Security Center の Agentic SOC は、事前定義ルールまたはカスタムルールを使用して複数のセキュリティアラートのコンテキストを分析し、それらを完全なインシデントに集約します。これにより、攻撃チェーンが再構築され、悪意のあるエンティティが抽出されるため、クラウドにおけるセキュリティリスクに迅速に対応し、処理することができます。このトピックでは、Agentic SOC アラートから生成されたセキュリティインシデントの処理方法について説明します。
注
Agentic SOC サービスを有効にすると、クラウドワークロード保護プラットフォーム (CWPP) セキュリティアラートから生成されたセキュリティインシデントは、処理のために Agentic SOC に移行されます。処理プロセスは、Agentic SOC によって生成されたセキュリティインシデントと同じです。詳細については、「CWPP セキュリティインシデントの概要」をご参照ください。
Agentic SOC セキュリティインシデントの概念
Agentic SOC セキュリティインシデントのソース
Security Center の Agentic SOC は、事前定義ルールまたはカスタムルールに基づいてセキュリティアラートを生成します。その後、Agentic SOC はこれらのアラートのコンテキストを分析し、それらを完全なインシデントに集約します。
Agentic SOC のアラート情報を、Aggregate and Analyze Alerts および Custom Alert Analysis タブで表示できます。これらのタブは、 ページにあります。
事前定義ルールとカスタムルールの設定方法の詳細については、「ルール管理」をご参照ください。
Agentic SOC セキュリティインシデントの生成メカニズム
Agentic SOC セキュリティインシデントは、事前定義ルールまたはカスタムルールに基づいて、複数の関連するセキュリティアラートを集約することで作成されます。これにより、セキュリティ脅威を迅速に特定し、対応することができます。セキュリティインシデントは、アラートのソースデバイスに基づいて、次の2つのタイプに分類されます。
ネットワーク側: Agentic SOC は、スキャンやプロービングなどの悪意のある偵察活動に焦点を当て、事前定義ルールを使用してネットワーク側のアラートからインシデントを生成します。これにより、攻撃者がより多くのユーザー情報をプロービングするのを防ぐことができます。
ホスト側: Agentic SOC は、グラフコンピューティング技術を使用して、同じ MD5 ハッシュや親プロセス ID を持つアラートなど、関連するホスト側のアラートをインシデントに集約します。これにより、攻撃の侵入ポイントを迅速に特定し、対応することができます。
すべてのアラートがセキュリティインシデントを生成するわけではありません。インシデント生成をトリガーするには、アラートが次の条件を満たす必要があります。
すべてのホスト側アラートはセキュリティインシデントを生成します。ホスト側アラートに関連アラートがない場合、単一のアラートがインシデントを生成できます。ネットワーク側アラートは、事前定義ルールまたはカスタムルールでインシデント集約ポリシーにヒットした場合にのみセキュリティインシデントを生成します。
インシデントのホワイトリスト化ルールが設定されている場合、そのルールにヒットしたアラートはインシデントを生成しません。
事前定義ルールのみが有効な場合、インシデントは、Graph Compute および Expert Rules の生成メソッドに一致するアラートからのみ生成されます。
インシデントの保持期間
セキュリティイベントの処理 ページには、過去 180 日間のインシデントのみが表示されます。
セキュリティインシデントのリスクレベルと処理
リスクレベル | 説明 | 処理 |
Serious |
| このインシデントを直ちに調査し、処理することを推奨します。 |
高リスク |
| このインシデントを直ちに調査し、処理することを推奨します。 |
中リスク | このアクティビティは、疑わしい悪意のある動作またはエンティティを示しています。このインシデントは、ご利用のアセットに影響を与えた成功した侵入である可能性があります。また、異常なログインなど、異常な運用保守 (O&M) 活動の結果である可能性もあります。 | このリスクレベルは、ご利用のアセットが攻撃を受けている可能性を示唆しています。インシデントの詳細を確認してリスクを評価し、適切な措置を講じることを推奨します。 |
