Security Center は、セキュリティアラートの包括的なビューを提供し、保護機能を有効にしてセキュリティリスクを迅速に特定および処理するのに役立ちます。 進行中のセキュリティアラートを表示および管理したり、後で分析するために履歴アラートデータをアーカイブおよびエクスポートしたりできます。
セキュリティアラート統計の表示
Security Center は、セキュリティアラートと保護機能に関する統計を表示します。 これにより、セキュリティアラートのステータスをすばやく把握し、どの保護機能が有効または無効になっているかを特定できます。
Security Center コンソール にログオンします。コンソールの左上隅で、アセットがデプロイされているリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明Cloud Threat Detection and Response ( CTDR ) を有効にしている場合、ナビゲーションパスは に変更されます。
セキュリティアラート ページの CWPP タブの上にあるアラート統計を表示します。
統計
説明
関連操作
アラートが存在するサーバー
セキュリティアラートが発生しているサーバーの数。
数字をクリックすると、[ホスト資産] ページに移動し、詳細を確認できます。
緊急処理が必要なアラート
リスクレベルが緊急である未処理のアラートの数。
説明これらのアラートを最初に処理します。
数字をクリックすると、すべての緊急アラートがフィルターされます。
処理待ちのアラートの総数
保留中のアラートの総数。
これらのアラートは、デフォルトで[Cloud Workload Protection Platform (CWPP)] タブのアラートリストに表示されます。詳細については、「セキュリティアラートを分析および処理する」をご参照ください。
Precise Defense
[悪意のあるホスト動作防御] 機能によって自動的にブロックされたウイルスアラートの数。
説明自動的にブロックされたウイルスは、Security Center による防御の成功を示しています。 手動操作は必要ありません。
数値をクリックして、自動的にブロックされたすべてのウイルスアラートを表示します。
IP アドレスブロックポリシー / すべてのポリシーの有効化
[アクティブな IP ブロッキングポリシー]: 有効なブルートフォース攻撃保護ポリシーの数。
[合計ポリシー]: 無効になっているポリシーを含む、ブルートフォース攻撃保護ポリシーの総数。
数字をクリックすると、[IP Rule Policy Library] パネルが開き、IP ブロックポリシーに関する詳細を表示できます。 詳細については、「ブルートフォース攻撃対策」をご参照ください。
隔離されたファイルの数
アラートの処理中に隔離された悪意のあるファイルの数。 悪意のあるファイルが隔離されると、サービスにリスクをもたらすことはなくなります。
数字をクリックして [ファイル隔離] パネルを開き、隔離されたファイルの詳細を表示します。 詳細については、「隔離されたファイルを表示および回復する」をご参照ください。
Network Defense Alert
デフォルトでは、過去 7 日間の攻撃分析統計 (検出されて自動的にブロックされた基本的な攻撃の数) が表示されます。
数値をクリックして、攻撃の数、攻撃タイプの分布、上位 5 件の攻撃元 IP アドレス、上位 5 件の攻撃対象アセット、および攻撃の詳細リストを表示します。 詳細については、「ネットワーク防御アラート (旧称攻撃分析)」をご参照ください。
アーカイブ済みアラートデータの表示
処理済みアラートの数が 100 を超えると、Security Center は 30 日より古いアラートデータを自動的にアーカイブします。 未処理のアラートはアーカイブされません。 アーカイブされたアラートはコンソールで直接表示することはできませんが、ローカル分析用にダウンロードできます。
Security Center コンソール にログオンします。コンソールの左上隅で、アセットがデプロイされているリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明CTDR を有効にしている場合、ナビゲーションパスは に変更されます。
セキュリティアラート ページの右上隅にある をクリックします。
アーカイブデータ ダイアログボックスで、アーカイブされたデータを表示します。
アーカイブデータの ダウンロードリンク 列で、ダウンロード をクリックしてデータをコンピューターに保存します。
アーカイブデータは XLSX 形式です。 ダウンロード時間はネットワークの帯域幅とファイルサイズによって異なり、通常は 2 ~ 5 分かかります。
ダウンロードが完了したら、ファイルを開いて、アラート ID 、アラート名、アラートの詳細、アラートレベル、ステータス、影響を受けるアセット、影響を受けるアセットに関する備考、影響の概要、アラート時間などの履歴アラート情報を表示できます。
説明[期限切れ] ステータスのアラートは、生成から 30 日以内に処理されませんでした。 Security Center によって検出されたセキュリティアラートイベントを速やかに処理してください。
アラートデータのエクスポート
Security Center では、緊急度、処理ステータス、発生時刻、アセットグループ、アラート名などの条件に基づいてセキュリティアラートデータをフィルタリングおよびエクスポートできます。
