Security Center の悪意のあるファイル検出機能が、ECS インスタンスまたは OSS バケット上で Web シェル、マイニングプログラム、トロイの木馬などのリスクのあるファイルを検出すると、アラートが生成されます。このトピックでは、リスクの評価、対応アクションの選択、およびセキュリティの強化を通じて対応プロセスを完了する方法について説明します。
対応アクションの選択
悪意のあるファイルの検出 SDK 機能では、リスクのあるファイルに対して複数の方法で対応できます。お客様のビジネスニーズに最も適したアクションを選択してください。
アクション | 永続性 | 検出への影響 | ユースケース |
ホワイトリストに追加 | 永続的 | ホワイトリストルールに一致するファイルは、自動的に Added to Whitelist としてマークされ、DingTalk ボット通知をトリガーしなくなります。 | ビジネスに不可欠で、永続的に信頼できるファイルに使用します。 |
無視 | 1 回限り | なし。 | 一時的または優先度の低いアラートや、さらなる分析が必要な誤検知の可能性がある場合に使用します。 |
アクセスをブロック | 永続的 | ファイルはスキャンされなくなります。 | OSS バケット内の悪意のあるファイルであることが確認され、アクセスを防ぐために直ちに隔離する必要がある場合に使用します。 |
手動で処理済み | 1 回限り | なし。 | Security Center 以外でリスクを解決した後に使用します。たとえば、サーバーにログオンしてファイルを削除した場合などです。 |
リスクの調査と評価
Security Center コンソール > リスク管理 > 悪意のあるファイルの検出にログインし、ページの左上隅で、アセットが配置されているリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。
ファイル詳細ページに移動します。
リスクファイルの概要 タブで、目的のファイルを見つけ、操作する 列の 詳細 をクリックします。
OSS ファイルの検出 タブでは:
Whether Risk is Detected フィルターを リスクあり に設定します。対象のバケットを見つけ、操作する 列の 詳細 をクリックします。
詳細ページの At-risk File Details セクションで、対象のファイルを見つけ、操作する 列の 詳細 をクリックします。
ビジネスへの影響を評価します。
[ファイルパス]、[関連プロセス]、[初回検出時刻] などの主要情報を確認します。包括的な評価を行うには、次の方法を使用します。
ファイルの所有権を確認:開発チームまたは運用チームに連絡して、ファイルが正規のビジネスファイル、テストファイル、または既知だが不要なファイルであるかどうかを判断します。
ファイルの起源を追跡:ファイルのディレクトリを調べます。たとえば、ファイルが WordPress などのオープンソースアプリケーションディレクトリにある場合は、アプリケーションに既知の脆弱性があるかどうか、およびファイルがエクスプロイトによって作成されたバックドアであるかどうかを確認します。
システム推奨事項の確認:詳細ページの Incident Description セクションで、システムの分析と対応ガイダンスを確認します。
対応アクションの実行
リスクのあるファイルは、Security Center コンソールで直接処理するか、詳細ページの提案に従って手動で処理できます。以下の手順では、コンソールを使用する方法について説明します。
操作手順
処理ダイアログボックスを開きます。
リスクファイルの概要 タブで、ステータスフィルターを Unhandled に設定します。対象のファイルを見つけ、操作する 列の [処理] をクリックします。
OSS ファイルの検出 タブで:
Whether Risk is Detected フィルターを リスクあり に設定します。対象のバケットを見つけ、操作する 列の 詳細 をクリックします。
詳細ページの At-risk File Details セクションで、対象のファイルを見つけ、操作する 列にある [処理] をクリックします。
リスクのあるファイルを処理します。
設定する: [Handling Method]。
Malicious Script Handling ダイアログボックスで、リスク評価に基づいて対応アクションを選択し、関連するルールを設定します。 詳細については、「詳細な対応アクション」をご参照ください。
バッチ処理を設定します (オプション)。
複数の類似したアラートを同時に処理するには、[類似したアラートを同時に処理] を選択します。
