サイバーセキュリティ環境がますます複雑化する中で、複雑な IT 環境、断片化されたデータ、遅いセキュリティ対応、高度な攻撃の検出の難しさ、コンプライアンス要件などの課題により、組織や企業のセキュリティ運用は困難になっています。セキュリティセンターのクラウド脅威検出および対応(CTDR)機能は、マルチクラウド環境において、異なるアカウントの複数のクラウドサービスのアラートとログを一元管理するのに役立ちます。これにより、セキュリティ O&M の効率が向上し、潜在的なリスクに対応する能力が強化されます。
しくみ
CTDR 機能は、ログの標準化、アラートの生成、イベントの集約と分析、イベント対応のオーケストレーションなど、セキュリティ情報とイベントのためのクラウドネイティブな管理ソリューションを提供します。
複数のプロバイダーのさまざまなアカウントやクラウドサービスからログを収集し、定義済みおよびカスタムの検出ルールを使用して分析することで、攻撃を特定し、完全な攻撃チェーンを復元し、詳細なセキュリティイベントを生成します。セキュリティの脅威が検出されると、セキュリティオーケストレーション自動応答(SOAR)をアクティブ化して Alibaba Cloud サービスと連携し、ブロックおよび隔離操作を実行します。これにより、セキュリティイベントの処理効率が向上します。
機能
CTDR は、AI エージェントコアエンジンを統合したセキュリティ運用ソリューションです。 「インテリジェント自動運転」モードをサポートしており、セキュリティイベントの完全自動処理が可能です。
迅速な脅威検出
CTDR は、Alibaba Cloud のグローバル脅威インテリジェンスを使用して、アラートから新しい脅威や未知の脅威を特定します。 グラフコンピューティングとクラウドネイティブなログ分析を使用して、隠れた悪意のあるリスクを評価します。 アラートから生成されたセキュリティイベントの平均検出時間はわずか数分で、アラートの 99.94% が集約可能です。
自動処理
AI エージェントコアエンジンを利用した CTDR は、ワンクリック処理ポリシーを提供し、手動設定を不要にします。 推奨される処理ポリシーはセキュリティイベントの 95% に対応し、ワンクリックでアクティブ化できる組み込みのプレイブックが含まれています。 また、CTDR はカスタムプレイブックオーケストレーションもサポートし、さまざまなセキュリティサービスと連携して自動分析と対応を行います。
脅威の可視化
CTDR は、グラフコンピューティングとセキュリティ LLM を組み合わせて、攻撃パスを自動的に追跡し、侵入タイムラインを再構築します。
統合データ管理
CTDR は、クラウド環境、アカウント、プロダクト全体のログ収集を一元化し、ハイブリッドクラウドセキュリティ運用を簡素化します。 90% のクロスアセットセキュリティイベント検出率により、セキュリティインサイトをグローバルに可視化できます。 グローバルアカウント管理者は、セキュリティセンター コンソールでセキュリティイベントを一元的に表示および監査できるため、効率的なデータ分析とセキュリティ監査が容易になります。
メリット
セキュリティ運用では、平均検出時間(MTTD)、平均確認時間(MTTA)、平均対応時間(MTTR)は、セキュリティチームの効率と有効性を評価するための重要な指標です。 これらの指標は、組織がセキュリティプロセスにおける長所と短所を特定するのに役立つと同時に、継続的な改善のための経験的証拠を提供します。
このセクションでは、これら 3 つの指標を通じて、CTDR がセキュリティイベント管理に及ぼす影響について調べます。データは、CTDR の実際の使用状況の統計分析から得られたものです。
MTTD:5 分。
攻撃イベントが発生してから最初に検出されるまでの平均時間を反映します。 手動検出には通常数時間かかりますが、CTDR を使用すると検出ウィンドウが 5 分未満に短縮されます。
MTTA:35 分。
イベントが検出されてから、セキュリティチームがイベントが実際の脅威であることを正式に確認するまでの時間を測定します。 従来、確認には数日かかりますが、調査と追跡のための CTDR の自動化により、この期間は平均 35 分に短縮されます。
MTTR:90 分。
攻撃イベントを真の脅威として特定してから、解決し、通常の運用を復旧するまでの平均時間を測定します。 従来、このプロセスは、時間のかかる手動検証と対応のため、数日または数週間かかる場合があります。 しかし、CTDR を使用すると、このワークフローが合理化され、90 分以内に解決とシステムの強化が可能になります。
CTDR 推奨戦略では、定義済みのプレイブックを数秒で実行できるため、イベントの確認から解決への移行が大幅に高速化されます。 この迅速な対応により、セキュリティチームは徹底的な分析とシステムの強化を行うための貴重な時間を確保できます。
サポートされているサービスとログタイプ
CTDR 機能は、30 以上のクラウドサービスと 60 以上のログタイプをサポートしています。 次の表に、サポートされているクラウドサービスとログタイプを示します。
サービスプロバイダー | サービス | ログタイプ |
Alibaba Cloud | Security Center |
|
Web Application Firewall (WAF) | WAF 2.0 のアラートログ、CDN フローログ(中国でのみサポート)、フル/ブロック/ブロックおよび監視ログ、WAF 3.0 のフル/ブロック/ブロックおよび監視ログ | |
Cloud Firewall | Cloud Firewall のアラートログ、リアルタイムアラートログ、トラフィックログ | |
