すべてのプロダクト
Search
ドキュメントセンター

Security Center:Agentic SOC におけるセキュリティインシデントの概要

最終更新日:Mar 27, 2026

Security Center の Agentic SOC は、事前定義ルールまたはカスタムルールを使用して複数のセキュリティアラートのコンテキストを分析し、それらを完全なインシデントに集約します。これにより、攻撃チェーンが再構築され、悪意のあるエンティティが抽出されるため、クラウドにおけるセキュリティリスクに迅速に対応し、処理することができます。このトピックでは、Agentic SOC アラートから生成されたセキュリティインシデントの処理方法について説明します。

Agentic SOC サービスを有効にすると、クラウドワークロード保護プラットフォーム (CWPP) セキュリティアラートから生成されたセキュリティインシデントは、処理のために Agentic SOC に移行されます。処理プロセスは、Agentic SOC によって生成されたセキュリティインシデントと同じです。詳細については、「CWPP セキュリティインシデントの概要」をご参照ください。

Agentic SOC セキュリティインシデントの概念

Agentic SOC セキュリティインシデントのソース

Security Center の Agentic SOC は、事前定義ルールまたはカスタムルールに基づいてセキュリティアラートを生成します。その後、Agentic SOC はこれらのアラートのコンテキストを分析し、それらを完全なインシデントに集約します。

説明
  • Agentic SOC のアラート情報を、Aggregate and Analyze Alerts および Custom Alert Analysis タブで表示できます。これらのタブは、脅威の分析と応答 > セキュリティアラート ページにあります。

  • 事前定義ルールとカスタムルールの設定方法の詳細については、「ルール管理」をご参照ください。

Agentic SOC セキュリティインシデントの生成メカニズム

Agentic SOC セキュリティインシデントは、事前定義ルールまたはカスタムルールに基づいて、複数の関連するセキュリティアラートを集約することで作成されます。これにより、セキュリティ脅威を迅速に特定し、対応することができます。セキュリティインシデントは、アラートのソースデバイスに基づいて、次の2つのタイプに分類されます。

  • ネットワーク側: Agentic SOC は、スキャンやプロービングなどの悪意のある偵察活動に焦点を当て、事前定義ルールを使用してネットワーク側のアラートからインシデントを生成します。これにより、攻撃者がより多くのユーザー情報をプロービングするのを防ぐことができます。

  • ホスト側: Agentic SOC は、グラフコンピューティング技術を使用して、同じ MD5 ハッシュや親プロセス ID を持つアラートなど、関連するホスト側のアラートをインシデントに集約します。これにより、攻撃の侵入ポイントを迅速に特定し、対応することができます。

すべてのアラートがセキュリティインシデントを生成するわけではありません。インシデント生成をトリガーするには、アラートが次の条件を満たす必要があります。

  • すべてのホスト側アラートはセキュリティインシデントを生成します。ホスト側アラートに関連アラートがない場合、単一のアラートがインシデントを生成できます。ネットワーク側アラートは、事前定義ルールまたはカスタムルールでインシデント集約ポリシーにヒットした場合にのみセキュリティインシデントを生成します。

  • インシデントのホワイトリスト化ルールが設定されている場合、そのルールにヒットしたアラートはインシデントを生成しません。

  • 事前定義ルールのみが有効な場合、インシデントは、Graph Compute および Expert Rules の生成メソッドに一致するアラートからのみ生成されます。

インシデントの保持期間

セキュリティイベントの処理 ページには、過去 180 日間のインシデントのみが表示されます。

セキュリティインシデントのリスクレベルと処理

リスクレベル

説明

処理

Serious

  • インシデントで説明されているアクティビティにより、サービス中断が発生し、重要な機能にアクセスできなくなったり、ネットワーク全体が停止したりします。これはサービス可用性に深刻な影響を与え、回避策はありません。

  • このアクティビティは、確認済みの悪意のある動作またはエンティティを含む明確な侵入を示しています。

  • 影響は広範囲に及び、複数のサーバーに影響を与えます。

このインシデントを直ちに調査し、処理することを推奨します。

高リスク

  • このアクティビティは、確認済みの悪意のある動作またはエンティティの発見を示しています。このインシデントは、リバースシェルなどの異常なプロセス動作のように、ご利用のアセットがすでに侵害されている成功した侵入である可能性が非常に高いです。

  • 影響は通常、単一のマシンに限定されます。

このインシデントを直ちに調査し、処理することを推奨します。

中リスク

このアクティビティは、疑わしい悪意のある動作またはエンティティを示しています。このインシデントは、ご利用のアセットに影響を与えた成功した侵入である可能性があります。また、異常なログインなど、異常な運用保守 (O&M) 活動の結果である可能性もあります。

