エージェントレス検出機能を使用すると、Security Center エージェントをインストールすることなく、ご利用のクラウドサーバーのセキュリティリスクを評価できます。この機能は、分離された環境でサーバーのイメージをスキャンして、脆弱性、マルウェア、ベースライン設定リスク、機密ファイルを検出します。このプロセスは、サーバーのパフォーマンスにほとんど影響を与えません。
適用範囲
サポート対象のアセットタイプ:
Chinese Mainlandリージョン:Alibaba Cloud Elastic Compute Service (ECS) インスタンス、クラウドディスクスナップショット、またはカスタムイメージ、および AWS EC2 インスタンスをスキャンできます。
Outside Chinese Mainlandリージョン:Alibaba Cloud Elastic Compute Service (ECS) インスタンス、クラウドディスクスナップショット、カスタムイメージ、および AWS EC2 インスタンスと Azure 仮想マシンをスキャンできます。
Alibaba Cloud サーバーでサポートされているリージョン:
中国 (青島)、中国 (北京)、中国 (張家口)
中国 (杭州)、中国 (上海)
中国 (深セン)
中国 (成都)
中国 (香港)、シンガポール、米国 (バージニア)、インドネシア (ジャカルタ)
オペレーティングシステムの互換性:脆弱性スキャンをサポートするオペレーティングシステムの詳細なリストについては、「脆弱性スキャンでサポートされているオペレーティングシステム」をご参照ください。
説明FreeBSD オペレーティングシステムは、ベースラインチェック、悪意のあるサンプルの検出、または機密ファイルの検出をサポートしていません。
仕組み
エージェントレス検出は、イメージのオフライン分析を使用します。このプロセスは、ターゲットサーバーのパフォーマンスにほとんど影響を与えません。
イメージの作成 (ホストスキャンタスクのみ):タスク設定に基づき、システムはターゲット ECS インスタンスのディスクのイメージを作成します。
共有とマウント:システムは、作成されたスナップショットまたはイメージを専用の Security Center 分析クラスターと共有します。
分離環境でのスキャン:分離された環境で、分析エンジンはスナップショットまたはイメージをマウントし、セキュリティスキャンを実行します。このプロセスは、ターゲットサーバーの計算リソースを消費しません。
レポートの生成とクリーンアップ:スキャン完了後、システムはリスクレポートを生成し、設定されたポリシーに基づいて一時的なイメージを自動的に削除して、ストレージコストを削減します。
適用シナリオ
ビジネスサービスに対する「ゼロインパクト」なリスクアセスメント:エージェントをインストールできない、またはパフォーマンスへの影響を一切許容できないコア本番システムに対して、非侵入型のセキュリティリスクアセスメントを実行できます。このプロセスは、ターゲットシステムのリソースを消費せず、業務継続性を保証します。
プラットフォームを横断したすべてのアセットに対する統一されたセキュリティスキャン:レガシーシステムや独自システムを含む、すべての種類のアセットをスキャンできます。統一されたビューにより、マルチプラットフォーム環境全体のセキュリティポスチャを迅速に評価できます。
包括的で視覚的なリスク検出:一度のスキャンで、脆弱性、悪意のあるファイル、ベースライン設定の問題、機密情報など、広範なリスクを検出できます。これにより、グローバルなセキュリティポスチャを視覚的に把握できます。
アセットのコンプライアンスとセキュリティ監査:インスタンスの作成やサービスの起動前に、カスタムイメージやホストスナップショットに対してセキュリティ監査を実施できます。これにより、本番環境がセキュリティおよびコンプライアンス基準を満たしていることを保証します。
操作手順
サービスの有効化
サービスの有効化
Security Center コンソールにログインします。 上部のナビゲーションバーで、アセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
左側のナビゲーションウィンドウで、を選択します。表示されたページで、今すぐ有効にするをクリックし、関連する契約を確認します。
重要エージェントレス検出は従量課金制です。
サービス認可の完了 (初回ユーザー向け)
この機能を初めて使用する際、サービスロールの認可を求められます。今すぐ権限付与をクリックします。
