Agentic SOC を有効化すると、Security Center は取り込まれたログを分析し、セキュリティアラートを生成します。本ページでは、アラートの発生元、適用される制限事項、およびアラート詳細の確認方法について説明します。
Agentic SOC を有効化した後、Cloud Workload Protection Platform (CWPP) のセキュリティアラート情報は、Agentic SOC のセキュリティアラートディレクトリに移行されます。これらのアラートは、CWPP タブで表示および処理してください。詳細については、「セキュリティアラートの評価と処理」をご参照ください。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
Agentic SOC サービスを購入および有効化済みであること。詳細については、「Agentic SOC の購入および有効化」をご参照ください。
必要なプロダクトからログが追加済みであること。詳細については、「プロダクトアクセス」をご参照ください。
アラートの発生元
アラート ページは、アラートの発生元ごとにタブで構成されています。各タブには、異なるデータソースからのアラートが表示されます。
| タブ | データソース |
|---|---|
| 集約および分析アラート | Agentic SOC が、取り込まれたログに対して事前定義されたルールに基づいて生成したアラートです。 |
| カスタムアラート分析 | Agentic SOC が、取り込まれたログに対してお客様が作成したカスタムルールに基づいて生成したアラートです。 |
| CWPP | Security Center によるホストおよびコンテナに対する侵入検知および防御アラートです。詳細については、「セキュリティアラート — CWPP(クラウドワークロード)」をご参照ください。 |
| Cloud Firewall | Alibaba Cloud Firewall およびサードパーティ製ファイアウォール(例:Tencent Cloud、Huawei Cloud、Fortinet)から Agentic SOC に追加されたアラートログです。 |
| WAF | Alibaba Cloud Web Application Firewall (WAF) およびサードパーティ製 WAF プロダクト(例:Tencent Cloud、Huawei Cloud、Fortinet)から Agentic SOC に追加されたアラートログです。 |
| EDR | Sangfor aES などのサードパーティ製エンドポイント検知および対応 (EDR) サービスから Agentic SOC に追加されたアラートログです。 |
| その他 | Security Center、Cloud Firewall、WAF、EDR のログを除く、Agentic SOC に追加されたその他のすべてのアラートログです。 |
Agentic SOC アラートと CWPP アラートの違い
CWPP タブのアラートは、その他のすべてのタブのアラートとは検知方法および処理オプションが異なります。
| 項目 | Agentic SOC アラート(CWPP タブ以外のすべてのタブ) | CWPP アラート(CWPP タブのみ) |
|---|---|---|
| 検知方法 | Agentic SOC が、取り込まれたログを事前定義およびカスタムのルールに基づいて分析します。 | Security Center が、ホストおよびコンテナの活動に関する脅威検知モデルを用いて侵入を検知します。 |
| 個別処理 | 個別に処理できません — アラートは閲覧専用です。 | 個別に処理できます。対応可能な操作には、トロイの木馬スキャン、隔離、ブロック、ホワイトリストへの追加があります。 |
| インシデント処理 | セキュリティインシデント(Agentic SOC アラートの集約されたコレクション)を処理して、脅威に対応します。 | 個別のアラートおよび集約されたセキュリティインシデントの両方を処理できます。 |
アラートの保持期間
Agentic SOC アラート(CWPP タブを除くすべてのタブ)の保持期間は以下のとおりです。
デフォルトで 30 日間。
アラートがイベント生成ルールをトリガーし、イベントを生成した場合は、180 日間。
保持期間が満了すると、アラートは自動的に削除されます。
Agentic SOC アラートが個別に処理できない理由
Agentic SOC アラートは ステートレス です。すなわち、各アラートは、過去のアラート状態を参照せずに、取り込まれたログデータから新たに生成されます。Agentic SOC は、追加されたログデータに基づいて分析および判断を行いますが、新しいアラートの生成には既存データを依拠しません。
Agentic SOC アラートによって特定されたセキュリティ脅威に対応するには、セキュリティインシデント処理機能をご利用ください。セキュリティインシデントは関連するアラートを完全な攻撃チェーンとして集約し、インシデント単位で応答操作を実行できます。詳細については、「セキュリティインシデントの処理」および「応答オーケストレーション」をご参照ください。
アラートの表示
以下の手順では、集約および分析アラート タブを例として説明します。
Security Center コンソール にログインします。左上隅のリージョン選択メニューから、ご利用の資産が配置されているリージョン(中国 または 中国国外)を選択します。Security Center コンソールにログインします。Security Center コンソール。
左側のナビゲーションウィンドウで、Agentic SOC > アラート を選択します。
集約および分析アラート タブで、事前定義ルールによって生成されたアラート一覧を確認します。各アラートについて、以下の操作が可能です。
影響を受けた資産 列のリンクをクリックして、関連する資産の詳細を表示します。
悪意のあるエンティティ 列のリンクをクリックして、Agentic SOC が解析した脅威要素または動作(例:IP アドレス、プロセス、ファイルなど)を表示します。
関連付けられたイベント ID 列の ID をクリックして、関連するセキュリティイベントを開きます。
操作 列で、詳細 をクリックして、アラート詳細パネルを開きます。パネルには、アラートの基本情報、影響を受けた資産、発生時間、および説明が表示されます。
一般的なウイルスアラートの処理チュートリアル
セキュリティ強化
アラート内で脅威を検出した場合、以下のセキュリティ強化措置を適用して、リスクを低減してください。
Security Center のアップグレード:Enterprise 版および Ultimate 版では、ウイルスの自動隔離がサポートされており、より正確な防御および広範なセキュリティチェックが可能です。
アクセス制限:必要最低限のポート(例:80、443)のみを開きます。管理ポート(22、3389)およびデータベースポート(3306)には、厳格な IP アドレスホワイトリストを適用します。
Alibaba Cloud ECS サーバーの場合は、「セキュリティグループの管理」をご参照ください。
強力なパスワードの使用:すべてのサーバーおよびアプリケーションに対して、大文字、小文字、数字、特殊文字を含むパスワードを設定します。
ソフトウェアの最新化:アプリケーションを最新の公式バージョンに更新します。メンテナンス終了済みまたは既知の脆弱性を含むバージョンは避けてください。
定期的なバックアップ:重要なデータおよびシステムディスクに対して、自動スナップショットポリシーを作成します。
Alibaba Cloud ECS サーバーの場合、「自動スナップショットポリシーの作成」をご参照ください。
脆弱性を迅速に修正する: Security Center の 脆弱性の修正 機能を使用して、重要なシステムおよびアプリケーションの脆弱性に対処します。
サーバーシステムの再初期化(注意して使用):ウイルスが基盤となるシステムコンポーネントに深く侵食している場合、データをバックアップしたうえでサーバーを再初期化します。以下の手順に従ってください。
重要なデータをバックアップするために、スナップショットを作成します。「スナップショットの作成」をご参照ください。
オペレーティングシステムを初期化します。詳細については、「システムディスクを初期化する」をご参照ください。
スナップショットからディスクを作成します。詳細については、「スナップショットからデータディスクを作成する」をご参照ください。
再インストールされた サーバーにディスクをアタッチします。詳細については、「データディスクをアタッチする」をご参照ください。
次のステップ
関連するアラートを完全な攻撃チェーンを示すセキュリティインシデントに集約するためのアラート検知ルールを設定し、アラート数を削減して応答効率を向上させます。「脅威検知ルールの設定」をご参照ください。
API を使用してセキュリティアラートデータをクエリできます。詳細については、「セキュリティアラート API リファレンス」をご参照ください。