サーバーが未知のプロセス実行によるリスクに直面した場合、従来のルールではすべての異常な動作を網羅できません。インテリジェントな動作分析では AI を使用してサーバー上の正常なプロセスの動作を自動的に学習し、異常を識別することで、ゼロトラストセキュリティ保護を実現します。このトピックでは、分析ポリシーの作成、許可リストの管理、実行モードの切り替え、およびセキュリティアラートの処理方法について説明します。
概要
インテリジェントな動作分析では AI を使用してサーバー上の正常なプロセスの動作を学習し、プロセス許可リストを作成します。サーバーが許可リスト外のプロセスを実行すると、現在の実行モードに基づいてシステムがアラートをトリガーするかプロセスをブロックし、潜在的なセキュリティ脅威を識別して処理します。
異常なプロセスの検出:マルウェアや暗号資産マイニングのトロイの木馬がサーバーに埋め込まれると、異常なプロセスの動作によってシステムアラートがトリガーされるか、自動的にブロックされます。
コンプライアンス監査:サーバー上のすべてのプロセスの動作を記録し、セキュリティコンプライアンスの監査要件を満たします。
ゼロトラスト保護:既定では、許可リストに登録されたプロセスのみ実行を許可し、未知のプログラムの実行を根本から防止します。
仕組み
実行フロー
インテリジェントな動作分析には、次の 2 つのフェーズがあります:
学習フェーズ
分析ポリシーを作成すると、AI モデルがサーバー上のすべてのプロセスの動作を記録します。学習中、システムはどのプロセスもブロックしません。ポリシー設定で学習期間をカスタマイズできます。
保護フェーズ
学習が完了すると、システムは学習した正常なプロセスの動作に基づいてプロセス許可リストを作成します。サーバーが許可リスト外のプロセスを実行した場合、システムは現在の実行モードに基づいて処理します:
[警告]モード (既定):異常なプロセスに対してブロックせずにアラートを生成します。
[遮断]モード:異常なプロセスを即座にブロックします。
警告ブロックモードでは、異常なプロセスを直接ブロックします。正当な業務プロセスを誤ってブロックしないように、ブロックモードに切り替える前に許可リストの網羅性を確認することを推奨します。
実行ステータス
インテリジェントな動作分析において、サーバーには次の実行ステータスがあります:
ステータス | 説明 | 利用可能なアクション |
[学習中] | モデルがサーバー上のプロセスの動作を学習しています。 | 詳細の表示、[再学習]、モードの切り替え |
[アラート中] | 学習は完了しています。異常なプロセスの動作が検知されると、アラートがトリガーされます。 | 詳細の表示、[増分学習]、[再学習]、モードの切り替え |
[制御中] | 学習は完了しています。異常なプロセスの動作は直ちにブロックされます。 | 詳細の表示、[増分学習]、[再学習]、モードの切り替え |
事前準備
対象サーバーに Security Center エージェントが インストール されていること。
サーバーの OS とカーネルのバージョンが AliHips requirements を満たし、AliHips プロセスが正常に実行されていること。
[インテリジェントホスト検出と応答] の有効化
インテリジェントな動作分析機能を使用するには、最初に [インテリジェントホスト検出と応答] を購入して有効化する必要があります。
サブスクリプション
または Agent EDR の購入ページにアクセスし、次の設定を完了します:
Intelligent Host Detection and Response:購入する 標準シート 数を選択します。
Subscription Duration:サービス期間です。
説明期限切れによるサービスの中断を避けるため、自動更新を選択することをお勧めします。有効にすると、自動更新は毎月行われ、インスタンスの有効期限が切れる前にシステムが現在の価格で料金を引き落とします。自動更新はいつでもキャンセルできます。詳細については、「期限切れのリソースを更新する」をご参照ください。
設定を完了したら、今すぐ購入 をクリックします。
従量課金
Security Center console - Overview ページに移動します。
従量課金サービスの有効化 セクションで、[インテリジェントホスト検出と応答] スイッチをオンにします。
ハイブリッド課金
ハイブリッド課金モード ([バースト可能な保護]) は現在、限定ベータ版です。有効化するには、営業担当者までお問い合わせください。
