悪意のある動作の防御は、さまざまな悪意のあるアクティビティを特定、ブロック、対応するネットワークセキュリティ機能です。このトピックでは、悪意のある動作の防御機能を使用して、ホストを攻撃や脅威から保護する方法について説明します。
シナリオ
悪意のある動作の防御機能は、システム防御ルールとカスタム防御ルールをサポートしています。次の表に、各ルールタイプのシナリオを示します。
カスタム防御ルールは、システム防御ルールよりも優先度が高くなります。
ルールタイプ | 説明 |
システム防御ルール | 保護ルールには主に 2 つのタイプがあります: Network Threat Prevention と Process Protection です。
|
カスタム防御ルール | 特定の動作を許可または特別にブロックするには、カスタム防衛ルール 機能を使用して、ビジネスシナリオに合わせたカスタムで詳細なルールを作成できます。シナリオベースの構成のその他の例については、「悪意のある動作の防御のためのカスタムルールのベストプラクティス」をご参照ください。 |
システム防御ルールの管理
Pro 版はプロセス防御をサポートしています。Enterprise 版および Ultimate 版のユーザーは、すべてのシステム防御ルールを有効にできます。
Security Center コンソールにログインします。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
悪意のある行動の防御 タブの システム防御ルール サブタブで、管理するシステム防御ルールを見つけて管理します。
ルールの有効化または無効化
システム防御ルールがビジネスシナリオに適しておらず、アセットのセキュリティスコアに影響を与える場合は、ルールを無効にできます。
重要システム防御ルールを無効にすると、Security Center は対応するセキュリティリスクを検出しなくなり、報告もしなくなります。ルールに関連するアラートイベントは、セキュリティアラートの処理 ページのアラートリストに表示されなくなります。注意して進めてください。
1 つ以上のルールを選択します。
ルールリストの下にある [有効化] または [無効化] をクリックします。
ホストの管理
重要ルールからアセットを削除すると、そのアセットはシステム防御ルールによって保護されなくなります。注意して進めてください。
管理するシステム防御ルールを選択し、[操作] 列の ホストを管理する をクリックします。
ホスト管理 パネルで、ルールによって保護されるアセットを追加または削除し、OK をクリックします。
カスタム防御ルール
Security Center が通常のビジネス運用に対して誤検知アラートを生成する場合、カスタム防御ルールを作成して、その動作をホワイトリストに追加できます。たとえば、コマンドラインやプロセスハッシュに関連する動作をホワイトリストに追加して、誤検知アラートを防ぐことができます。
Security Center コンソールにログインします。コンソールの左上隅で、保護するアセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
悪意のある行動の防御 タブの カスタム防衛ルール サブタブで、[ルールの作成] をクリックします。
[新しいルール] パネルで、[ルールタイプ] を選択し、関連するパラメーターを構成し、ルールの [操作] を設定してから、[次へ] をクリックします。
構成する必要があるパラメーターは、選択したルールタイプによって異なります。次のタイプのルールをホワイトリストに追加できます:
プロセスハッシュ
コマンドライン
プロセスネットワーク
ファイルの読み取り/書き込み
レジストリ操作
ダイナミックリンクライブラリの読み込み
ファイル名の変更
構成例の詳細については、「悪意のある動作の防御のためのカスタム防御ルールのベストプラクティス」をご参照ください。
[新しいルール] パネルのサーバーリストで、ルールを適用するアセットを選択し、[完了] をクリックします。
新しいカスタムルールはデフォルトで有効になっています。ルールを編集し、ルールが有効になるサーバーを管理できます。
セキュリティアラートイベントの表示と処理
Security Center は、構成されたルールに基づいてセキュリティアラートを生成し、基本的な攻撃をブロックします。生成されるアラートとそれらを処理するメソッドは、ルールタイプによって異なります。
プロセス防御
Security Center は、Process Protection ルールに基づいて「Precise Defense」アラートを生成します。次のステップを実行して、これらのアラートを表示および処理できます。
Security Center コンソールにログインします。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明脅威の分析と応答 を有効にしている場合、左側のナビゲーションウィンドウで、 を選択します。
セキュリティアラート ページで、CWPP タブを選択し、Precise Defense の下にある数字をクリックします。
アラートイベントのリストで、自動的にブロックされたリスクに対して生成されたイベントを表示します。アラートイベントが誤検知である場合は、[操作] 列の 詳細 をクリックして、次のステップで説明するようにイベントを処理します。
次の例は、不審なワームスクリプトの動作に対する誤検知アラートイベントの処理方法を示しています。
アラート詳細パネルで、アラートイベントを処理するために次の情報を取得して記録します:
アラートイベントを検出して報告したシステム防御ルールの名前を記録します。この例では、名前は クライアントプロセスへの悪意のある損害 です。
アラートイベントの 攻撃フェーズ。この場合、ステージは [影響] です。
アラートイベントの影響を受けるアセットの名前と IP アドレスを記録します。
左側のナビゲーションウィンドウで、 を選択します。
システム防御ルールのリストで、アラートイベントをトリガーしたルールを見つけます。
検索ボックスに不審なワームスクリプトの動作と入力して、システム防御ルールを見つけることができます。
左側の [攻撃ステージ] メニューで [影響] をクリックして、システム防御ルールを見つけることもできます。
システム防御ルールリストで、[不審なワームスクリプトの動作] という名前のルールを見つけて管理します。
このシステム防御ルールがお客様のビジネスシナリオに適しておらず、Security Center が検出したセキュリティアラートイベントをレポートする必要がなくなった場合は、[スイッチ] 列の
アイコンをクリックして、ルールを無効にできます。重要システム防御ルールを無効にすると、Security Center はルールに関連するセキュリティリスクを検出しなくなり、セキュリティアラートの処理 ページのアラートリストに報告しなくなります。注意して進めてください。
この誤検知セキュリティアラートイベントのみを処理したい場合は、[操作] 列の ホストを管理する をクリックし、影響を受けるアセットをシステムルールによって保護されているアセットのリストから削除できます。
セキュリティアラートの処理 ページで誤検知セキュリティアラートを見つけて処理することもできます。詳細については、「セキュリティアラートの分析と処理」をご参照ください。
重要現在のアラートイベントのみを処理し、ルールがアセットを保護し続けるようにしたい場合は、[悪意のある動作の防御] ページでアセットをルールの保護対象アセットのリストに戻すことができます。
ネットワーク防御
Security Center は Network Threat Prevention ルールを使用して、基本的なネットワーク攻撃を自動的にブロックして処理します。攻撃に関するデータは、[セキュリティアラート] > Network Defense Alert ページに表示されます。詳細については、「ネットワーク脅威防止アラート (旧称: 攻撃分析)」をご参照ください。
新しく購入したクラウドプロダクトの場合、Security Center がネットワーク攻撃データを自動的に同期するまで待つ必要があります。データの同期には約 3 時間かかります。同期が完了すると、攻撃分析情報を表示できます。
防御アラートは、Security Center による自動ブロックの結果です。操作は不要です。
Security Center コンソールにログインします。コンソールの左上隅で、保護するアセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明脅威の分析と応答 を有効にしている場合、左側のナビゲーションウィンドウで、 を選択します。
セキュリティアラート ページで、CWPP タブを選択し、Network Defense Alert の下にある数字をクリックして関連情報を表示します。