低リスク | このアクティビティは、侵入の可能性、または 106.11.XX.XX のような IP アドレスからのアクセスなど、外部ソースがご利用のアセットを継続的にプロービングしていることを示唆しています。 | ご利用のアセットに高いセキュリティ要件がある場合は、このリスクレベルのインシデントに注意を払う必要があります。 |
Reminder | これらは通常、ワークフロー自動化ソフトウェアからの大量のアラートであり、特定のジョブが完了したか、特定の節目に達したことを示しています。 | 通常、アクションは不要です。 |
Agentic SOC セキュリティインシデントの処理対象
集約されたアラートと抽出されたアラートエンティティを処理することで、セキュリティインシデントを処理できます。
Agentic SOC セキュリティアラート
Agentic SOC は、事前定義ルールまたはカスタムルールに基づいてセキュリティアラートを生成します。これらのアラートは分析され、セキュリティインシデントに集約されます。
「アラート集約ルール」は以下のとおりです:
グラフコンピューティングによって生成されるセキュリティインシデントの場合、アラートの最大数は 2,000 です。同種集約などの他のインシデント生成方法の場合、最大数は 10,000 です。
未処理状態のインシデントの場合、新しく生成されたアラートは引き続きインシデントに集約できます。
処理中、処理済み、または失敗状態のインシデントの場合、新しく生成されたアラートは既存のインシデントに集約されません。代わりに、未処理状態で新しいインシデントが作成されます。
エンティティ
セキュリティインシデントにおいて、エンティティはイベントに関連付けられた特定のオブジェクトまたはアクターです。Security Center は、セキュリティアラートからエンティティを抽出し、集約します。エンティティに悪意のあるタグがあるかどうかに基づいて、Security Center はそれを悪意のあるものまたは悪意のないものとして分類します。各エンティティについて、その詳細を表示し、プレイブックを実行し、Alibaba Cloud 脅威インテリジェンスをクエリできます。Security Center は、次のタイプのエンティティを識別できます。
エンティティ名 | アセットエンティティ | 悪意のある |
ホスト | はい | いいえ |
IP アドレス | はい | はい |
Alibaba Cloud アカウント | はい | いいえ |
AccessKey ペア | はい | いいえ |
ドメイン名 | はい | はい |
ファイル | いいえ | はい |
ホストプロセス | いいえ | はい |
ホストアカウント | いいえ | いいえ |
URL | いいえ | いいえ |
レジストリ | いいえ | はい |
コンテナ | はい | いいえ |
クラスター | はい | いいえ |
Object Storage Service (OSS) | はい | いいえ |
調査レポートと AI 分析
調査レポートおよび AI 分析機能を利用するには、Agentic SOC に加えて、Security Operations Agent サービスをサブスクライブする必要があります。Agentic SOC のベーシックエディションと Security Operations Agent サービスの違いについて詳しくは、「Agentic SOC ベーシックエディションと Security Operations Agent の違い」をご参照ください。
Security Operations Agent へアップグレード後、システムは Agentic AI をコアエンジンとして利用します。Agentic AI は、Alibaba Cloud のネイティブなセキュリティデータおよびインフラストラクチャを活用し、自律的な知覚・推論・実行能力により、セキュリティインシデントを自動分析して 調査レポート を生成します。インシデントが作成された際にシステムが自動的に調査をトリガーし、その後、新たなアラートが当該インシデントと相関付けられた場合にも再び調査を実行します。
AI 分析では、明確な結論(信頼度に基づく分類)を提示します:信頼度が 85 % を超える場合は 真正陽性(true positive)、信頼度が 10 % 以下の場合には 誤検知(false positive)、信頼度が 30 % ~ 60 % の場合には 情報不足(insufficient information) です。また、攻撃に関する詳細情報(影響を受けた資産、攻撃チェーン、ペイロード分析、攻撃タイムラインなど)も提供されます。
詳細については、「Agentic SOC のセキュリティインシデントの評価と対応」をご参照ください。
インシデント処理
機能 | 説明 |
サポートされるインシデントタイプ |
|
インシデントの処理方法 |
|