特定も含まれます。インシデント詳細ページには、この評価に必要な情報が記載されています。

    インシデント詳細ページへの移動

    1. Security Center コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > セキュリティイベントの処理を選択します。

    3. [発生期間] を選択して、セキュリティインシデントを検索します。

      重要

      • セキュリティイベントの処理 ページには、過去 180 日間に発生したインシデントのみが表示されます。

      • システム設定 > 通知設定 ページで、インシデント通知を有効にできます。これにより、通知からの情報 (インシデント名など) を使用して、インシデントを迅速に見つけることができます。

    4. [操作] 列で、詳細 ボタンをクリックして、インシデント詳細ページに移動します。

    評価方法と例

    、イベントの Overview 情報、Timeline 情報、セキュリティアラート、および Entity の情報を使用して、イベントの緊急性、影響範囲、および誤検知であるかどうかを評価できます。

    Overview エリア

    このエリアでは、イベントの基本情報とその ATT&CK 攻撃段階が提供されます。影響を受けるアセット数、関連アラート数、発生時刻、アラートソースなどのデータを使用して、セキュリティイベントの処理が必要かどうかを評価できます。

    評価例:

    • 影響を受けるアセット数:データベースサーバーやアプリケーションサーバーなどのコアビジネスアセットを含む多くのアセットが影響を受けている場合、イベントの影響は大きく、優先度の高い処理が必要です。

    • 関連アラート数:関連アラート数が多いほど、イベントの範囲が広く、潜在的なリスクが大きいことを示します。

    • 発生時刻:最近のイベントは、まだ影響を及ぼしている可能性があるため、過去のイベントよりも迅速に処理する必要があります。

    • アラートソース:アラートの信頼性と深刻度はソースによって異なります。専用のウイルススキャンモジュールなど、権威ある検出モジュールからのアラートは、対応するイベントのリスクが高いことを示します。

    Timeline

    このタブでは、攻撃のタイムラインとイベントチェーン図を表示できます。ビッグデータ分析エンジンがデータを処理、集約、可視化してイベントチェーン図を形成します。この図は、イベントの原因を迅速に特定し、処理ポリシーを作成するのに役立ちます。詳細を表示するには、次の手順を実行します:

    1. image アイコンをクリックして全画面モードに入ります。

    2. イベントチェーン図のノードをクリックして、その詳細を表示します。

    タイムラインを使用して、セキュリティイベントの処理が必要かどうかを評価します。以下は評価の例です:

    • タイムラインで、初期の小規模な探索的攻撃アラートが、すぐに複数の密接に関連する異なるタイプの攻撃アラートに発展した場合、そのセキュリティイベントは高リスクであり、直ちに処理する必要があります。特に、攻撃のペースが加速し、影響を受けるアセットの範囲が拡大している場合はそうです。

    • タイムラインに長期間新しい関連アラートが表示されず、攻撃行動がさらに広がる兆候がない場合、処理の優先度は相対的に低くできます。

    セキュリティアラート

    このタブでは、このイベントに集約されたすべてのセキュリティアラートのリストを表示できます。アラート数、防御策、発生時刻など、多次元のアラート統計を使用して、攻撃方法、攻撃段階、および適切な処理計画を決定できます。以下は評価の例です:

    • 同じタイプまたは関連するタイプの多くのアラートは、大規模な攻撃またはより深刻な脅威を示している可能性があります。

    • 防御策については、講じられた措置が攻撃を効果的にブロックしたかどうかを判断します。防御策が失敗したか不十分な場合、イベント処理の緊急性が高まります。

    • 最近のセキュリティアラートの [発生時刻] が特定の期間に集中している場合、攻撃がアクティブな段階にあることを示している可能性があります。

    Entity

    このセクションには、イベントから抽出されたエンティティが表示されます。サポートされているエンティティタイプには、ホスト、ファイル、プロセス、IP アドレス、ホストアカウントが含まれます。次のディメンションからエンティティを表示および管理できます:

    • すべてのエンティティ:イベントから抽出されたすべてのエンティティを表示します。過去 30 日間の関連イベント、関連アラート、および関連処理タスクの数を表示し、プレイブックの実行などの操作を実行できます。

    • 影響を受けるアセット:イベントによって影響を受けたアセットを表示します。これにより、アセットへの影響範囲を迅速に評価できます。

    影響を受けるエンティティを使用して、セキュリティイベントの処理が必要かどうかを評価します。以下は評価の例です:

    • エンティティ詳細では、IP アドレスエンティティの基本情報、その Alibaba Cloud 脅威インテリジェンス、および過去 30 日間の関連イベント、アラート、処理タスクの数を表示できます。これらの数が高い場合、攻撃者が継続的にその IP アドレスを攻撃に使用している可能性があります。この IP アドレスをブロックするなど、処理する必要があります。

    • 影響を受けるアセット タブで、同じ期間内に複数のアセットが同じ IP アドレスから攻撃された場合、これはその IP アドレスからの標的型攻撃を示している可能性があります。この IP アドレスをブロックするなど、処理する必要があります。

    Response Activity

    [応答アクティビティ] セクションでは、イベント調査、リスク分析、および応答処理プロセスの完全な記録が提供されます。また、主要な処理ポリシー、タスク、および Activity Log へのアクセスも提供します。これにより、チームメンバーは共同作業中に調査の進捗状況と処理情報を共有できます。イベント後、イベントアクティビティをレビューして要約し、将来の応答を改善できます。

    セキュリティインシデントへの応答

    セキュリティインシデントの処理

    ソリューション

    説明

    推奨される処理ポリシーの使用

    • Security Center は、Alibaba Cloud のセキュリティ専門家の経験に基づいたイベント処理方法を提供します。これらの方法は推奨処理ポリシーと呼ばれます。

    • 推奨処理ポリシーを使用してセキュリティイベント内の悪意のあるエンティティを処理すると、イベントステータスとその関連アラートが更新されます。

    説明

    推奨される処理ポリシーの使用 パネルが空の場合、現在のエンティティに利用可能な組み込みの処理ポリシーはありません。

    Add to Whitelist/Add Alert to Whitelist

    • Add Alert to Whitelist:無害であることが確認されたプログラム、IP、または動作をホワイトリストに追加して、アラートが再度トリガーされないようにします。

      重要

      Add Alert to Whitelist は、Cloud Workload Protection Platform (CWPP) のアラート (つまり、ホストおよびコンテナーのアラート) のみをサポートします。

    • Add to Whitelist (自動応答ルール):同じアラートが再度発生した場合、そのステータスは「ホワイトリスト登録済み」に更新され、セキュリティイベントとは関連付けられなくなります。

    スクリプトの実行

    Security Center は、Alibaba Cloud のセキュリティ専門家の経験に基づいた一連の組み込みプレイブックを提供します。これらのプレイブックを使用して、悪意のあるエンティティを処理します。例としては、オフラインのホスト調査、詳細なウイルススキャン、WAF との統合による IP ブロックなどがあります。

    Update Incident Status

    • イベントが誤検知であるか、関連するすべてのセキュリティアラートとエンティティを手動で処理した場合、イベントステータスを 処理済み に変更します。

    • 処理済みのイベントのステータスを Unhandled または Handling にリセットすることもできます。

    セキュリティイベントの自動処理

    脅威の分析と応答 の応答オーケストレーション機能は、セキュリティ脅威イベントをバッチで自動的に処理します。

    推奨される処理ポリシーの使用

    手順

    1. イベント詳細ページに移動します。Entity タブで、推奨される処理ポリシーの使用 ボタンをクリックします。

      説明

      セキュリティイベントの処理 ページで、対象のイベントについて、操作する 列の Response をクリックするか、推奨される処理ポリシーの使用 を選択します。

    2. 推奨される処理ポリシーの使用 パネルで、処理したい悪意のあるエンティティを選択します。

    3. (オプション) 処理ポリシーを変更します。エンティティの [操作] 列で、編集 をクリックします。Edit Policy パネルで、ブロックルールの宛先アカウントや操作の有効期間などのパラメーターを変更します。