Security Center コンソール にログオンします。コンソールの左上隅で、アセットがデプロイされているリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明CTDR を有効にしている場合、ナビゲーションパスは に変更されます。
セキュリティアラート ページの [Cloud Workload Protection Platform ( CWPP )] タブで、エクスポートするアラートデータをフィルタリングします。
Security Center は、フィルタリングされたアラートデータをエクスポートします。
アラートリストの右上隅にある
アイコンをクリックします。データのエクスポート後、ページの右上隅に表示される [エクスポート完了] ダイアログボックスで、[ダウンロード] をクリックしてアラートデータをコンピューターに保存します。
隔離されたファイルの表示と復元
Security Center は、検出された悪意のあるファイルを隔離できます。隔離されたファイルはファイル隔離パネルに追加され、30 日後に自動的に消去されます。隔離されたファイルがセキュリティリスクではないと判断した場合、この期間中にそのファイルを回復できます。
にログオンします。コンソールの左上隅で、アセットがデプロイされているリージョン ( [中国] または [グローバル (中国を除く)] ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
説明CTDR を有効にしている場合、ナビゲーションパスは に変更されます。
脅威の分析と応答 > セキュリティアラート ページの右上隅にある Quarantined Files または をクリックします。
Quarantined Files パネルで、次の操作を実行します。
[隔離されたファイルの表示]: リストには、隔離された各ファイルのホスト、パス、ステータス、および隔離時間が表示されます。
ファイルのリカバリ: 対象のファイルの [操作] 列で、[リカバリ] をクリックします。ファイルは隔離から復元され、保留中のアラートのリストに再表示されることがあります。
Network Defense Alert (旧称攻撃分析)
背景情報
ホストルール - 悪意のある動作防御 および ホストルール - ブルートフォース攻撃からの保護 ポリシーで Network Threat Prevention ルールを有効にすると、Security Center は検出された攻撃を自動的にブロックし、Network Defense Alert ページに関連データを表示します。
新しく購入したクラウドプロダクトの場合、Security Center がネットワーク攻撃データを自動的に同期するまで待つ必要があります。 データの同期には約 3 時間かかります。 同期が完了すると、攻撃分析情報を表示できます。
防御アラートは、Security Center による自動ブロッキングの結果です。 操作は必要ありません。
注意事項
この機能は基本的な保護を提供します。 コアサービスをホストするアセット、またはリスクの高い攻撃イベントが発生したアセットの場合は、以下の提案を検討して、よりきめ細かく詳細な防御システムを構築してください。
Web Application Firewall ( WAF ) を使用して、より複雑なアプリケーション層攻撃から保護します。
Cloud Firewall を構成して、きめ細かいネットワークアクセス制御と境界保護を実装します。
リスクの高い攻撃元 IP アドレスの場合、Cloud Firewall またはセキュリティグループでポリシーを作成して、より徹底的に隔離するためにブロックできます。
攻撃データの詳細
データカテゴリ | 詳細 | 主な目的 |
攻撃回数 | 指定された期間内のアカウントのすべてのアセットに対する基本的なネットワーク攻撃の総数。 | 全体的な攻撃強度をすばやく把握し、アセットに対するセキュリティリスクを評価します。 |
攻撃タイプの分布 | 円グラフや縦棒グラフなどのグラフで、さまざまな攻撃タイプの数と割合を表示します。 一般的なタイプには、ブルートフォース攻撃、Web 攻撃、脆弱性の悪用、DDoS 攻撃などがあります。 | 最も一般的な攻撃方法と主な脅威ベクトルを特定します。 これは、的を絞ったセキュリティ強化の基礎となります。 たとえば、ブルートフォース攻撃が蔓延している場合は、アカウントパスワードポリシーの強化を優先します。 |
上位 5 件の攻撃元 | 攻撃回数が最も多い上位 5 件の送信元 IP アドレスを集計して表示します。 シナリオによっては、IP アドレスのリージョンやキャリアなどの基本情報が含まれる場合があります。 | 主な脅威ソースをすばやく特定します。 持続的で頻度の高い攻撃の場合、これらの IP アドレスをさらに分析する (たとえば、攻撃組織を追跡する) か、ブロックリストに直接追加できます。 |
上位 5 件の攻撃対象アセット | 攻撃回数が最も多い上位 5 件のクラウドアセットを表示し、アセットタイプ ( ECS インスタンス、SLB インスタンス、RDS インスタンスなど) とアセット ID を明確に示します。 | ネットワーク攻撃における「ホットスポット」アセットを特定します。 これにより、リスクの高いサービスノードの優先順位付けを行い、主要なアセットのセキュリティ強化 (軽減ポリシーのアップグレードや脆弱性へのパッチ適用など) にリソースを集中させることができます。 |
攻撃の詳細リスト | すべてのネットワーク防御イベントの完全なログを記録します。 また、Attack-associated Vulnerabilities (CVE) と Attack Payload に関する情報も提供します。 | セキュリティイベントの詳細な分析、コンプライアンス監査 (ログ保持に関する業界要件を満たすため)、攻撃イベントの追跡 (たとえば、特定の攻撃の完全なパスを追跡するため) をサポートするために、未加工の詳細な攻撃データを提供します。 |
