ますます複雑化するサイバーセキュリティ環境において、複雑な IT 環境、断片化されたデータ、遅いセキュリティ対応、高度な攻撃の検出の難しさ、コンプライアンス要件などの課題は、組織や企業のセキュリティ運用を困難にしています。Security Center のクラウド脅威検出および対応(CTDR)機能は、マルチクラウド環境において、異なるアカウントの複数のクラウドサービスのアラートとログを一元管理するのに役立ちます。これにより、セキュリティ O&M 効率が向上し、潜在的なリスクに対応する能力が強化されます。
How it works
CTDR 機能は、ログの標準化、アラートの生成、イベントの集約と分析、イベント対応のオーケストレーションなど、セキュリティ情報とイベントのためのクラウドネイティブな管理ソリューションを提供します。
複数のプロバイダーのさまざまなアカウントやクラウドサービスからログを収集し、事前定義されたカスタム検出ルールを使用して分析することで、攻撃を特定し、完全な攻撃チェーンを復元し、詳細なセキュリティインシデントを生成します。セキュリティの脅威が検出されると、Security Orchestration Automation Response(SOAR)をアクティブ化して Alibaba Cloud サービスと連携し、ブロックおよび隔離操作を実行します。これにより、セキュリティインシデントの処理効率が向上します。
Functions
CTDR は、AI Agent コアエンジンを統合したセキュリティ運用ソリューションです。「インテリジェント自動運転」モードをサポートしており、セキュリティインシデントの完全自動処理が可能です。
Rapid threat detection
CTDR は、Alibaba Cloud のグローバル脅威インテリジェンスを使用して、アラートから新しい脅威や未知の脅威を特定します。グラフコンピューティングとクラウドネイティブなログ分析を使用して、隠れた悪意のあるリスクを評価します。アラートから生成されるセキュリティインシデントの平均検出時間はわずか数分で、アラートの 99.94% が集約可能です。
Automated handling
AI Agent コアエンジンを利用することで、CTDR はワンクリック処理ポリシーを提供し、手動設定を不要にします。推奨される処理ポリシーは、セキュリティインシデントの 95% に対応し、ワンクリックでアクティブ化できる組み込みのプレイブックが含まれています。CTDR は、カスタムプレイブックのオーケストレーションもサポートし、さまざまなセキュリティサービスと連携して自動分析と対応を行います。
Threat visualization
CTDR は、グラフコンピューティングとセキュリティ LLM を組み合わせて、攻撃パスを自動的に追跡し、侵入タイムラインを再構築します。
Unified data management
CTDR は、クラウド環境、アカウント、プロダクト全体のログ収集を一元化し、ハイブリッドクラウドのセキュリティ運用を簡素化します。90% のクロスアセットセキュリティインシデント検出率により、セキュリティインサイトをグローバルに可視化できます。グローバルアカウント管理者は、Security Center コンソールでセキュリティインシデントを一元的に表示および監査できるため、効率的なデータ分析とセキュリティ監査が容易になります。
Benefits
セキュリティ運用において、平均検出時間(MTTD)、平均確認時間(MTTA)、平均対応時間(MTTR)は、セキュリティチームの効率と有効性を評価するための重要な指標です。これらの指標は、組織がセキュリティプロセスにおける強みと弱みを特定するのに役立ち、継続的な改善のための経験的証拠を提供します。
このセクションでは、これらの 3 つの指標を通じて、CTDR がセキュリティインシデント管理に及ぼす影響について、実際の CTDR 使用状況の統計分析から得られたデータを用いて検証します。
MTTD: 5 minutes.
攻撃イベントが発生してから最初に検出されるまでの平均時間を示します。手動検出には通常数時間かかりますが、CTDR を使用すると検出ウィンドウが 5 分未満に短縮されます。
MTTA: 35 minutes.
イベントが検出されてから、セキュリティチームがイベントを実際の脅威として正式に認識するまでの時間を測定します。従来、確認には数日かかりますが、調査と追跡のための CTDR 自動化により、この期間は平均 35 分に短縮されます。
MTTR: 90 minutes.