      • 操作の有効期間:処理ポリシーが有効な期間。この期間が過ぎると、ポリシーは自動的に無効になります。

      • 宛先アカウント:現在のアカウントと管理可能なメンバーアカウント。メンバーアカウントの管理方法の詳細については、「複数アカウントのセキュリティ管理」をご参照ください。

    4. Confirm and update the incident status. をクリックします。Update Incident Status ダイアログボックスで、Event StatusHandling または 処理済み に設定し、OK をクリックします。

      重要

      この手順を完了すると、Security Center は自動的に処理ポリシーを作成し、処理タスクを実行します。処理タスクが失敗した場合、イベントステータスは 処理に失敗しました に変わります。それ以外の場合、イベントステータスはここで設定したステータスに変わります。

      • Handling:現在の処理操作に加えて、即時修正、原因追跡、脆弱性修正など、イベント処理に関連する他のアクションがあることを示します。

      • 処理済み:現在の操作以外に後続の処理アクションがないことを示します。影響は次のとおりです:

        • 関連アラートのステータスを Handled in the security incident に更新します。

        • 後続のアラートは新しいセキュリティイベントを生成し、現在のイベントとは関連付けられなくなります。

    操作の影響

    • この操作は、他の Alibaba Cloud プロダクトと連携してイベント応答を行い、IP アドレスのブロックなど、悪意のあるエンティティを処理します。

    • 推奨される処理ポリシーの使用 を使用してイベントのステータスを 処理済み に変更すると、システムはイベントに関連付けられているすべての未処理アラートのステータスを Handled in the security incident に変更します。イベント処理情報もアラート詳細に追加されます。その後、新しいアラートは現在のセキュリティイベントとは関連付けられなくなり、代わりに新しいセキュリティイベントを生成します。

      重要

      Cloud Workload Protection Platform (CWPP) の「精密防御」アラートの場合、デフォルトのステータスは「処理済み」(防御のみ、通知なし) です。セキュリティイベントのステータスを更新しても、これらのアラートのステータスには影響しません。

    • 推奨される処理ポリシーの使用 オプションを使用してイベントのステータスを Handling に変更した場合、関連アラートのステータスは影響を受けません。引き続き新しいアラートをイベントに関連付けることができます。

    ホワイトリストへの追加

    セキュリティイベントを処理する際、セキュリティアラートをホワイトリストに追加できます。2 つの方法があります:Add to Whitelist (自動応答ルール) または Add Alert to Whitelist。システムは、通常のプログラム活動に対してアラートを生成することがあります。たとえば、異常なアウトバウンド TCP パケットを送信する疑わしいプロセスは、通常のビジネスインタラクションの一部である可能性があります。疑わしいスキャン動作は、通常のネットワークチェックである可能性があります。これらの項目をホワイトリストに追加することで、Security Center が通常のプログラムや動作に対して繰り返しアラートを生成するのを防ぎます。

    相違点

    Add to Whitelist (自動応答ルール)

    Add Alert to Whitelist

    サポートされるアラート

    すべてのアラート。

    Cloud Workload Protection Platform (CWPP) のアラート。

    現在のアラートへの影響

    影響なし。

    • 現在のアラートのステータスは Manually Add to Whitelist に変更されます。

    • 同じアラートが再度発生した場合、新しいアラートは生成されず、代わりに現在のアラートの最終発生時刻が更新されます。

    ルールの仕組み

    • 応答オーケストレーション 機能を使用して 自動応答ルール を作成し、アラートをフィルタリングします。

    • ホワイトリストの条件が必要です。ホワイトリストのフィールドは、アラートの特徴的なフィールドと、アラートから抽出されたエンティティのプロパティから派生します。

    ホワイトリストの条件は不要です。ホワイトリストのフィールドは、アラートを生成したルール、タグ、イメージ名など、現在のセキュリティアラートに関連する情報から派生します。

