Security Center エージェントのファイルとプロセスの詳細な説明 - Security Center

Security Center エージェントをインストールすると、エージェントはサーバー上で AliYunDun や AliYunDunMonitor などのプロセスを開始します。これらのプロセスは、情報収集や脅威検出などの機能を有効にします。プロセスステータスを確認して、保護機能がアクティブであるかどうかを判断できます。

エージェントのアーキテクチャ

Security Center エージェントはモジュラーアーキテクチャを使用しています。コアプロセスと機能プロセスで構成されています。このアーキテクチャにより、基本機能の安定した動作と高度な機能の効率的なスケジューリングが保証されます。

コアプロセス: AliYunDun、AliYunDunMonitor、AliYunDunUpdate などのプロセスはコアプロセスです。これらは、Security Center とのハートビート接続の維持、基本的なセキュリティデータの報告、および自己更新の実行を担当します。これらのプロセスは、エージェントの信頼性の高いランタイム操作を保証します。
機能プロセス: AliHips や AliNet などのプロセスは機能プロセスです。これらは、コンソールで悪意のあるホストの動作の防止や Web 改ざん防止などの対応する高度な保護機能を有効にした後、オンデマンドでダウンロードおよび開始されます。

プロセスの詳細

重要

エージェント機能の問題を防ぐため、関連するプロセスやファイルを手動で終了または削除しないでください。
エージェント関連のファイルを削除するには、エージェント機能設定に基づいてエージェントの自己保護をオフにします。

コアプロセス

コアプロセスは、エージェントとクラウド間の通信、および基本的な監視機能の信頼性の高い操作を保証するための基本です。エージェントのインストール後に自動的に開始されます。

説明

バージョン `aegis_12_3x` 以降、AliSecureCheckAdvanced および AliDetect プロセスは AliSecCheck にマージされます。以前のバージョンは影響を受けません。

プロセス名	プロセスファイルのフォルダー	機能の説明
`AliYunDun`	`aegis_client`	Security Center と通信します。ハートビートの報告、命令の受信、データの報告、エージェントの自己保護の実行を担当します。
`AliYunDunMonitor`	`aegis_client`	ホストのセキュリティ監視を担当します。これには、アセット、プロセス、ポート、アカウントに関する情報の収集と検出が含まれます。
`AliYunDunUpdate`	`aegis_update`	エージェントのバージョンとルールライブラリの自動更新を担当します。
`AliSecCheck`	`AliSecCheck` `AliSecCheckTmp` `AliSecCheck` (Detect プラグイン)	セキュリティスキャンと検出タスクの実行を担当します。これには、脆弱性スキャン、コンプライアンスベースラインチェック、マイニングプログラムやトロイの木馬などの悪意のあるプログラムのランタイム検出が含まれます。

機能プロセス

機能プロセスは、特定の有料機能に関連付けられています。対応する機能が有効になった後にのみ開始されます。

プロセス名	プロセスファイルのフォルダー	機能の説明	開始条件
`AliNet`	`AliNet`	ネットワークレイヤーの保護を提供します。悪意のある IP アクセスやアウトバウンド攻撃などのネットワーク動作をブロックします。	悪意のあるネットワーク行動からの保護を有効にします。
`AliHips`	`AliHips`	ホスト侵入防止を提供します。悪意のあるホストの動作をブロックし、ランサムウェア対策機能を提供し、Webshell 接続を防止します。	次のいずれかの機能を有効にします: 悪意のあるホスト行動からの保護、ランサムウェア対策 (ブービートラップの検出)、または Web サイトのバックドア攻撃からの保護。
`AliWebGuard`	`AliWebGuard`	Web 改ざん防止とコアファイル監視を実行します。	Web Tamper Proofing またはコアファイルの監視を有効にします。
`ids`	`hbrclient`	セキュリティレポートの生成、異常検出、リアルタイムモニタリングなどのタスクを実行します。	サーバーのランサムウェア対策を有効にします。
`hbrclient`	`hbrclient`	データバックアップ、データ復旧、エラー監視、タスクスケジューリングなどのタスクを実行します。	サーバーのランサムウェア対策を有効にします。
`dbackup3-agent`	`dbackup3-agent`	データベースバックアッププロキシプロセスです。初期データベースバックアップ、増分バックアップ、データベースバックアップ復元、スケジューリングと管理、ロギングと監視などのタスクを実行します。	データベースのアンチランサムウェアを有効にします。