攻撃イベントを真の脅威として特定してから、解決し、通常の運用を復旧するまでの平均時間を測定します。従来、このプロセスは時間のかかる手動検証と対応のため、数日または数週間かかる場合があります。しかし、CTDR を使用すると、このワークフローが合理化され、90 分以内に解決とシステム強化が可能になります。
CTDR 推奨戦略は、事前定義されたプレイブックを数秒で実行できるため、イベントの確認から解決への移行が大幅に加速されます。この迅速な対応により、セキュリティチームは徹底的な分析とシステム強化を行うための貴重な時間を確保できます。
Supported services and log types
CTDR 機能は、30 以上のクラウドサービスと 60 以上のログタイプをサポートしています。次の表に、サポートされているクラウドサービスとログタイプを示します。
サービスプロバイダー | サービス | ログタイプ |
Alibaba Cloud | Security Center |
|
Web Application Firewall (WAF) | WAF 2.0 のアラートログ、CDN フローログ(中国でのみサポート)、フル/ブロック/ブロックおよび監視ログ、WAF 3.0 のフル/ブロック/ブロックおよび監視ログ | |
Cloud Firewall | Cloud Firewall のアラートログ、リアルタイムアラートログ、トラフィックログ | |
Anti-DDoS | Anti-DDoS Proxy フルログ、Anti-DDoS Proxy フローログ(旧バージョン)、Anti-DDoS Origin ログ | |
Bastionhost | Bastionhost ログ | |
CDN | Alibaba Cloud CDN (CDN) のフローログと CDN WAF のフローログ | |
Edge Security Acceleration (ESA) | DCDN のアクセスログと WAF ログ | |
API Gateway | API Gateway ログ | |
Container Service for Kubernetes (ACK) | Kubernetes リソースの監査ログ | |
PolarDB | PolarDB-X 1.0 SQL 監査ログと PolarDB-X 2.0 SQL 監査ログ | |
ApsaraDB for MongoDB | ApsaraDB for MongoDB の操作ログと監査ログ | |
ApsaraDB RDS | RDS SQL 監査ログ | |
Virtual Private Cloud (VPC) | VPC のフローログ | |
Elastic IP Address (EIP) | EIP ログ | |
Server Load Balancer (SLB) | ALB アクセスログ、CLB アクセスログ | |
Object Storage Service (OSS) | OSS アクセスログ | |
File Storage NAS | NAS NFS の操作ログ | |
ActionTrail | ActionTrail イベントログ | |
CloudConfig | Cloud Config ログ | |
Tencent Cloud | WAF | Tencent Cloud WAF アラートログ |
Cloud Firewall | Tencent Cloud Cloud Firewall アラートログ | |
Huawei Cloud | WAF | Huawei Cloud WAF アラートログ |
Cloud Firewall | Huawei Cloud Cloud Firewall アラートログ |
Terms
CTDR 機能を使用する前に、機能に関連する用語を理解する必要があります。次の表に、用語の説明を示します。
用語 | 説明 |
処理ポリシー | 処理ポリシーは、シナリオ固有のアラート処理の詳細を記述します。処理ポリシーは、シナリオ内のエンティティの処理結果に基づいて生成されます。 |
処理タスク | 処理タスクは、範囲固有のアラート処理の詳細を記述します。シナリオ内のエンティティのイベント処理プロセスは、範囲に基づいて複数の処理タスクに分割されます。 |
エンティティ | エンティティは、アラートの中核となるオブジェクトであり、IP アドレス、ファイル、またはプロセスです。 |
SOAR | SOAR は、イベント対応策を整理および管理するための自動化ツールとプロシージャを提供するソリューションです。SOAR は、企業がセキュリティインシデントに効率的に対応するのに役立ち、手動による介入を削減し、イベントの処理効率を向上させます。 |
プレイブック | SOAR によって提供されるプレイブックは、事前定義された対応ポリシーで構成される自動セキュリティ管理プロセスです。プレイブックは、特定のイベントがトリガーされた後に自動的に実行できます。 フローチャートを描画するのと同じ方法でプレイブックを作成できます。プレイブックには、開始、判断、アクション、終了ノードが含まれています。キャンバス上で各コンポーネントのアクションを視覚的に定義できます。たとえば、端末管理コンポーネントに対してネットワーク無効化アクションを定義できます。 |
コンポーネント | コンポーネントは、WAF、Cloud Firewall、データベースサービス、通知サービスなどの外部システムまたはサービスに接続するために使用されます。外部システムまたはサービスへのコネクタとして機能するために、コンポーネントは複雑なロジックを処理しません。複雑なロジックは、接続された外部システムまたはサービスによって処理されます。コンポーネントを選択した後、コンポーネントのリソースインスタンスとアクションを選択する必要があります。 コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、セキュリティアプリケーションコンポーネントに分類されます。 |
リソースインスタンス | リソースインスタンスは、コンポーネントが接続される外部サービスを指定します。たとえば、MySQL コンポーネントを使用する場合、企業に複数の MySQL データベースがある場合は、MySQL コンポーネントを接続するデータベースを指定する必要があります。 |
アクション | アクションは、コンポーネントの実行機能を指定します。コンポーネントは複数のアクションを持つことができます。たとえば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、通知の送信などのアクションをサポートしています。 |
References
CTDR の機能と使用方法の詳細については、「ユーザーガイド」をご参照ください。
CTDR 機能を有効にした後、クラウドサービスのログを機能に追加して、リソース全体のアラートとログを一元的に監視および分析できます。詳細については、「クラウドサービスのログを追加する」および「セキュリティサービスのログを追加する」をご参照ください。
詳細については、「CTDR 機能はデータセンター内のデバイスをサポートしていますか?」をご参照ください。
詳細については、「CTDR 機能を有効にした後、アラートの数は減少しますか?」をご参照ください。