    説明

    この情報は、アラート詳細ページの More Information セクションで表示できます。

    Add Alert to Whitelist

    手順

    1. イベント詳細ページに移動します。セキュリティアラート タブで、ホワイトリストに登録するアラートを選択し、[操作] 列の Add Alert to Whitelist をクリックします

    2. (オプション) 新しいアラートホワイトリストルールを追加します。Create Rule をクリックして、複数のホワイトリストルールを設定できます。

      重要

      • 複数のルールは「OR」関係にあり、いずれかの条件が満たされればルールが有効になります。

      • 設定するルールの精度を確保し、範囲が広くなりすぎないようにしてください。たとえば、「パスに /data/ を含む」と設定すると、他の機密性の高いサブディレクトリが誤ってホワイトリストに登録され、セキュリティリスクが増大する可能性があります。

      各ルールには、左から右に 4 つの設定ボックスがあり、以下のように説明されます:

      1. アラート情報フィールド:詳細ページの More Information で、現在のアラートでサポートされているアラート情報フィールドを確認できます。

      2. 条件タイプ:正規表現に一致、より大きい、等しい、より小さい、含むなどの操作をサポートします。いくつかのルールの説明は次のとおりです:

        • 正規表現:正規表現を使用して、特定のパターンのコンテンツを正確に照合します。たとえば、「/data/app/logs/」フォルダ以下のすべてのコンテンツをホワイトリストに登録するには、「パスが正規表現に一致: ^/data/app/logs/.*」というルールを設定します。これにより、そのフォルダとそのサブディレクトリ内のすべてのファイルまたはプロセスが照合されます。

        • キーワードを含む:「パスに D:\programs\test\ を含む」というルールを設定します。パスにこのフォルダを含むすべてのイベントがホワイトリストに登録されます。

      3. 条件値:定数と正規表現をサポートします。

      4. 適用対象アセット:

        • すべてのアセット:新しく追加されたアセットと既存のすべてのアセットに有効です。

        • 現在のアセットのみ:現在のアラートに関与するアセットにのみ有効です。

    3. OK をクリックします。

    操作の影響

    警告

    アラートがホワイトリストに登録されると、同じまたは一致するアラートの通知は送信されなくなります。この機能は注意して使用してください。

    • 現在のアラートについて

      • 現在のアラートのステータスは Manually Add to Whitelist に変更されます。

      • 同じアラートが再度発生した場合、新しいアラートは生成されず、代わりに現在のアラートの最新の発生時刻が更新されます。

        同じアラートとは?

        同じアラートとは、アラートの特徴が非常に一致するセキュリティ脅威を指します。例:

        • ウイルス関連のアラート:同じアセット、ウイルスファイルのパス、およびウイルスファイルの MD5。

        • 異常なログイン:同じアセットとログイン IP アドレス。

    • 後続のアラートについて

      • 特定のホワイトリストルールを設定した場合、Security Center はこのルールに一致するアラートをセキュリティイベントに関連付けなくなります。

      • カスタムホワイトリストルールに一致するアラートが再度発生した場合、それは自動的に処理済みリストに追加され、ステータスは Automatically Add to Whitelist となり、アラート通知は送信されません。

    • その他のアラートについて:ホワイトリストルールは、指定されたアラート名で条件を満たすアラートにのみ有効です。ルールが設定されていない他のアラートには影響しません。

    ホワイトリスト登録のキャンセル

    • 自動ホワイトリストルールのキャンセル

      重要

      • この操作は、後続に生成されるアラートにのみ影響します。ホワイトリストルールに一致するアラートは、自動的にホワイトリストに登録されなくなります。

      • すでに処理されたアラートには影響しません。アラートのステータスは変更されません。

      1. にログインします。左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラートを選択します。

        説明

        Agentic SOC サービスを購入している場合は、左側のナビゲーションウィンドウで 脅威の分析と応答 > セキュリティアラート を選択します。

      2. CWPP タブの右上隅にある Cloud Workload Alert Management をクリックし、セキュリティアラートの設定 を選択します。

      3. セキュリティアラートの設定 ページの アラート処理ルール セクションで、[処理方法] を Automatically Add to Whitelist に設定します。

