すべてのプロダクト
Search

このプロダクト

    Security Center:標準化ルールとデータセット

    ドキュメントセンター

    Security Center:標準化ルールとデータセット

    最終更新日:Jan 17, 2026

    Agentic SOC のログ取り込みポリシーは、標準化取り込みルールとバインドする必要があります。標準化ルールは、Simple Log Service の SPL 構文データセットを使用してログを解析します。

    標準化ルールのソース

    標準化取り込みルールは、SPL 構文を使用して、受信ログをデータセットにマッピングし、ログから主要なフィールド情報を抽出し、後続のログ解析ルールがアラート情報を生成するためのデータサポートを提供します。

    ルールソース

    説明

    サポートされる操作

    事前定義

    • Agentic SOC は、一連の解析ルールを事前に初期化し、それらに SPL 構文を設定し、取り込みポリシーとバインドしています。これには 50 以上のルールテンプレートが含まれており、ユーザーは Alibaba Cloud のセキュリティ専門家の経験を活用できます。

    表示

    カスタム

    • ユーザーによって作成され、事前定義ルールや既存のカスタムルールをテンプレートとして参照できます。

    • カスタム標準化ルールで解析する必要があるデータソースに、まずログデータをインポートする必要があります。そうしないと、追加を完了できません。

    • 追加

    • 表示

    • 変更

    • 削除

    標準化ルールの操作

    前提条件

    Agentic SOC を購入し、有効化していること。具体的な操作については、「Cloud Threat Detection and Response の購入と有効化」をご参照ください。

    カスタム標準化ルールの作成

    1. Security Center コンソールにログインします。 コンソールの左上隅で、保護対象のアセットが配置されているリージョンとして 中国 または 全世界 (中国を除く) を選択します。

    2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > Integration Center を選択します。 [標準化ルール] タブで、左上隅にある Create Custom Rule をクリックします。

    3. 以下の情報を参照して、基本設定を完了します。

      パラメーター

      説明

      [ルール名]

      ユーザー定義

      [Service Provider]

      • 事前定義ベンダー:Alibaba Cloud、Fortinet、Chaitin Tech、Microsoft、Sangfor、Tencent Cloud、Huawei Cloud、Hillstone Networks、Knownsec、Microsoft Cloud など。

      • ユーザー定義メーカー:メーカーの作成方法については、「ステップ 1: プロダクトの追加」をご参照ください。

      製品

      Alibaba Cloud Security Center、Fortinet Firewall など、メーカー配下のすべてのプロダクトを自動的にプルします。Agentic SOC がサポートするプロダクトについては、「サポートされるプロダクトとログ」をご参照ください。

      [Standardization Category or Structure]

      標準化分類:ネットワークログ、ホストログ、セキュリティログ、監査ログ、スナップショットログ、ログオンログ、その他のログ。

      標準化構造:

      • 1 つの標準化分類には、複数の標準化構造が含まれます。

      • 1 つの標準化構造は、1 セットの標準化フィールドと 1 つのデータセット (StoreView) に対応します。1 つのデータセットは、複数の標準化構造にマッピングできます。

        説明

        標準化分類/構造に対応するデータセットと標準化フィールドの表示方法については、「データセットの説明」をご参照ください。

      [Remarks]

      現在の標準化ルールに機能説明を追加して、クイック検索を容易にし、可読性を向上させることができます。

    4. SPL 構文を設定し、ログ標準化テストを実行します。

      1. データソースの選択:カスタムルールで分析する必要があるデータソースを選択します。

      2. SPL 構文を入力します。

        事前定義ルールや既存のカスタムルールをテンプレートとして使用できます。これらのルールに対応する SPL 構文は、詳細ページで確認できます。

        image

        また、「SPL 構文ドキュメント」を参照して、独自のカスタム構文を作成することもできます。image

      3. 標準化テストを実行します。

        警告

        現在のデータソースにデータがない場合、SPL 構文はログを解析して結果を返すことができず、テストデータを選択して標準化テストを完了することができなくなります。

        image ボタンをクリックし、テストデータを選択して、Parse and Test をクリックします。

        image

    5. テストに合格したら、左下隅の [完了] をクリックします。

    標準化ルールの変更

    重要

    カスタムルールのみ変更をサポートします。

    1. Security Center コンソールにログインします。コンソールの左上隅で、保護対象のアセットが配置されているリージョンとして、中国 または 全世界 (中国を除く) を選択します。

    2. 左側のナビゲーションウィンドウで、[脅威の分析と応答 > Integration Center] を選択します。

    3. 変更したいルールを見つけ、「操作」列の[編集]ボタンをクリックします。

    4. 編集ページで関連コンテンツを変更します。変更可能な設定項目は次のとおりです:

    標準化ルールの削除

    重要

    • 事前定義ルールは削除できません。

    • アクセスポリシーにバインドされている標準化ルールは削除できません。

    1. Security Center コンソールにログインします。 コンソールの左上隅で、保護対象アセットのリージョンとして中国または全世界 (中国を除く)を選択します。

    2. 左側のナビゲーションウィンドウで、[脅威の分析と応答 > Integration Center] を選択します。

    3. 削除したいルールを見つけ、操作列の [削除] ボタンをクリックします。

    データセットの説明

    データセット Storeview は Logstore に基づいて作成された仮想リソースであり、複数の Logstore 間の関係を管理および保存するために使用されます。データセット (Storeview) を通じて、異なる Logstore 内のログに対して統一されたクエリを実行できますが、データセット (Storeview) はログの変更操作をサポートしていません。

    標準化ルールとデータセットの関係の説明

    標準化ルールでは、Standardization Category or Structureを設定する必要があります。各標準化分類には複数の標準化構造が含まれ、各構造はストレージのデータセット (StoreView) および一連の標準化されたフィールドに対応します。また、データセット (StoreView) は複数の標準化構造にマッピングされます。この関係については、次の図をご参照ください。

    プロダクト統合への影響

    プロダクト統合中、Agentic SOC はデータセット内のデータ標準フィールドに基づいて SPL 構文に従ってプロダクトログを解析し、脅威検出ルールと照合して、最終的にセキュリティリスクを特定します。さらに、データセットはアクセスポリシーに対して以下の設定制限があります:

    データセット (StoreView) がスキャンクエリモードで既に 5 つのアクセスポリシーに紐付けられている場合、新しいポリシーの標準化メソッドは「Real-time Consumption」のみとなり、「Scan Query」はサポートされません。標準化メソッドの説明については、「製品ログ」をご参照ください。

    データセットの表示

    一般的なデータセットは次のとおりです:

    標準化分類

    標準化構造

    データセット名

    ネットワークログ

    5タプルログ

    network_activity

    DNS ログ

    HTTP ログ

    ホストログ

    プロセスネットワーク接続ログ

    process_activity

    プロセスファイル書き込みログ

    プロセス起動ログ

    プロセス DNS リクエストログ

    セキュリティログ

    API セキュリティリスクログ

    risk_activity

    クラウドサービスベースラインログ

    ホストベースラインログ

    クラウドプラットフォーム操作アラートログ

    alert_activity

    API セキュリティアラートログ

    エンドポイント検出・応答アラートログ

    ファイアウォールアラートログ

    ホストネットワークアラートログ

    WAF のアラートログ

    その他のアラートログ

    クローラーアラートログ

    脆弱性ログ

    vulnerability_activity

    監査ログ

    Bastionhost 監査ログ

    audit_activity

    NoSQL データベース監査ログ

    クラウドプラットフォーム操作監査ログ

    Kubernetes リソースの監査ログ

    Windows セキュリティイベントログ

    API Gateway 監査ログ

    SQL データベース監査ログ

    Object Storage Service 監査ログ

    Azure Active Directory 監査ログ

    Azure Active Directory ログオンログ

    スナップショットログ

    アカウントスナップショット

    account_activity

    プロセス起動スナップショット

    process_activity

    ネットワーク接続スナップショット

    ログオンログ

    クラウドプラットフォームログオンログ

    login_activity

    ホストログオン失敗ログ

    ホストログオンログ

    さらに多くのデータセット情報を表示したい場合は、以下の手順を参照してください。

    1. Security Center コンソールにログインします。コンソールの左上隅で、保護対象のアセットがあるリージョンとして 中国 または 全世界 (中国を除く) を選択します。

    2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > Integration Center を選択します。 [標準化ルール] タブで、左上隅にある View Standard Fields をクリックします。

      image

    3. 標準化フィールドリストでは、左側の [ログアクティビティカテゴリ] リスト項目は Agentic SOC でサポートされている標準化分類であり、リストのルートノードは標準化構造です。右側では、[データセット (StoreView)] 名と標準化フィールドのリストを表示できます。

      image

    関連ドキュメント