Security Center は、セキュリティアラートの包括的なビューを提供し、保護機能を有効にしてセキュリティリスクを迅速に特定し、対処するのに役立ちます。進行中のセキュリティアラートを表示および管理できるだけでなく、過去のアラートデータをアーカイブおよびエクスポートして、後で分析することもできます。
セキュリティアラート統計の表示
Security Center は、セキュリティアラートと保護機能に関する統計を表示します。これにより、セキュリティアラートのステータスを迅速に把握し、どの保護機能が有効または無効になっているかを特定できます。
Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョンとして [中国本土] または [中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明Agentic SOC を有効にした場合、ナビゲーションパスは に変更されます。
セキュリティアラート ページで、CWPP タブの上部で、アラートの統計を確認します。
統計
説明
関連操作
アラートが存在するサーバー
セキュリティアラートが発生しているサーバーの数。
数字をクリックすると、[ホストアセット] ページに移動して詳細を確認できます。
緊急処理が必要なアラート
リスクレベルが [緊急] の未処理アラートの数。
説明これらのアラートを優先的に処理してください。
数字をクリックすると、すべての [緊急] アラートをフィルタリングできます。
処理待ちのアラートの総数
未処理のアラートの総数。
これらのアラートは、デフォルトで [Cloud Workload Protection Platform (CWPP)] タブのアラートリストに表示されます。詳細については、「セキュリティアラートの評価と処理」をご参照ください。
Precise Defense
[不正なホスト挙動の防御] 機能によって自動的にブロックされたウイルスアラートの数。
説明自動的にブロックされたウイルスは、Security Center による防御が成功したことを示します。手動での操作は不要です。
数字をクリックすると、自動的にブロックされたすべてのウイルスアラートを表示できます。
IP アドレスブロックポリシー / すべてのポリシーの有効化
アクティブな IP ブロックポリシー:有効になっているブルートフォース攻撃からの保護ポリシーの数。
ポリシー総数:無効なものを含む、ブルートフォース攻撃からの保護ポリシーの総数。
数字をクリックすると、[IP ルールポリシーライブラリ] パネルが開き、IP ブロックポリシーの詳細が表示されます。詳細については、「ブルートフォース攻撃からの保護」をご参照ください。
隔離されたファイルの数
アラート処理中に隔離された悪意のあるファイルの数。悪意のあるファイルが隔離されると、サービスに対するリスクはなくなります。
数字をクリックすると、[ファイル隔離] パネルが開き、隔離されたファイルの詳細が表示されます。詳細については、「隔離されたファイルの表示と回復」をご参照ください。
Network Defense Alert
デフォルトでは、過去 7 日間の攻撃分析統計が表示されます。これは、検知され自動的にブロックされた基本的な攻撃の数です。
数字をクリックすると、攻撃数、攻撃タイプの分布、上位 5 件の攻撃元 IP アドレス、上位 5 件の攻撃対象アセット、および攻撃詳細リストが表示されます。詳細については、「ネットワーク防御アラート (旧称:攻撃分析)」をご参照ください。
アーカイブされたアラートデータの表示
処理済みのアラート数が 100 件を超えると、Security Center は 30 日より古いアラートデータを自動的にアーカイブします。未処理のアラートはアーカイブされません。アーカイブされたアラートはコンソールで直接表示することはできませんが、ローカルでの分析用にダウンロードできます。
Security Center コンソールにログインし、コンソールの左上隅で、アセットがデプロイされているリージョンとして [中国本土] または [中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明Agentic SOC を有効にしている場合、ナビゲーションパスはに変更されます。
セキュリティアラート ページの右上隅で、 をクリックします。
アーカイブデータ ダイアログボックスで、アーカイブされたデータを表示します。
アーカイブデータのダウンロードリンク列で、ダウンロードをクリックしてデータをコンピューターに保存します。
アーカイブされたデータは XLSX 形式です。ダウンロード時間は、ネットワーク帯域幅とファイルサイズによって異なり、通常 2~5 分かかります。
ダウンロードが完了したら、ファイルを開いて、アラート ID、アラート名、アラート詳細、アラートレベル、ステータス、影響を受けるアセット、影響を受けるアセットの備考、影響の概要、アラート時刻などの過去のアラート情報を表示できます。
説明ステータスが[期限切れ]のアラートは、生成から 30 日以内に対応されなかったアラートです。Security Center によって検出されたセキュリティアラートイベントには、速やかに対応してください。
アラートデータのエクスポート
Security Center では、緊急度、処理ステータス、発生時刻、アセットグループ、アラート名などの基準に基づいて、セキュリティアラートデータをフィルタリングしてエクスポートできます。
Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョン: [中国本土] または [中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明Agentic SOC を有効にしている場合、ナビゲーションパスは に変更されます。
セキュリティアラート ページの [CWPP] タブで、エクスポートするアラートデータをフィルターします。
Security Center は、フィルタリングされたアラートデータをエクスポートします。
アラートリストの右上隅にある
アイコンをクリックします。データがエクスポートされると、ページの右上隅に表示される[エクスポート済み] ダイアログボックスで[ダウンロード] をクリックして、アラートデータをコンピューターに保存します。
隔離されたファイルの表示と回復
Security Center は、検出された悪意のあるファイルを隔離できます。隔離されたファイルは [ファイル隔離] パネルに追加され、30 日後に自動的にパージされます。隔離されたファイルがセキュリティリスクではないと判断した場合、この期間中に回復できます。
Security Center コンソールにログインします。コンソールの左上隅で、アセットがデプロイされているリージョンとして、中国本土または中国本土以外を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明Agentic SOC を有効にした場合、ナビゲーションパスは に変更されます
脅威の分析と応答 > セキュリティアラート ページの右上隅で、Quarantined Files または をクリックします。
Quarantined Files パネルで、以下の操作を実行します:
隔離されたファイルの表示:リストには、各隔離ファイルのホスト、パス、ステータス、隔離時刻が表示されます。
ファイルの回復:対象ファイルの [操作] 列で、[回復] をクリックします。ファイルは隔離から解除され、未処理のアラートリストに再表示される場合があります。
Network Defense Alert (旧称: 攻撃分析)
背景情報
「ホストルール - 不正な動作の防御」および「ホストルール - ブルートフォース攻撃からの保護」ポリシーで Network Threat Prevention ルールを有効にした場合、Security Center は検出された攻撃を自動的にブロックし、Network Defense Alert ページに関連データを表示します。
新しく購入したクラウド製品の場合、Security Center がネットワーク攻撃データを自動的に同期するまで待つ必要があります。データ同期には約 3 時間かかります。同期が完了すると、攻撃分析情報を表示できます。
防御アラートは、Security Center による自動ブロックの結果です。操作は不要です。
注意事項
この機能は基本的な保護を提供します。コアサービスをホストするアセットや、高リスクの攻撃イベントが発生するアセットについては、より詳細で多層的な防御システムを構築するために、次の提案を検討してください。
より複雑なアプリケーション層の攻撃から保護するために、Web Application Firewall (WAF) を使用します。
Cloud Firewall を設定して、詳細なネットワークアクセス制御と境界保護を実装します。
高リスクの攻撃元 IP アドレスについては、Cloud Firewall またはセキュリティグループでポリシーを作成してブロックし、より徹底的な隔離を行うことができます。
攻撃データの詳細
データカテゴリ | 詳細 | 主な目的 |
攻撃数 | 指定された時間範囲内に、アカウント配下のすべてのアセットに対する基本的なネットワーク攻撃の総数。 | 全体的な攻撃の激しさを迅速に把握し、アセットのセキュリティリスクを評価します。 |
攻撃タイプの分布 | 円グラフや縦棒グラフなどのチャートで、さまざまな攻撃タイプの数と割合を表示します。一般的なタイプには、ブルートフォース攻撃、Web 攻撃、脆弱性悪用、DDoS 攻撃などがあります。 | 最も一般的な攻撃手法と主要な脅威ベクトルを特定します。これは、ターゲットを絞ったセキュリティ強化の基礎となります。たとえば、ブルートフォース攻撃が多発している場合は、アカウントのパスワードポリシーの強化を優先します。 |
上位 5 件の攻撃元 | 最も攻撃の多い上位 5 件の攻撃元 IP アドレスを集計して表示します。一部のシナリオでは、IP アドレスのリージョンやキャリアなどの基本情報も含まれます。 | 主要な脅威元を迅速に特定します。持続的で高頻度の攻撃に対しては、これらの IP アドレスをさらに分析 (たとえば、攻撃組織の追跡) したり、直接ブロックリストに追加したりできます。 |
上位 5 件の攻撃対象アセット | 最も攻撃の多い上位 5 件のクラウドアセットを表示し、アセットタイプ (ECS インスタンス、SLB インスタンス、RDS インスタンスなど) とアセット ID を明確に示します。 | ネットワーク攻撃の「ホットスポット」アセットを特定します。これにより、高リスクのサービスノードを優先し、緩和ポリシーのアップグレードや脆弱性のパッチ適用など、主要なアセットのセキュリティ強化にリソースを集中させることができます。 |