      4. 対象のルールを見つけ、[操作] 列の [削除] をクリックして、自動ホワイトリストルールをキャンセルします。

    • アラートのホワイトリスト登録のキャンセル

      重要

      ホワイトリスト登録をキャンセルすると、アラートは Unhandled アラートリストに再表示されます。アラートを再評価して処理する必要があります。

      1. にログインします。左側のナビゲーションウィンドウで、レスポンス検出 > セキュリティアラートを選択します。

        説明

        Agentic SOC サービスを購入している場合は、左側のナビゲーションウィンドウで 脅威の分析と応答 > セキュリティアラート を選択します。

      2. CWPP タブで、Handled or Not フィルターを 処理済み に設定します。

      3. ホワイトリストから削除したいアラートデータを見つけ、[操作] 列の Remove from Whitelist ボタンをクリックして、現在のアラートのホワイトリスト登録をキャンセルします。

        説明

        複数のアラートデータ項目を選択し、リストの下部にある Remove from Whitelist ボタンをクリックして、一括キャンセルを実行することもできます。

      image

    Add to Whitelist (自動応答ルール)

    手順

    1. セキュリティイベントの処理 リストで、対象のイベントを見つけます。操作する 列で、Response の下にある Add to Whitelist をクリックします。

      説明

      または、イベント詳細ページで、右上隅の Incident Response の下にある Add to Whitelist ボタンをクリックすることもできます。また、[セキュリティアラート] タブに移動し、セキュリティアラートを見つけて、操作する 列の Add to Whitelist をクリックすることもできます。

    2. 次のパラメーターを設定し、OK をクリックします。

      • ルール名:ルールに明確でわかりやすい名前を設定します。例:「Event_Handling_Whitelist_Backdoor_Shell」。

      • Trigger:デフォルト値は アラートのトリガー です。これは変更できません。

      • Rule Action:デフォルト値は Add Alert to Whitelist です。これは変更できません。

      • その他の設定については、「トリガーと実行ルールの設定」をご参照ください。

    影響

    • 現在のイベント:イベントステータスは変更されません。ステータスを変更するには、手動で Update Incident Status 操作を実行する必要があります。

    • 現在のアラート:影響なし。

    • 後続のアラート:ホワイトリストルール (自動応答ルール) に一致するアラートについては、次の変更が発生します:

      • アラートが Cloud Workload Protection Platform (CWPP) アラートの場合、そのステータスは自動的に Automatically Add to Whitelist に更新されます。アラートが Agentic SOC アラートの場合、Add to Whitelist フィールドは [はい] に更新されます。どちらの場合も、アラート通知は送信されなくなります。

      • ホワイトリストルール (自動応答ルール) に一致するアラートは、現在のイベントとは関連付けられなくなります。

    ホワイトリストポリシーのキャンセル

    ホワイトリストポリシーをキャンセルし、後続のアラートがイベントに関連付けられたり、新しいイベントを生成したりできるようにするには、次の手順に従います:

    説明

    元の Add Event to Whitelist を管理するには、脅威の分析と応答 > セキュリティイベントの処理 ページに移動し、右上隅の イベントのホワイトリスト追加設定 をクリックします。

    1. 脅威の分析と応答 > 応答オーケストレーション ページの 自動応答ルール タブに移動します。

    2. 対象のルールを見つけ、Enabling Status スイッチをオフにします。

    3. 操作する 列で、削除 をクリックします。

    スクリプトの実行

    手順

    1. イベント詳細ページで、Entity タブで処理するエンティティを見つけます。

    2. [操作] 列で、スクリプトの実行 をクリックします。[プレイブックを実行] 設定ページで、以下のようにプレイブックのパラメーターを設定します。

      • プレイブック:システムは、現在のエンティティのタイプに基づいて、対応する組み込みプレイブックを自動的に取得します。

        重要

        組み込みのプレイブックがニーズを満たさない場合は、脅威の分析と応答 が提供する 応答オーケストレーション機能を使用して、カスタムプレイブックを作成できます。

      • 操作の有効期間:プレイブックが実行される期間。この期間が過ぎると、プレイブックは実行されなくなります。

      • 宛先アカウント:現在のアカウントと管理可能なメンバーアカウント。メンバーアカウントの管理方法の詳細については、「複数アカウントのセキュリティ管理」をご参照ください。