[インテリジェントホスト検出と応答] のサブスクリプションサービスを購入します。
Security Center console - Overview ページに移動します。
サービスのサブスクリプション セクションで、[バースト可能な保護] スイッチをオンにします。
クォータのバインド
[未知の脅威検知]を学習および保護に使用するには、各サーバーに EDR シートをバインドする必要があります。
Security Center console - Overview ページに移動します。
認可ページに移動します。エントリポイントは課金モデルによって異なります:
サブスクリプション / ハイブリッド課金:サービスのサブスクリプション セクションで、[インテリジェントホスト検出と応答] の横にある 管理 をクリックします。
従量課金:従量課金サービスの有効化 セクションで、[インテリジェントホスト検出と応答] の横にある 権限付与 をクリックします。
権限付与 ダイアログボックスで、サーバーのリージョン選択 ([中国本土] または [中国本土以外]) を選択して対象サーバーを特定します。
対象サーバーの Agentic EDR シート 列で、スイッチをオンにします。
重要新しいサーバーに EDR シートを自動的にバインドするには、ホストへの自動関連付けの新規追加 セクションで、新規ホストで Agentic EDR を自動有効化 を選択します。
分析ポリシーの作成
インテリジェントな動作分析を有効にする前に、学習期間、許可リストのモード、および対象サーバーを定義する保護ポリシーを作成する必要があります。
Security Center console - Protection Settings - Host Protection - Intelligent Behavior Analysis にアクセスします。コンソールの左上で、保護対象アセットが存在するリージョンを選択します:[中国本土] または [中国本土以外]。
インテリジェントな動作分析ページで、アプリケーションのホワイトリスト設定 をクリックします。
ダイアログボックスで、ポリシーの新規追加 をクリックします。
次のパラメータを設定します:
パラメータ
説明
ポリシー名
ポリシーを識別するためのカスタム名です。識別しやすく、管理しやすくなります。
学習時間
初期設定後にモデルが学習する日数です。学習中、システムはすべてのプロセスの動作を記録します。
説明学習が完全な業務サイクルをカバーするように、少なくとも 7 日を推奨します。
サーバーの業務周期性が強い場合 (例:週 1 回のスケジュールタスクを実行)、14 日以上を推奨します。
自動終了
N 日連続で新しい動作が検出されない場合、学習は自動的に終了し、[警告]モードが有効になります。
[ホワイトリストモード]
許可リストの照合方法です。
[プロセスパス]:プロセスファイルパスで照合します (既定)。
[プロセスハッシュ]:ファイルの MD5 ハッシュ値で照合します。
サーバーの選択
ポリシーを適用するサーバーの範囲です。すべてのアセット、またはアセットグループ単位で選択できます。サーバー名、パブリック IP、またはプライベート IP で検索できます。
OK をクリックします。
選択したサーバーが [学習中] ステータスであることを確認します。
ポリシーの作成後、選択したサーバーは学習フェーズに入ります。モデルが正常なプロセスの動作一式を取得できるように、通常の業務時間中にポリシーを作成することを推奨します。
許可リストの管理
学習が完了すると、システムはプロセス許可リストを生成します。必要に応じて、許可リストに登録されているプロセスパスを表示、追加、または削除します。
許可リストの表示
[未知の脅威検知]ページで、対象サーバーの 操作する 列にある 詳細 をクリックします。
サーバーの許可リストに登録されているすべてのプロセスパスを確認します。
説明フィルターと検索ボックスを使用して、特定のプロセスパスを特定します。
許可リストへの追加
方法 | サポートされる許可リストモード | 適用シナリオ |
一括追加 | [プロセスパス]、[プロセスハッシュ] | 信頼できる項目を複数のサーバーに一括で追加します。 |
単体追加 | [プロセスパス] のみ | 特定のパスを 1 台のサーバーに追加します。 |
一括追加
[未知の脅威検知]ページで、サーバーリストから 1 台以上のサーバーを選択します。
一括操作エリアで、プロセス動作の追加 をクリックします。