攻撃回数
[攻撃回数] エリアでは、指定された期間内のアセットに対する攻撃の総数 (ピーク値と最小値を含む) を示す曲線グラフを表示できます。 曲線グラフの上にマウスを置くと、日付、時刻、および攻撃回数が表示されます。
攻撃タイプの分布
[攻撃タイプの分布] エリアでは、攻撃タイプの名前と各タイプの発生の総数を確認できます。
上位 5 件の攻撃元
[上位 5 件の攻撃元] エリアでは、上位 5 件の攻撃元 IP アドレスと対応する攻撃回数を確認できます。
タブ本文
上位 5 件の攻撃対象アセット
[上位 5 件の攻撃対象アセット] エリアでは、攻撃されたアセットの上位 5 件のパブリック IP アドレスと対応する攻撃回数を確認できます。
攻撃の詳細リスト
攻撃の詳細リストでは、攻撃時刻、送信元 IP アドレス、攻撃されたアセット情報、攻撃タイプ、攻撃方法、攻撃ステータスなど、アセットに対する攻撃に関する詳細情報を表示できます。
攻撃の詳細リストには、最大 10,000 件の攻撃データエントリを表示できます。 さらにデータを表示するには、[期間] を変更して、特定の期間のすべての攻撃データを表示します。
攻撃の詳細パラメーターテーブル
パラメーター | 説明 |
[攻撃時刻] | 攻撃が発生した時刻。 |
[攻撃元] | 攻撃が開始された送信元 IP アドレスとリージョン。 |
[攻撃対象アセット] | 攻撃されたアセットの名前、パブリック IP アドレス、プライベート IP アドレス。 |
[攻撃方法] | 攻撃の開始に使用された HTTP リクエストメソッド。 POST または GET を使用できます。 |
[ポート] | 攻撃されたポート番号。 これは、攻撃タイプが SSH ブルートフォース攻撃の場合にのみ表示されます。 |
[攻撃タイプ] | 攻撃イベントのタイプ ( SSH ブルートフォース攻撃、コード実行など)。 |
[攻撃ステータス] | 攻撃イベントの現在のステータス。 Security Center は、一般的な攻撃を検出すると防御します。 防御された攻撃イベントのステータスは [防御済み] です。 異常な侵入イベントは、[Cloud Workload Protection Platform ( CWPP )] ページの [セキュリティアラート] タブに表示されます。 |
サポートされている操作
攻撃元の詳細を表示する
[操作] 列の 詳細 をクリックして、指定されたネットワーク防御アラートの詳細分析を表示します。
Attack Source Intelligence:
以下を含む、攻撃元のさまざまなプロパティを分析します。
基本情報:検出時刻、攻撃元 IP、最終アクティブ時刻、国/地域、脅威タグ。
[IP レポートの詳細]: 攻撃元 IP アドレスの右側にある [詳細] をクリックして 脅威インテリジェンスコンソール に移動し、完全なプロファイルレポートと IP アドレスに関連付けられたすべての脅威データを表示します。
Attack-associated Vulnerabilities (CVE): このアラート動作に直接関連する脆弱性情報を表示します。 関連付けられた脆弱性がある場合は、「脆弱性の表示と処理」を参照して、脆弱性を速やかに処理し、セキュリティリスクを解決してください。
Attack Payload: 攻撃トラフィックの最も悪意のある部分。 通常、悪意のある命令またはデータが含まれています。 たとえば、HTTP リクエストでは、攻撃ペイロードは POST リクエストで運ばれる JSON または XML データである可能性があり、脆弱性をトリガーしたり、悪意のある動作を実行したりするために使用されます。
攻撃されたアセット情報を表示する
攻撃イベントリストで、攻撃されたアセットに関する情報を表示できます。
攻撃イベントリストをエクスポートする
攻撃イベントリストの左上隅にある 
アイコンをクリックして、Security Center によって検出されたすべての攻撃イベントをエクスポートし、コンピューターに保存します。 エクスポートされたファイルは Excel 形式です。
ブロッキングルールを無効にする
攻撃イベントリストでは、SQL Server ブルートフォース攻撃や SSH ブルートフォース攻撃など、特定の攻撃タイプのイベントについては、[攻撃タイプ] 列に
アイコンが表示されます。アイコンにマウスを合わせると、[ブロックルールを閉じる] というツールチップが表示されます。以下の攻撃タイプのシステムのブロックルールを閉じることができます。SQL Server ブルートフォース攻撃
SSH ブルートフォース攻撃
RDP ブルートフォース攻撃
AntSword WebShell 通信
China Chopper WebShell 通信
XISE WebShell 通信
WebShell アップロード
PHP WebShell アップロード
JSP WebShell アップロード
ASP WebShell アップロード
特殊なサフィックスを使用した WebShell アップロード
WebShell アップロードのインテリジェント防御
適応型 Web 攻撃防御
Java ジェネリック RCE 脆弱性ブロッキング
Security Center にこのタイプの攻撃を自動的にブロックさせたくない場合は、Go to the Malicious behavior Defense page. をクリックして悪意のある動作防御ページを開き、対応するシステム防御ルールを無効にします。