Cloud Threat Detection and Response (Agentic SOC) を有効にすると、Security Center は Agentic SOC 内のログを分析・処理して、アラートとインシデントを生成します。セキュリティアラート機能を使用すると、複数のセキュリティプロダクトからのアラートレコードを一元管理できます。このトピックでは、Agentic SOC のセキュリティアラート機能について説明し、アラートデータの表示方法を解説します。
注意事項
Agentic SOC を有効にすると、Cloud Workload Protection Platform (CWPP) のセキュリティアラート情報は Agentic SOC のセキュリティアラートディレクトリに移行されます。これらのアラートは CWPP タブで表示および処理できます。アラートの処理方法の詳細については、「セキュリティアラートの評価と処理」をご参照ください。
前提条件
Cloud Threat Detection and Response (Agentic SOC) サービスを購入し、有効化していること。詳細については、「Agentic SOC の購入と有効化」をご参照ください。
必要なプロダクトからログを追加していること。詳細については、「プロダクトアクセス」をご参照ください。
アラートソース
次の表では、[アラート] ページの各タブにおけるアラートのデータソースについて説明します。
タブ | データソースの説明 |
Aggregate and Analyze Alerts | Agentic SOC は、追加したログを詳細に分析し、事前定義済みルールに基づいてアラートを生成します。 |
Custom Alert Analysis | Agentic SOC は、追加したログを詳細に分析し、プリセットされたカスタムルールに基づいてアラートを生成します。 |
CWPP | ホストとコンテナーに関連する侵入検知と防御のための Security Center アラート。詳細については、「セキュリティアラート - CWPP (Cloud Workload)」をご参照ください。 |
Cloud Firewall |
|
WAF |
|
EDR | Sangfor aES アラートログなど、追加されたサードパーティの Endpoint Detection and Response (EDR) サービスのアラートログ。 |
Others | Security Center のアラートログ、ファイアウォールログ、Web Application Firewall ログ、EDR ログを除く、Agentic SOC に追加されたその他のアラートログ。 |
Agentic SOC アラートと CWPP アラートの比較
差分 | Agentic SOC アラート (非 CWPP アラート) | CWPP アラート |
アラートソース | Agentic SOC に追加されたログを、事前定義済みルールおよびカスタムルールに基づいて分析・処理することで生成されるアラート。 説明 CWPP タブ以外のアラート。 | 脅威検知モデルを使用して検知される、ホストとコンテナーに関連する侵入検知と防御のためのアラート。 説明 CWPP タブのすべてのアラート。 |
対応可能です |
|
|
アラートの保持期間
アラートは 30 日間保持されます。アラートがイベント生成ルールにヒットしてイベントを生成した場合、そのアラートは 180 日間保持されます。保持期間が過ぎると、アラートは自動的に削除されます。
上記のアラート保持期間は、Agentic SOC アラートに適用されます。これらのアラートは、CWPP タブを除くすべてのタブに表示されます。
アラート処理の説明
Agentic SOC アラートはステートレスであり、処理できません。Agentic SOC は、追加されたログデータに基づいて分析と判断を行います。既存データに依存して新しいアラートを生成することはありません。
Agentic SOC のセキュリティインシデント処理機能を使用して、アセットへのセキュリティ脅威に対処できます。詳細については、「セキュリティインシデントの処理」および「レスポンスオーケストレーション」をご参照ください。
アラートの表示
以下に、アラートを表示する手順を説明します。このトピックでは、Aggregate and Analyze Alerts タブのアラートを例として使用します。
Security Center コンソールにログインします。コンソールの左上隅で、アセットが所在するリージョン ([中国] または [全世界 (中国を除く)]) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
Aggregate and Analyze Alerts タブで、事前定義済みルールに基づいて生成されたアラートを表示します。
アラートの影響を受けるアセットを表示するには、Affected Asset 列のリンクをクリックして、影響を受けるアセットの詳細を表示します。
アラートを生成した悪意のあるエンティティを表示するには、Malicious Entity 列のリンクをクリックして、Agentic SOC によって解析され、システムのセキュリティに脅威をもたらす要素や動作を表示します。悪意のあるエンティティには、攻撃を開始する IP アドレス、プロセス、ファイルなどが含まれます。
アラートの関連イベントを表示するには、Associated Event ID 列の ID をクリックして、関連イベントの詳細を表示します。
アラートの 操作する 列で、詳細 をクリックして詳細を表示します。
アラートの基本情報、影響を受けるアセット、発生時間、説明を表示できます。
一般的なウイルスアラートの処理に関するチュートリアル
セキュリティ強化ソリューション
Security Center のアップグレード:Enterprise Edition および Ultimate Edition は、ウイルスの自動隔離をサポートしており、正確な防御とより多くのセキュリティチェック項目を提供します。
アクセス制御の強化:80 や 443 などの必要なサービスポートのみを開放します。22 や 3389 などの管理ポート、および 3306 などのデータベースポートには、厳格な IP アドレスホワイトリストを設定します。
説明Alibaba Cloud ECS サーバーについては、「セキュリティグループの管理」をご参照ください。
複雑なサーバーパスワードの設定:ご利用のサーバーとアプリケーションに、大文字、小文字、数字、特殊文字を含む複雑なパスワードを作成します。
ソフトウェアのアップグレード:アプリケーションを速やかに最新の公式バージョンに更新します。メンテナンスが終了している、または既知のセキュリティ脆弱性がある古いバージョンの使用は避けてください。
定期的なバックアップの実行:重要なデータとシステムディスクに対して自動スナップショットポリシーを作成します。
説明Alibaba Cloud ECS サーバーをご利用の場合は、「自動スナップショットポリシーの作成」をご参照ください。
脆弱性の迅速な修正:Security Center の 脆弱性修正 機能を定期的に使用して、重要なシステム脆弱性およびアプリケーション脆弱性を迅速に修正します。
サーバーシステムの初期化 (注意して使用)。
ウイルスがシステムに深く感染し、基盤となるシステムコンポーネントを侵害した場合は、重要なデータをバックアップしてからサーバーを初期化することを強く推奨します。次の手順を実行してください:
スナップショットを作成して、サーバー上の重要なデータをバックアップします。詳細については、「スナップショットの作成」をご参照ください。
サーバーのオペレーティングシステムを再初期化します。詳細については、「システムディスクの再初期化」をご参照ください。
スナップショットからディスクを作成します。詳細については、「スナップショットからのデータディスクの作成」をご参照ください。
オペレーティングシステムを再インストールしたサーバーにディスクをアタッチします。詳細については、「データディスクのアタッチ」をご参照ください。
関連ドキュメント
クラウドサービスからログを追加した後、脅威検知ルールを設定して、複数の関連するセキュリティアラートを、完全な攻撃チェーンを示すセキュリティインシデントに集約できます。これにより、アラートの数が減り、アラートの分析と対応の効率が向上します。詳細については、「脅威検知ルールの設定」をご参照ください。
セキュリティアラートの API 操作を呼び出して、セキュリティアラート情報をクエリできます。API 操作のリストについては、「セキュリティアラート」をご参照ください。