    3. [OK] をクリックします。

    操作の影響

    イベントはプレイブックで設定されたプロセス (IP アドレスのブロックなど) に従って処理され、イベントステータスは「処理済み」に変更されます。

    Update Incident Status

    手順

    1. イベント詳細ページで、右上隅の Incident Response ドロップダウンリストをクリックし、Update Incident Status を選択します。または、[セキュリティイベント] ページで対象のイベントを見つけ、[操作] 列の Response ドロップダウンリストをクリックし、Update Incident Status を選択します。

    2. Update Incident Status ダイアログボックスで、処理済みUnhandled、または Handling を選択します。

    3. (オプション) 「手動で処理しました」、「無視」、「手動でホワイトリストに登録」、「再処理」などの備考を追加します。

    操作の影響

    • ステータスを 処理済み に更新した場合:

      • イベントに関連付けられているすべての未処理アラートは Handled in the security incident ステータスに更新され、セキュリティイベント操作に関する情報がアラート詳細に追加されます。

        重要

        Cloud Workload Protection Platform (CWPP) の「精密防御」アラートの場合、デフォルトのステータスは「処理済み」(防御のみ、通知なし) です。セキュリティイベントのステータスを更新しても、これらのアラートのステータスには影響しません。

      • 後続のアラートは現在のセキュリティイベントとは関連付けられなくなります。それらは新しいセキュリティイベントを生成します。

    • イベントのステータスが Unhandled または Handling の場合、別の処理方法を選択できます。

    セキュリティイベントの自動処理

    脅威の分析と応答 の応答オーケストレーション機能を使用して、セキュリティイベントを自動的に処理できます。プレイブックと自動応答ルールを設定して、セキュリティ脅威イベントをバッチで自動的に処理します。詳細については、「応答オーケストレーション」をご参照ください。

    イベントプロパティの管理

    管理操作

    手順

    Update Owner

    セキュリティイベントの対応には、複数のチームやメンバーが関与することがよくあります。明確なワークフローを確保するために、プロセスのさまざまな段階でイベントのオーナーを割り当てたり変更したりします。

    Update Incident Level

    イベントのリスクレベルを調整します。自動的に割り当てられたリスクレベルが高すぎるか低すぎる場合、手動で変更できます。これにより、チームは対応の優先順位を付け、最も緊急性の高いイベントにリソースを割り当てることができます。

    Update Owner

    手順

    1. イベント詳細ページに移動します。右上隅の Incident Response の下にある Update Owner をクリックします。または、[セキュリティイベント] ページでイベントを見つけ、[操作] 列の Response をクリックし、Update Owner を選択します。

    2. 表示されるダイアログボックスで、次の情報を入力し、OK をクリックします。

      • Owner:現在のアカウントまたはアカウント下の Resource Access Management (RAM) ユーザーを選択します。

        重要

        対象の Owner (RAM ユーザー) がセキュリティイベントを処理するために必要な権限を持っていることを確認してください。

      • Remarks:引き継ぎの指示、提案、またはその他のメモを入力します。これにより、新しいオーナーがコンテキストを迅速に理解し、作業を開始するのに役立ちます。

    影響

    操作が完了すると、システムは変更記録を作成します。この変更の詳細は、イベント詳細ページの Response Activity タブの Activity Log で確認できます。

    Update Incident Level

    手順

    1. イベント詳細ページに移動します。右上隅の Incident Response の下にある Update Incident Level をクリックします。または、[セキュリティイベント] ページでイベントを見つけ、[操作] 列の Response をクリックし、Update Incident Level を選択します。

    2. 表示されるダイアログボックスで、Incident SeverityRemarks を変更します。

    操作の影響

    レベルを変更すると、システムは操作をイベントのアクティビティログに記録します。この変更の詳細は、イベント詳細ページの Response Activity タブの Activity Log で確認できます。