Anti-DDoS | Anti-DDoS Proxy フルログ、Anti-DDoS Proxy フローログ(旧バージョン)、Anti-DDoS Origin ログ | |
Bastionhost | Bastionhost ログ | |
CDN | Alibaba Cloud CDN ( CDN ) のフローログと CDN WAF のフローログ | |
Edge Security Acceleration (ESA) | DCDN の EdgeRoutine ログ、アクセスログ、 WAF ログ | |
API Gateway | API Gateway ログ | |
Container Service for Kubernetes (ACK) | Kubernetes リソースの監査ログ | |
PolarDB | PolarDB-X 1.0 SQL 監査ログと PolarDB-X 2.0 SQL 監査ログ | |
ApsaraDB for MongoDB | ApsaraDB for MongoDB の操作ログと監査ログ | |
ApsaraDB RDS | RDS SQL 監査ログ | |
Virtual Private Cloud (VPC) | VPC のフローログ | |
Elastic IP Address (EIP) | EIP ログ | |
Server Load Balancer (SLB) | ALB アクセスログ、CLB アクセスログ | |
Object Storage Service (OSS) | OSS アクセスログ、OSS 一括削除ログ、OSS 時間単位の計測ログ | |
File Storage NAS | NAS NFS の操作ログ | |
Function Compute (FC) | Function Compute の操作ログ | |
ActionTrail | ActionTrail イベントログ | |
CloudConfig | Cloud Config ログ | |
Tencent Cloud | WAF | Tencent Cloud WAF アラートログ |
Cloud Firewall | Tencent Cloud Cloud Firewall アラートログ | |
Huawei Cloud | WAF | Huawei Cloud WAF アラートログ |
Cloud Firewall | Huawei Cloud Cloud Firewall アラートログ |
用語
CTDR 機能を使用する前に、機能に関連する用語を理解する必要があります。 次の表に、用語を示します。
用語 | 説明 |
処理ポリシー | 処理ポリシーは、シナリオ固有のアラート処理の詳細を示します。 処理ポリシーは、シナリオ内のエンティティの処理結果に基づいて生成されます。 |
処理タスク | 処理タスクは、範囲固有のアラート処理の詳細を示します。 シナリオ内のエンティティのイベント処理プロセスは、範囲に基づいて複数の処理タスクに分割されます。 |
エンティティ | エンティティはアラートの中核となるオブジェクトであり、 IP アドレス、ファイル、またはプロセスです。 |
SOAR | SOAR は、イベント対応策を整理および管理するための自動化ツールとプロシージャを提供するソリューションです。 SOAR は、企業がセキュリティイベントに効率的に対応するのに役立ち、手動による介入を減らし、イベントの処理効率を向上させます。 |
プレイブック | SOAR によって提供されるプレイブックは、定義済みの応答ポリシーで構成される自動セキュリティ管理プロセスです。 プレイブックは、特定のイベントがトリガーされた後に自動的に実行できます。 フローチャートを描くのと同じ方法でプレイブックを作成できます。 プレイブックには、開始、判断、操作、終了のノードが含まれています。 キャンバス上で各コンポーネントのアクションを視覚的に定義できます。 たとえば、端末管理コンポーネントに対してネットワーク無効化アクションを定義できます。 |
コンポーネント | コンポーネントは、 WAF 、 Cloud Firewall 、データベースサービス、通知サービスなどの外部システムまたはサービスに接続するために使用されます。 外部システムまたはサービスへのコネクタとして機能するために、コンポーネントは複雑なロジックを処理しません。 複雑なロジックは、接続された外部システムまたはサービスによって処理されます。 コンポーネントを選択したら、コンポーネントのリソースインスタンスとアクションを選択する必要があります。 コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、セキュリティアプリケーションコンポーネントに分類されます。 |
リソースインスタンス | リソースインスタンスは、コンポーネントが接続される外部サービスを指定します。 たとえば、MySQL コンポーネントを使用する場合に、企業に複数の MySQL データベースがある場合は、MySQL コンポーネントを接続するデータベースを指定する必要があります。 |
アクション | アクションは、コンポーネントの実行機能を指定します。 1 つのコンポーネントに複数のアクションを設定できます。 たとえば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、通知の送信などのアクションをサポートしています。 |
関連情報
CTDR の機能と使用方法の詳細については、「ユーザーガイド」をご参照ください。
CTDR 機能を有効にした後、クラウドサービスのログを機能に追加して、リソース全体のアラートとログを一元的に監視および分析できます。 詳細については、「クラウドサービスのログを追加する」および「セキュリティサービスのログを追加する」をご参照ください。