攻撃詳細リスト | すべてのネットワーク防御イベントの完全なログを記録し、Attack-associated Vulnerabilities (CVE) および Attack Payload に関する情報も提供します。 | セキュリティイベントの詳細な分析、コンプライアンス監査 (ログ保持に関する業界要件を満たすため)、および攻撃イベントの追跡 (たとえば、特定の攻撃の完全なパスを追跡するため) をサポートする、生の詳細な攻撃データを提供します。 |
攻撃数
[攻撃] エリアでは、指定された時間範囲内における資産への攻撃の総数を、ピーク値とトラフ値を含めて曲線チャートで表示できます。曲線チャートにマウスオーバーすると、日付、時刻、および攻撃数が表示されます。
攻撃タイプの分布
[攻撃タイプ分布] エリアでは、攻撃タイプの名前と各タイプの総発生数を確認できます。
上位 5 件の攻撃元
[トップ 5 の攻撃ソース] エリアでは、トップ 5 の攻撃ソース IP アドレスと、それに対応する攻撃数を表示できます。
タブ本文
上位 5 件の攻撃対象アセット
[攻撃された資産トップ 5] エリアでは、攻撃された資産の上位 5 件のパブリック IP アドレスと、対応する攻撃数を表示できます。
攻撃詳細リスト
攻撃詳細リストでは、攻撃時刻、攻撃元 IP アドレス、攻撃対象アセット情報、攻撃タイプ、攻撃メソッド、攻撃ステータスなど、アセットへの攻撃に関する詳細情報を表示できます。
攻撃詳細リストには、最大 10,000 件の攻撃データエントリが表示されます。より多くのデータを表示するには、時間範囲を変更して特定の期間のすべての攻撃データを表示してください。
攻撃詳細パラメーター表
パラメーター | 説明 |
攻撃日時 | 攻撃が発生した時刻。 |
攻撃元 | 攻撃が開始された元の IP アドレスとリージョン。 |
攻撃対象アセット | 攻撃されたアセットの名前とパブリックおよびプライベート IP アドレス。 |
攻撃方式 | 攻撃を開始するために使用された HTTP リクエストメソッド。POST または GET のいずれかです。 |
ポート | 攻撃されたポート番号。攻撃タイプが SSH ブルートフォース攻撃の場合にのみ表示されます。 |
攻撃タイプ | SSH ブルートフォース攻撃やコード実行などの攻撃イベントのタイプ。 |
攻撃ステータス | 攻撃イベントの現在のステータスです。Security Center は、一般的な攻撃を検出すると防御します。防御された攻撃イベントのステータスは [防御済み] です。異常な侵入イベントは、[セキュリティアラート] ページの [クラウドワークロード保護プラットフォーム (CWPP)] タブに表示されます。 |
サポートされる操作
攻撃元の詳細の表示
「操作」列の詳細をクリックして、指定されたネットワーク防御アラートの詳細な分析を表示します。
Attack Source Intelligence:
攻撃元のさまざまなプロパティを分析します。これには以下が含まれます:
基本情報:発見時刻、攻撃元 IP、最終アクティブ時刻、国/リージョン、脅威タグ。
IP レポートの詳細: 攻撃ソース IP アドレスの右側にある[詳細]をクリックすると、脅威インテリジェンスコンソールに移動し、その IP アドレスの完全なプロファイルレポートと関連するすべての脅威データを表示できます。
Attack-associated Vulnerabilities (CVE): このアラートの動作に直接関連する脆弱性情報を表示します。 関連する脆弱性がある場合は、脆弱性の表示と対処をご参照のうえ、速やかに対処し、セキュリティリスクを解決してください。
Attack Payload:攻撃トラフィックの中で最も悪意のある部分で、通常、悪意のある命令やデータが含まれています。 たとえば、HTTP リクエストでは、攻撃ペイロードは、脆弱性をトリガーしたり、悪意のある動作を実行したりするために使用される、POST リクエスト内の JSON データや XML データなどです。
攻撃対象アセット情報の表示
攻撃イベントリストで、攻撃されたアセットに関する情報を表示できます。
攻撃イベントリストのエクスポート
攻撃イベントリストの左上隅にある 
アイコンをクリックして、Security Center によって検出されたすべての攻撃イベントをエクスポートし、コンピューターに保存します。エクスポートされたファイルは Excel 形式です。
ブロックルールの無効化
攻撃イベントリストでは、SQL Server ブルートフォース攻撃や SSH ブルートフォース攻撃など、特定の攻撃タイプのイベントの場合、[攻撃タイプ] 列に
アイコンが表示されます。 アイコンにマウスオーバーすると、「ブロックルールを閉じる」というツールチップが表示されます。 以下の攻撃タイプのシステムブロックルールを閉じることができます。SQL Server ブルートフォース攻撃
SSH ブルートフォース攻撃
RDP ブルートフォース攻撃
AntSword WebShell 通信
China Chopper WebShell 通信
XISE WebShell 通信
WebShell アップロード
PHP WebShell アップロード
JSP WebShell アップロード
ASP WebShell アップロード
特殊なサフィックスを持つ WebShell アップロード
WebShell アップロードのインテリジェント防御
適応型 Web 攻撃防御
Java 汎用 RCE 脆弱性ブロッキング
Security Center でこのタイプの攻撃が自動的にブロックされないようにする場合は、Go to the Malicious behavior Defense page. をクリックして悪意のある動作の防御ページを開き、対応するシステム防御ルールを無効化できます。