    セキュリティイベントのエクスポート

    セキュリティイベントの詳細をローカルの Excel ファイルにエクスポートできます。これにより、さまざまな部門がセキュリティイベントについて連携し、社内の情報共有とイベントの追跡が容易になります。

    1. (任意) 「セキュリティインシデント」ページで、イベントのリスクレベル、ステータス、発生時間などのフィルター条件を設定します。

    2. ダウンロードするセキュリティイベント (最大 1,000 レコード) を選択し、セキュリティイベントリストの右上にある image.png アイコンをクリックします。

    3. ファイルがエクスポートされたら、ダウンロード をクリックしてファイルをローカルマシンに保存します。

      説明

      エクスポートされたファイルには、「セキュリティイベントレコードのリスト」、「セキュリティイベントに関連するアセットのリスト」、「セキュリティイベントに関連するエンティティのリスト」の 3 つのタブが含まれています。

    脅威の防止

    ご利用のサーバーが再度攻撃されるのを防ぐには、必要な強化策を実施する必要があります。これにより、攻撃者のコストが増加し、防御を突破することがより困難になります。

    • Security Center のアップグレード:`Enterprise Edition` と `Ultimate Edition` は、自動ウイルス隔離をサポートしており、精密な防御とより多くのセキュリティチェック項目を提供します。

    • アクセス制御の強化:80 や 443 などの必要なサービスポートのみを開放します。22 や 3389 などの管理ポート、および 3306 などのデータベースポートには、厳格な IP アドレスホワイトリストを設定します。

      説明

      Alibaba Cloud Elastic Compute Service (ECS) サーバーについては、「セキュリティグループの管理」をご参照ください。

    • 複雑なサーバーパスワードの設定:ご利用のサーバーとアプリケーションには、大文字、小文字、数字、特殊文字を含む複雑なパスワードを作成します。

    • ソフトウェアのアップグレード:ご利用のアプリケーションを速やかに最新の公式バージョンに更新します。メンテナンスが終了している、または既知のセキュリティ脆弱性がある古いバージョンの使用は避けてください。

    • 定期的なバックアップの実行:重要なデータとシステムディスクに対して、自動スナップショットポリシーを作成します。

      説明

      Alibaba Cloud ECS サーバーをご利用の場合は、「自動スナップショットポリシーの作成」をご参照ください。

    • 脆弱性の迅速な修正:Security Center の 脆弱性修正機能を定期的に使用して、重要なシステムおよびアプリケーションの脆弱性を速やかに修正します。

    • サーバーシステムの再設定 (注意して使用)

      ウイルスがシステムに深く感染し、基盤となるシステムコンポーネントが侵害された場合は、重要なデータをバックアップしてからサーバーシステムを再設定します。次の手順を実行します:

      1. サーバー上の重要なデータをバックアップするためにスナップショットを作成します。詳細については、「スナップショットの作成」をご参照ください。

      2. サーバーのオペレーティングシステムを再初期化します。詳細については、「システムディスクの再初期化」をご参照ください。

      3. スナップショットからディスクを作成します。詳細については、「スナップショットからデータディスクを作成」をご参照ください。

      4. オペレーティングシステムを再インストールしたサーバーにディスクをアタッチします。詳細については、「データディスクのアタッチ」をご参照ください。

    制限事項

    • データ保持期間: 「セキュリティイベント応答」ページでは、過去 180 日間のイベントを表示および処理できます。

    • エンティティ詳細: 「エンティティ詳細」ページには、過去 30 日間の関連イベント、アラート、および応答タスクの数が表示されます。

    • エクスポート制限: 1 回のエクスポートには、最大 1,000 件のセキュリティイベントレコードを含めることができます。

    • ステータスの同期: セキュリティイベントのステータスを更新しても、Cloud Workload Protection Platform (CWPP) の「高精度防御」アラートのステータスには影響しません。 デフォルトでは、これらのアラートは「処理済み」に設定されています。これは、脅威は防御されたものの、通知は送信されないことを意味します。