[プロセスパス] または [プロセスハッシュ] を入力し、OK をクリックします。
プロセスパスが許可リストに表示されることを確認します。
単体追加
[未知の脅威検知]ページで、対象サーバーの 操作する 列にある 詳細 をクリックします。
プロセスパス ページで、新規追加プロセスパス をクリックします。
ダイアログボックスで、プロセスパス を入力し、OK をクリックします。
プロセスパスが許可リストに表示されることを確認します。
許可リストからの削除
[未知の脅威検知]ページで、対象サーバーの 操作する 列にある 詳細 をクリックします。
プロセスパスのリストで、対象プロセスの 操作する 列にある 削除 をクリックします。
プロセスパスが許可リストに表示されなくなったことを確認します。
削除後、そのプロセスは異常としてマークされます。システムがアラートを生成し、[遮断]モードでは直ちにブロックされます。
保護モードの切り替え
学習後の既定の保護モードは [警告] です。必要に応じてモードを切り替えます。
[警告]から [遮断]モードに切り替える前に、誤ってブロックしないように、許可リストが正当な業務プロセスをすべてカバーしていることを確認してください。
サーバーリストで、対象サーバーの 操作する 列にある モードの切り替え をクリックします。
警告 または 遮断 モードを選択します。
OK をクリックします。
[Running status] 列に新しいモードが反映されていることを確認します。
アラートの表示と処理
プロセスが許可リストにない場合、システムはセキュリティアラートを生成します。アラート 機能を使用してアラートを表示し、処理します。
左側のナビゲーションペインで、 を選択します。コンソールの左上で、保護対象アセットが存在するリージョンを選択します:[中国本土] または [中国本土以外]。
説明Agentic SOC サービスを有効化している場合、ナビゲーションペインのエントリは に変わります。
クラウドワークロード保護プラットフォーム (CWPP) タブで、[異常な動作がホストに影響]の下にある数値をクリックして、アラートリストを開きます。
アラートステータス:
[警告]モード:アラートステータスは アラート で、手動での確認が必要です。
[遮断]モード:プロセスは自動的にブロックされます。アラートステータスは ブロック済み です。
各アラートについて、次のいずれかの処理方法を選択します:
観点
無視
ビジネスモデルの追加
アクション後のアラートステータス
無視済み に変わります。
変わりません。
次回発生時のアラート
はい。同じプロセスが次回実行されたときに、システムは別のアラートを生成します。
いいえ。次回実行時にはアラートを生成せず、プロセスを許可します。
許可リストの変更
変わりません。
プロセスが許可リストに追加されます。
適用シナリオ
一時的なタスク、または継続的な監視が必要な疑わしい動作。
正当な業務プロセスであることが確認できており、アラートノイズを減らしたい場合。
プロセスの動作の再学習
業務要件が変わった場合は、プロセスの動作を再学習して許可リストを更新します。利用できる方法は 2 つあります:
比較 | [増分学習] | [再学習] |
制限事項 | [アラート中] または [制御中] ステータスのサーバーでのみ使用できます。[学習中] の間は使用できません。 | 制限はありません。 |
データ処理 | 既存の許可リストを保持し、新しいプロセスの動作のみを学習します。 | 許可リストデータをすべてクリアし、ゼロから再構築します。 |
保護ステータス | ブロックおよび警告は有効になりません。 | ブロックおよび警告は有効になりません。 |
適用シナリオ | 新しいプロセスやサービスが少数追加される軽微な業務変更や、定期メンテナンスなどに適しています。 | 新しいサービスの追加やソフトウェアアップグレードなど、既存のモデルが適用できなくなるような大規模な業務変更に適しています。 |
[未知の脅威検知]ページで、対象サーバーの 操作する 列にある 再学習 または 増分学習 をクリックします。
操作後、実行状態 は [学習中] に変わります。
重要[学習中] ステータスの間は、ブロックも警告も有効になりません。
課金
サブスクリプション:
課金方法: 購入したシート認証の数に基づいて課金します。1 台のサーバーをバインドすると、1 つのシート認証が消費されます。
課金ルール: シートあたり月額 6.876066 米ドル。
従量課金:
課金方法:シート数と実際の使用期間に基づいて課金されます。1 台のサーバーをバインドすると、1 つのシートが消費されます。ポリシーがバインドされていないサーバーは、自動的に課金が停止します。
請求サイクル:日次で課金されます。
料金:0.014325 USD/シート/時間。
ハイブリッド課金:
課金方法:購入したシート権限数に基づいて課金されます。サーバーを 1 台バインドすると、シート権限を 1 つ消費します。
課金ルール:バースト可能な保護 を有効にすると、実際にバインドされたシート数がサブスクリプションの標準シートのクォータを超過した場合、超過分のシートはエラスティック保護シートとして課金されます。
重要サブスクリプションの有効期限が切れると、バースト可能な保護 は自動的に無効になり、伸縮自在な保護シートの課金も自動的に停止します。
Agentic EDR 標準シート: USD 6.876066 per seat per month。
Agentic EDR 弾性保護シート: USD 0.014325 per seat per hour。
サービスの停止と解約
EDR サービスが不要になった場合は、課金モデルに応じて次の手順を実行してください。
サービス全体の停止:
サブスクリプション: または [返金管理] ページに移動して、EDR の注文の返金リクエストを送信します。詳細については、「返金ポリシー」をご参照ください。
従量課金:Security Center console - Overview ページで、従量課金サービスの有効化 セクションの [インテリジェントホスト検出と応答] スイッチをオフにします。
エラスティック保護の停止:
方法 1:Security Center console - Overview ページで、サービスのサブスクリプション セクションの [バースト可能な保護] スイッチをオフにします。
方法 2:サブスクリプションサービスを解約すると、[バースト可能な保護] も自動的に無効化されます。
データクリーンアップ
サービスを停止した後、Agent EDR インスタンスを解約した後、またはアカウントが延滞している場合、インテリジェントな動作分析は直ちに停止します。データは次のとおり保持されます:
シナリオ | データ保持 | |
サブスクリプションインスタンス | 解約 |
|
有効期限切れ | ||
従量課金インスタンス | 停止 | |
支払い延滞 | ||
よくある質問
Security Center インスタンスの有効期限切れは Agent EDR に影響しますか?
いいえ。理由は次のとおりです:
個別課金: Agent EDR は、Security Center インスタンスとは別途課金される個別課金モジュールです。
継続的な可用性: Security Center インスタンスの有効期限が切れていても、Agent EDR インスタンスが有効期間内である限り、学習、サーバーバインディング、およびその他の機能を引き続き利用できます。
バースト可能な保護のスイッチが表示されないのはなぜですか?
[バースト可能な保護] は現在、プライベートプレビュー段階です。有効化するには、営業担当者にお問い合わせください。
学習完了後に許可リストが空になるのはなぜですか?
許可リストが空の場合、学習中にプロセスアクティビティが記録されていないことを意味します。次を確認してから、再学習 をクリックします:
サーバーが稼働しており、Security Center エージェントがオンラインですか?
AliHips プロセスは実行されていますか? 実行されていない場合、OS とカーネルのバージョンが AliHips requirements を満たしているか確認してください。
学習フェーズ中に、サーバーに実際の業務トラフィックがありましたか?
ブロックモードで正当な業務プロセスがブロックされないようにするにはどうすればよいですか?
遮断 モードに切り替える前に、学習期間が十分であり、許可リストが正当なプロセスをすべてカバーしていることを確認してください。
最初に 警告 モードで実行し、正当なプロセスに対する誤検知アラートがないか確認してください。
プロセスがブロックされた場合は、そのプロセスを許可リストに追加し、再学習 をクリックするか、増分学習を使用してください。
増分学習と再学習の違い
増分学習は既存の許可リストを保持し、新しい動作のみを学習します。軽微な業務変更に適しており、リスクは低くなります。
再学習はすべてのデータをクリアしてゼロから開始します。既存モデルが適用できない大きな業務変更に適しており、リスクは高くなります。