Same File Content または Same Alert Type タブで、Show をクリックして類似アラートの詳細を表示します。
アラート情報を確認し、ビジネスニーズに基づいて、どの類似したアラートを一緒に処理するかを決定します。
同じファイルコンテンツ:同一の SHA256 ハッシュ値を持つファイルのすべてのアラート。
同じアラートタイプ:同じエンジンによって検出された Web シェルなど、同じタイプのリスクに対するすべてのアラート。
対応アクション
[Add to Whitelist]
ホワイトリストルールを設定します。
Add to Whitelist タブで、Create Rule をクリックしてルールを追加します。
ルールの詳細を設定します。
重要複数のルールを設定した場合、それらは OR 演算子で結合されます。つまり、ファイルは単一のルールに一致すればホワイトリストに登録されます。
各ルールは、次の 4 つのフィールドで構成されます。
[ファイル情報フィールド:][ファイル名]、[ファイル MD5]、[SHA256]、またはファイルが保存されている [バケット名] でファイルを照合します。
[条件タイプ:][正規表現一致]、[等しい]、[含む] などの演算がサポートされています。以下は例です。
正規表現の例: 末尾が
.tmpのすべての一時ファイルに一致させるには、[ファイル情報フィールド] を [ファイル名] に、[条件タイプ] を [正規表現一致] に、[条件値] を.*\.tmp$に設定します。ファイル名の照合: 名前に
postを含むすべての一時ファイルを照合するには、ファイル情報フィールドを[ファイル名]に、条件タイプを[含む]に、条件値をpostに設定します。
[条件値:]定数と正規表現がサポートされています。
動作の仕組み:
ファイルのステータスはAdded to Whitelist に変更されます。
この操作では、Policy Configuration ページで表示および管理できるホワイトリストルールが作成されます。 詳細については、「ホワイトリストの管理」をご参照ください。
ホワイトリストルールに一致するファイルが再度検出されると、そのステータスは自動的に Added to Whitelist に設定され、DingTalk ボットからリスク通知は送信されません。
セキュリティに関する推奨事項:
完全一致を使用:実際の悪意のあるファイルをホワイトリストに追加しないようにするため、[ファイル MD5] または [SHA256] を使用して照合することを推奨します。
フルパス照合を使用:ファイル名で照合する必要がある場合は、[バケット名] と [ファイル名] を組み合わせて、過度に広範なルールの作成を回避してください。
[Denied Access]
このアクションは OSS ファイルでのみ使用できます。
動作の仕組み:
ファイルのステータスがDenied Accessに変わり、同じ内容のファイルは以降検出されなくなります。
Security Center は、ファイルに
mfd_forbiddenタグと次のバケットポリシーを追加し、アクセスと関連操作をブロックします。説明タグとポリシーは OSS コンソールで確認できます。詳細については、「ブロックされたファイルへのアクセスの復元」、「オブジェクトのタグ付け」、および「バケットポリシー」をご参照ください。
OSS コンソールでファイルをすでに削除している場合、タグとポリシーは追加されません。
{ "Effect": "Deny", "Action": [ "oss:GetObject" ], "Principal": [ "*" ], "Resource": [ "acs:oss:*:*:${BucketName}/*" ], "Condition": { "StringEquals": { "oss:ExistingObjectTag/mfd_forbidden": [ "true" ] } } }
セキュリティに関する推奨事項:
このアクションはビジネス機能を中断する可能性があります。実行する前に、このファイルに依存している正規のサービスがないことを確認してください。
無視
動作の仕組み:
このアクションは、現在のアラートを「無視済み」としてマークしますが、根本的なセキュリティ問題は解決しません。
セキュリティに関する推奨事項:
アラートが誤検知または許容されるリスクであることを確認した後にのみ、このオプションを使用してください。これにより、実際の攻撃を見落とすことを防ぎます。
無視されたアラートのリストを定期的に (週次または月次など) 確認してください。
このタイプのアラートを受信しないようにするには、[ホワイトリストに追加] アクションを使用してください。
