セキュリティインシデントとは - Security Center - Alibaba Cloud ドキュメントセンター

Security Center のホスト保護およびコンテナー保護機能は、ご利用の資産保護ルールに基づいてアラートを生成します。これらのアラートは、アラートページの Cloud Workload Protection Platform (CWPP) タブに表示されます。このトピックでは、CWPP セキュリティインシデントの基本概念について説明します。

概要

CWPP セキュリティインシデントのソース

Security Center で設定したホスト保護とコンテナー保護の資産保護ルールに基づいてアラートが生成されます。その後、Security Center はグラフコンピューティング技術を使用して、関連する CWPP アラートをセキュリティインシデントに集約します。たとえば、同じ MD5 ハッシュまたは親プロセス ID を共有するアラートをグループ化します。インシデント詳細ページの概要セクションには、アラートソースとして Security Center が記載されています。

説明

CWPP アラート情報は、レスポンス検出 > セキュリティアラート ページの CWPP タブで表示できます。

CWPP セキュリティインシデントの生成ルール

デフォルトでは、精密防御アラートを除き、すべての CWPP アラートがセキュリティインシデントを生成します。ホストアラートが他のどのアラートとも関連がない場合、単一のインシデントが生成されます。

重要

インシデントのホワイトリストルールを設定した場合、ルールにヒットしたアラートはセキュリティインシデントを生成しません。

インシデントの保存期間

セキュリティイベントの処理 ページには、過去 180 日間のインシデントのみが表示されます。

インシデントのリスクレベルと対処方法

リスクレベル	説明	対処方法
Serious	インシデントで説明されている動作がサービス中断を引き起こします。主要な機能にアクセスできないか、ネットワークが完全にダウンしています。これにより、サービスの可用性に深刻な影響が及び、回避策はありません。明確な悪意のある動作またはエンティティと、確定的な侵入が検知されました。影響は広範囲に及び、複数のサーバーが関与しています。	このインシデントを直ちに確認し、対処してください。
高リスク	明確な悪意のある動作またはエンティティが検知されました。このインシデントは、すでにご利用の資産に影響を与えている侵入成功の可能性が非常に高いです。例：リバースシェルなどの異常なプロセス動作。このようなインシデントは、通常、単一のマシンのみが関与します。	このインシデントを直ちに確認し、対処してください。
中リスク	悪意のある動作またはエンティティの疑いが検知されました。このインシデントは、ご利用の資産に影響を与えている侵入成功の可能性があります。また、異常なログインなど、通常とは異なる運用保守オペレーションによって引き起こされる可能性もあります。	このリスクレベルは、ご利用の資産が攻撃を受けている可能性を示します。インシデントの詳細を確認して脅威が存在するかどうかを判断し、適切な操作を行ってください。
低リスク	インシデントが侵入成功である可能性があります。また、106.11.XX.XX からのアクセスなど、外部ソースからの継続的な攻撃プローブをご利用の資産が受けていることを意味する場合もあります。	ご利用の資産に高いセキュリティ要件がある場合は、このレベルのセキュリティインシデントをフォローする必要があります。
Reminder	これらは通常、ジョブ自動化ソフトウェアからのアラートです。特定のジョブが実行されたか、特定の節目に達したことのみを示します。	このようなインシデントは懸念する必要はありません。

処理対象

セキュリティインシデントは、集約されたアラートと抽出されたアラートエンティティに対処することで処理できます。

CWPP セキュリティアラート

CWPP セキュリティインシデントは、グラフコンピューティング技術を使用して CWPP セキュリティアラートを集約することによって生成されます。インシデントが誤検知である場合は、そのインシデントと関連するアラートをホワイトリストに追加できます。

アラート集約ルールは次のとおりです：

CWPP セキュリティインシデントは、グラフコンピューティング技術を使用して最大 2,000 件のアラートを集約できます。
ステータスが「未処理」のインシデントの場合、新しいアラートをそのインシデントに集約できます。
ステータスが「処理中」、「処理済み」、または「処理失敗」のインシデントの場合、新しいアラートはそのインシデントに集約されません。代わりに、ステータスが「未処理」の新しいインシデントが生成されます。

エンティティ

セキュリティインシデントにおいて、エンティティとはインシデントに関連する特定のオブジェクトまたはアクターです。Security Center は、セキュリティアラートからエンティティを抽出し、集約します。Security Center は、エンティティに悪意のあるタグがあるかどうかに基づいて、悪意のあるものとそうでないものに分類します。また、エンティティの詳細の表示、プレイブックの実行、Alibaba Cloud 脅威インテリジェンスのクエリも実行できます。Security Center は、次の種類のエンティティを識別できます：

エンティティ名	資産エンティティか	悪意ありと識別可能か
ホスト	✅	❌
IP アドレス	✅	✅
Alibaba Cloud アカウント	✅	❌
AccessKey ペア	✅	❌
ドメイン名	✅	✅
ファイル	❌	✅
ホストプロセス	❌	✅
ホストアカウント	❌	❌
URL	❌	❌
レジストリ	❌	✅
コンテナー	✅	❌
クラスター	✅	❌
Object Storage Service (OSS)	✅	❌

セキュリティインシデントの処理フローチャート

その他のサービス

脅威の分析と応答 サービスを有効化すると、セキュリティインシデントの分析と応答に関する追加機能にアクセスできます。次の表は、サービスを比較したものです：

相違点	Agentic SOC あり	Agentic SOC なし
処理でサポートされるインシデントタイプ	複数の Agentic SOC セキュリティアラートのコンテキストを分析し、事前定義またはカスタムの Agentic SOC ルールを使用して、それらを完全なインシデントに集約します。 CWPP セキュリティアラートから生成されたセキュリティインシデントは、処理のために Agentic SOC に移行されます。	セキュリティインシデントは、グラフコンピューティングを使用して CWPP セキュリティアラートを集約することによって生成されます。例として、Security Center のホストおよびコンテナーに対する侵入検知および防御アラートが含まれます。
インシデントの対処方法	推奨される対処ポリシーインシデントステータスの更新ホワイトリストへの追加重要事前定義またはカスタムの Agentic SOC ルールによって生成されたインシデントの場合、Add Event to Whitelist のみがサポートされます。 CWPP インシデントの場合、Add Event to Whitelist と Add Alert to Whitelist の両方がサポートされます。プレイブックの実行 Security Orchestration and Automation Response (SOAR) を使用した自動処理	推奨される対処ポリシーインシデントステータスの更新ホワイトリストへの追加重要 CWPP インシデントの場合、Add Alert to Whitelist のみがサポートされます。プレイブックの実行