このリスクレベルは、ご利用のアセットが攻撃を受けている可能性を示唆しています。インシデントの詳細を確認してリスクを評価し、適切な措置を講じることを推奨します。

低リスク

このアクティビティは、侵入の可能性、または 106.11.XX.XX のような IP アドレスからのアクセスなど、外部ソースがご利用のアセットを継続的にプロービングしていることを示唆しています。

ご利用のアセットに高いセキュリティ要件がある場合は、このリスクレベルのインシデントに注意を払う必要があります。

Reminder

これらは通常、ワークフロー自動化ソフトウェアからの大量のアラートであり、特定のジョブが完了したか、特定の節目に達したことを示しています。

通常、アクションは不要です。

Agentic SOC セキュリティインシデントの処理対象

集約されたアラートと抽出されたアラートエンティティを処理することで、セキュリティインシデントを処理できます。

Agentic SOC セキュリティアラート

Agentic SOC は、事前定義ルールまたはカスタムルールに基づいてセキュリティアラートを生成します。これらのアラートは分析され、セキュリティインシデントに集約されます。

アラート集約ルール」は以下のとおりです:

  • グラフコンピューティングによって生成されるセキュリティインシデントの場合、アラートの最大数は 2,000 です。同種集約などの他のインシデント生成方法の場合、最大数は 10,000 です。

  • 未処理状態のインシデントの場合、新しく生成されたアラートは引き続きインシデントに集約できます。

  • 処理中、処理済み、または失敗状態のインシデントの場合、新しく生成されたアラートは既存のインシデントに集約されません。代わりに、未処理状態で新しいインシデントが作成されます。

エンティティ

セキュリティインシデントにおいて、エンティティはイベントに関連付けられた特定のオブジェクトまたはアクターです。Security Center は、セキュリティアラートからエンティティを抽出し、集約します。エンティティに悪意のあるタグがあるかどうかに基づいて、Security Center はそれを悪意のあるものまたは悪意のないものとして分類します。各エンティティについて、その詳細を表示し、プレイブックを実行し、Alibaba Cloud 脅威インテリジェンスをクエリできます。Security Center は、次のタイプのエンティティを識別できます。

エンティティ名

アセットエンティティ

悪意のある

ホスト

はい

いいえ

IP アドレス

はい

はい

Alibaba Cloud アカウント

はい

いいえ

AccessKey ペア

はい

いいえ

ドメイン名

はい

はい

ファイル

いいえ

はい

ホストプロセス

いいえ

はい

ホストアカウント

いいえ

いいえ

URL

いいえ

いいえ

レジストリ

いいえ

はい

コンテナ

はい

いいえ

クラスター

はい

いいえ

Object Storage Service (OSS)

はい

いいえ

調査レポートと AI 分析

重要

調査レポートおよび AI 分析機能を利用するには、Agentic SOC に加えて、Security Operations Agent サービスをサブスクライブする必要があります。Agentic SOC のベーシックエディションと Security Operations Agent サービスの違いについて詳しくは、「Agentic SOC ベーシックエディションと Security Operations Agent の違い」をご参照ください。

  • Security Operations Agent へアップグレード後、システムは Agentic AI をコアエンジンとして利用します。Agentic AI は、Alibaba Cloud のネイティブなセキュリティデータおよびインフラストラクチャを活用し、自律的な知覚・推論・実行能力により、セキュリティインシデントを自動分析して 調査レポート を生成します。インシデントが作成された際にシステムが自動的に調査をトリガーし、その後、新たなアラートが当該インシデントと相関付けられた場合にも再び調査を実行します。

  • AI 分析では、明確な結論(信頼度に基づく分類)を提示します:信頼度が 85 % を超える場合は 真正陽性(true positive)、信頼度が 10 % 以下の場合には 誤検知(false positive)、信頼度が 30 % ~ 60 % の場合には 情報不足(insufficient information) です。また、攻撃に関する詳細情報(影響を受けた資産、攻撃チェーン、ペイロード分析、攻撃タイムラインなど)も提供されます。

詳細については、「Agentic SOC のセキュリティインシデントの評価と対応」をご参照ください。

インシデント処理

機能

説明

サポートされるインシデントタイプ

  • 複数の Agentic SOC セキュリティアラートのコンテキストを分析し、事前定義ルールまたはカスタムルールに基づいて集約することで、完全なインシデントが形成されます。

  • CWPP セキュリティアラートから生成されたセキュリティインシデントは、Agentic SOC に移行されて処理されます。

インシデントの処理方法

セキュリティインシデント対応プロセス

image