[Manually Handled]
仕組み: このアクションは、検出されたファイルのステータスをManually Handledにのみ更新します。ファイルの実際のセキュリティ状態は検証しません。
セキュリティに関する推奨事項:サーバーにログオンしてファイルを手動で削除するなど、他の手段でファイルを処理した後にのみ、このオプションを選択してください。
対応結果の管理
対応アクションの変更
Security Center コンソール > リスク管理 > 悪意のあるファイル検出に移動し、ページの左上隅で、保護するアセットが所在するリージョンとしてChinese Mainland または Outside Chinese Mainland を選択します。
変更ダイアログボックスを開きます。
対象ファイルを見つけます。
リスクファイルの概要 タブで、フィルターを Added to Whitelist などの処理済みステータスに設定して、ファイルを見つけます。
OSS ファイルの検出 タブで:
Whether Risk is Detected フィルターを リスクあり に設定し、対象のバケットの 操作する 列の 詳細 をクリックします。
At-risk File Details セクションで、フィルターを Added to Whitelist などの処理済みステータスに設定し、ファイルを特定します。
ファイルのステータスを変更します。
対象ファイルの操作する列で、Change Statusをクリックします。
対応アクションを変更します。
表示されたダイアログボックスで、新しい対応アクションを選択し、関連するルールを設定します。手順については、「リスクのあるファイルの処理」をご参照ください。
重要ステータスをUnhandledにリセットできます。
ホワイトリストまたは無視アクションの無効化
方法 1:ステータスのリセット
応答アクションの変更の手順に従って、応答アクションをUnhandledに変更します。
方法 2: Remove from Whitelist と Cancel Ignore アクションを使用する
対象ファイルを見つけます。
リスクファイルの概要 タブで、フィルターを Added to Whitelist または Ignored に設定し、ファイルを検索します。
OSS ファイルの検出 タブでは:
Whether Risk is Detected フィルターを リスクあり に設定し、対象のバケットの 操作する 列の 詳細 をクリックします。
At-risk File Details セクションで、ファイルステータスフィルターを Added to Whitelist または Ignored に設定し、ファイルを特定します。
ファイルのステータスを元に戻す
対象のファイルの横にあるチェックボックスを選択し、リストの下部にあるRemove from WhitelistまたはCancel Ignoreをクリックします。
ブロックされたファイルへのアクセスの復元
方法 1:ステータスのリセット
レスポンスアクションの変更の手順に従って、レスポンスアクションをUnhandledに変更します。
方法 2:OSS コンソールでの手動処理
OSS コンソールにログオンし、対象バケットの名前をクリックします。
タグを削除します。
ナビゲーションペインで [オブジェクト] を選択します。対象ファイルの [アクション] 列で
アイコンをクリックし、[タグ] を選択します。[タグ] タブで、
mfd_forbiddenタグを削除します。
認可ポリシーを削除します (慎重に使用してください)。
警告この操作は、
mfd_forbiddenタグを持つすべてのファイルに影響します。必要な場合を除き、この操作は実行しないでください。ナビゲーションペインで、[アクセス制御] > [バケットポリシー] を選択します。
[バケットポリシー] ページの [構文による追加] タブで、mfd_forbidden タグ条件を含むポリシーを削除します。
ホワイトリストの管理
ルールの追加または変更
右上隅で、ポリシー管理 をクリックします。Whitelists タブで、Add Rule をクリックするか、対象のルールの [操作] 列で 編集 をクリックします。
「ルール詳細の設定」の手順に従って設定を完了し、その後、確認する をクリックします。
ルールの削除
右上隅で、ポリシー管理 をクリックします。Whitelists タブで、削除するルールを見つけ、「操作」列の 削除 をクリックします。
重要ホワイトリストルールを削除した後、すでにホワイトリストに登録されているファイルのステータスは変更されません。ただし、ルールに一致するファイルは、自動的にホワイトリストに追加されなくなります。