プロセスと機能の関係

機能名	関連プロセス	エディションと保護レベル	ドキュメント
クライアントの自己防衛	`AliYunDun`	不要	[エージェント設定] タブで機能を有効にする
悪意のあるネットワーク行動からの保護	`AliNet`	エディション (サブスクリプション): Advanced、Enterprise、Ultimate。保護レベル (従量課金): Host Protection または Host and Container Protection。	ホスト保護設定
悪意のあるホスト行動からの保護	`AliHips`	エディション (サブスクリプション): Anti-virus、Advanced、Enterprise、Ultimate。保護レベル (従量課金): Antivirus、Host Protection、Host and Container Protection。
ランサムウェア対策 (ブービートラップの検出)	`AliHips`	エディション (サブスクリプション): Anti-virus、Advanced、Enterprise、Ultimate。保護レベル (従量課金): Antivirus、Host Protection、Host and Container Protection。
Web サイトのバックドア攻撃からの保護	`AliHips`	エディション (サブスクリプション): Enterprise、Ultimate。保護レベル (従量課金): Host Protection、Host and Container Protection。
Web Tamper Proofing	`AliWebGuard`	不要重要この機能は別途購入が必要な付加価値サービス (VAS) です。	Web 改ざん防止
Core File Monitoring	`AliWebGuard`	エディション (サブスクリプション): Enterprise、Ultimate。保護レベル (従量課金): Host Protection、Host and Container Protection。	コアファイル監視
サーバーのランサムウェア対策	`hbrclient` `ids`	不要重要この機能は別途購入が必要な付加価値サービス (Managed Anti-ransomware) です。	サーバー向けランサムウェア対策
データベースのアンチランサムウェア	`dbackup3-agent`	不要重要この機能は別途購入が必要な付加価値サービス (Managed Anti-ransomware) です。	データベース向けランサムウェア対策

プロセスとエージェントステータスの関係

Security Center は、AliYunDun プロセスとクラウド間の通信を監視することで、エージェントのオンラインステータスを評価します。エージェントのステータスは、次のいずれかの状況で「オンライン」から「オフライン」に変わります。

説明

サーバーのエージェントステータスは、 ホストアセット ページで表示できます: オフライン ( 未防护图标.png ) またはオンライン ( 已防护图标.png )。

Security Center は、エージェントとの通信が中断されたことを検出します。たとえば、ネットワーク例外が発生した場合、AliYunDun プロセスが終了した場合、またはエージェントがアンインストールされた場合などです。
Security Center は、10 時間以内にエージェントからハートビートやセキュリティデータなどの情報を受信しません。

実行権限とファイルの場所

プロセスの実行権限

包括的なセキュリティ監視と保護を提供するために、エージェントプロセスはオペレーティングシステムで高い権限で実行する必要があります。カーネルレベルの監視、ファイルシステムの保護、ネットワーク動作の分析、プロセスの自己保護などの基盤となる操作を実行するには、高い権限が必要です。

Linux システムでは、プロセスは root アカウントとして実行されます。
Windows システムでは、プロセスは SYSTEM アカウントとして実行されます。

デフォルトのプロセスファイルパス

Windows システム
- 32 ビット: C:\Program Files\Alibaba\aegis。
- 64 ビット: C:\Program Files (x86)\Alibaba\aegis。
Linux システム: /usr/local/aegis。

プロセスステータスを確認する方法

次のコマンドを使用して、エージェントのプロセスとサービスが正常に実行されているかどうかをすばやく確認できます。次の例では、コアプロセスを使用します。

Linux

プロセスを表示するコマンド:

# コアプロセスを確認します。AliYunDun、AliYunDunMonitor、AliYunDunUpdate がすべて存在する必要があります。
ps -ef | grep -E 'AliYunDun|YunDunMonitor|YunDunUpdate'

# サービスステータスを確認します。ステータスは active (実行中) である必要があります。
systemctl status aegis

正常なステータス出力の例:

root        5472       1  0 Sep10 ?        00:00:18 /usr/local/aegis/aegis_update/AliYunDunUpdate
root        5524       1  0 Sep10 ?        00:01:34 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun
root        5546       1  0 Sep10 ?        00:03:13 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDunMonitor

● aegis.service - LSB: Aegis service
   Loaded: loaded (/etc/rc.d/init.d/aegis; generated)
   Active: active (running) since Mon 2023-10-30 10:00:00 CST; 1 day 2h ago

Windows

方法 1: タスクマネージャーでプロセスを表示する

方法 2: PowerShell でコマンドを実行する

プロセスを表示するコマンド:

# コアプロセスを確認します。
Get-Process | Where-Object {$_.Name -match '^(AliYunDun|AliYunDunMonitor|AliYunDunUpdate)$'}

# サービスステータスを確認します。ステータスは Running である必要があります。
Get-Service | Where-Object {$_.Name -match 'Aegis|AliYunDun'}

正常なステータス出力の例:

Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
-------  ------    -----      -----     ------     --  -- -----------
    380      26    15948      19656     615.75   6072   0 AliYunDun
    599      31    47576      37356     968.73   2488   0 AliYunDunMonitor
    257      14     8072      11336     232.03   2904   0 AliYunDunUpdate

Status   Name               DisplayName
------   ----               -----------
Running  Alibaba Securit... Alibaba Security Aegis Detect Service
Running  Alibaba Securit... Alibaba Security Aegis Update Service