悪意のある振る舞い防御は、サーバー上の悪意のあるアクティビティを特定、ブロック、および対応します。アセットを保護するために、システム防御ルールとカスタム防御ルールを設定する方法について説明します。
シナリオ
悪意のある振る舞い防御は、システム防御ルールとカスタム防御ルールをサポートします。
カスタム防御ルールは、システム防御ルールよりも優先されます。
|
ルールタイプ |
説明 |
|
システム防御ルール |
システム防御ルールには、Network Threat Prevention と Process Protection の 2 種類があります。
|
|
カスタム防御ルール |
カスタム防衛ルール を作成して、特定の動作を許可またはブロックします。不正な動作の防御におけるカスタム防御ルールのベストプラクティス。 |
システム防御ルールの管理
プロセス防御は、Security Center の Advanced edition で利用可能です。Enterprise Edition および Ultimate edition には、すべてのシステム防御ルールが含まれています。
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。 コンソールの左上隅で、資産のリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。
-
悪意のある行動の防御 ページで、システム防御ルール タブをクリックして、対象のシステム防御ルールを見つけて管理します。
-
ルールの有効化または無効化
ビジネスに適さないルールや、アセットのセキュリティスコアに影響するルールを無効にできます。
重要システム防御ルールを無効化すると、セキュリティセンターは関連するセキュリティリスクの検出と報告を停止します。その結果、関連するアラートはセキュリティアラートの処理 ページに表示されなくなります。注意して操作してください。
-
1 つ以上の対象ルールを選択します。
-
ルール一覧の下にあるEnable またはDisable をクリックします。
-
-
ホストの管理
重要ルールからアセットを削除すると、そのルールはアセットを保護しなくなります。操作は慎重に行ってください。
-
管理したいシステム防御ルールを見つけ、[操作] 列で ホストを管理する をクリックします。
-
ホスト管理 パネルで、ルールのアセットを追加または削除し、OK をクリックします。
-
-
カスタム防御ルールの作成
正常なビジネスアクティビティの誤検知を防ぐために、コマンドラインやプロセスハッシュなどの特定の振る舞いを許可リストに登録するためのカスタム防御ルールを作成します。
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。 コンソールの左上隅で、資産のリージョンとしてChinese Mainland または Outside Chinese Mainlandを選択します。
-
悪意のある行動の防御 ページで、カスタム防衛ルール タブをクリックし、ホワイトリストルール作成 をクリックします。
-
ホワイトリストルール作成 パネルで、ビジネスニーズに基づいて Rule Type を選択し、パラメーターを設定し、ルールの Action を設定してから、次へ をクリックします。
パラメータはルールタイプによって異なります。使用可能な許可リストルールタイプ:
-
プロセスハッシュ
-
コマンドライン
-
プロセスネットワーク
-
ファイル読み取り/書き込み
-
レジストリ操作
-
ダイナミックリンクライブラリのロード
-
ファイル名の変更
設定例については、「悪意のある振る舞い防御におけるカスタム防御ルールのベストプラクティス」をご参照ください。
-
-
ホワイトリストルール作成 パネルで、ルールを適用する資産を選択し、Complete をクリックします。
新しいカスタムルールはデフォルトで有効になります。後でルールを編集したり、対象サーバーを管理したりできます。
セキュリティアラートの確認と対処
アラートタイプと対処方法は、ルールタイプによって異なります。
プロセス防御
セキュリティセンターは、Process Protection ルールに基づいてPrecise Defense アラートを生成します。これらのアラートを表示して処理するには:
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。コンソールの左上隅で、アセットのリージョンとしてChinese Mainland または Outside Chinese Mainland を選択します。
説明脅威の分析と応答 を有効にしている場合、左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、アセットのリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
セキュリティアラート ページで、CWPP タブをクリックし、Precise Defense の下の数字をクリックします。

-
アラートリストで、自動的にブロックされたアラートを確認します。 誤検知の場合は、操作する 列の 詳細 をクリックし、以下のように対処します。
例:疑わしいワームスクリプトの振る舞いの誤検知に対処する方法。
アラート詳細パネルで、以下の情報を記録します:
-
アラートを検知して報告したシステム防御ルールの名前を記録します。この例では、ルールはクライアントプロセスの悪意のある破壊です。
-
アラートの攻撃フェーズを記録します。この例では、Impact and Damageです。
-
影響を受けるアセットの名前と IP アドレスを記録します。

-
-
左側のナビゲーションペインで、を選択します。 コンソールの左上隅で、資産のリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。
-
システム防御ルールのリストで、アラートを報告したルールを検索します。
-
ルールを検索するには、検索ボックスにルール名疑わしいワームスクリプトの振る舞いを入力します。
-
また、左側の攻撃フェーズメニューでImpact and Damageをクリックして、ルールを見つけることもできます。
-
-
システム防御ルールリストで、[不審なワームスクリプトの挙動] という名前のルールを見つけ、管理します。
-
このルールからのアラートを停止するには、Switch 列の
アイコンをクリックして無効にします。重要システム防御ルールを無効にすると、セキュリティセンターはそのルールに関連するセキュリティリスクの検出と報告を停止します。その結果、関連するアラートは セキュリティアラートの処理 ページに表示されなくなります。慎重に実行してください。
-
この誤検知のみに対処するには、[操作] 列のホストを管理するをクリックし、ルールの保護リストから該当のアセットを除外します。
または、セキュリティアラートの処理 ページで誤検知を処理します。 セキュリティアラートを評価して処理する。
重要このアラートを処理した後に保護を復元するには、悪意のある振る舞い防御ページのシステム防御ルールタブでアセットを追加し直してください。
-
ネットワーク防御
Network Threat Prevention ルールに基づいて、セキュリティセンターは基本的なネットワーク攻撃を自動的にブロックし、関連データを [セキュリティアラート] > Network Defense Alert ページに表示します。 ネットワーク防御アラート (旧称: 攻撃分析)。
新規クラウドプロダクトの場合、攻撃分析にネットワーク攻撃データが表示されるまでに、Security Center での同期に約 3 時間かかります。
防御アラートは、Security Center によって攻撃が自動的にブロックされたことを示します。手動での対応は不要です。
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、資産のリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
説明脅威の分析と応答 を有効にした場合、左側のナビゲーションウィンドウで を選択します。 コンソールの左上隅で、アセットのリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
セキュリティアラート ページで、CWPP タブをクリックし、Network Defense Alert の下にある数字をクリックして関連情報を表示します。