説明権限を付与すると、Security Center は自動的にサービスリンクロール AliyunServiceRoleForSas を作成します。AliyunServiceRoleForSas の詳細については、「Security Center のサービスリンクロール」をご参照ください。
検出タスクの作成と実行
検出タスクの作成
エージェントレス検出は、オンデマンド検出タスクとスケジュール検出タスクの 2 種類の検出タスクをサポートしています。
即時検出タスク
これらのタスクは、特定のアセットに対する 1 回限りのセキュリティスキャンに使用できます。
ホストセキュリティスキャン
タブの Risk Detectionセクションで、今すぐ診断をクリックします。
今すぐ診断パネルで、次の表に従って設定を構成し、OK をクリックします。
Scan Scope:データディスクをスキャンすることを推奨します。より完全なデータソースは、脆弱性やアラートの検出結果を向上させます。
Image Retention Duration:
値は 1 から 365 日の範囲で設定できます。
イメージの作成には料金がかかります。イメージを長く保持するほど、料金は高くなります。
重要Retain Only At-risk Imageを選択すると、システムはスキャン完了後に脅威のないイメージを自動的に削除します。
タスクを作成すると、Security Center は自動的にイメージを作成し、スキャンおよび後続の操作を実行します。詳細については、「スナップショットとイメージの自動作成」をご参照ください。
説明サーバーのデータ量が多いほど、スキャンタスクにかかる時間は長くなります。タスクが完了するまでお待ちください。
カスタムイメージセキュリティスキャン
タブの Risk Detectionセクションで、今すぐ診断をクリックします。
今すぐ診断パネルで、ターゲットのイメージを選択し、OK をクリックします。
説明スキャンしたいイメージがスキャンタスクパネルに表示されない場合は、ページに移動し、最新のアセットの同期をクリックします。同期が完了した後、この手順を再度実行してください。
スケジュール検出タスク
これらのタスクは、アセットグループの定期的で自動化されたセキュリティ検査に使用できます。
設定ページへ移動
エージェントレス検出ページの右上隅で、Scan Configurationをクリックします。
検出範囲の設定
Security Check Scopeタブで、次の表に従って設定を構成し、保存をクリックします。
Baseline Check Scope:管理をクリックして Baseline Check Configurationページに移動し、サポートされているベースラインチェック範囲を表示および設定できます。
機密ファイル:管理をクリックして Sensitive File Scan Settingsページに移動し、確認項目を表示および設定します。
重要Default Scan for New Check Itemsを選択すると、システムは将来的に新しい確認項目を自動的にスキャンします。
検出ポリシーの設定
Automatic Detection Policyタブで、次の表に従って設定を構成し、保存をクリックします。
Check Host:以下のようにスキャン対象のアセットを設定します。その他の設定手順については、「サーバーチェック」をご参照ください。
Scan Cycleを設定します:
毎日や毎週など、検出タスクの実行サイクルを設定します。
Do Not Scanを選択すると、Check Hostタスクは一時停止されます。
サイクルを設定すると、システムは同日に直ちにスキャンタスクを実行します。
Scan Assetsを設定します:
Scan Assetsセクションで、管理をクリックします。
Default Scan for New Assets:このオプションを選択することを推奨します。システムは、手動で追加することなく、次のスキャンサイクルで新しいサーバーを自動的に含めます。
検出範囲の調整:アセットリストで特定のサーバーを選択または選択解除することで、検出タスクのアセット範囲を設定できます。
Custom Image Check:増分検出スイッチを有効にすると、未チェックのカスタムイメージに対して増分自動チェックが実行されます。
重要増分検出には、ActionTrail データ配信を有効にする必要があります。タブで、ActionTrail データ配信スイッチをオンにします。詳細については、「機能設定」をご参照ください。
自動作成のイメージ
Server Checkタスクを実行すると、システムはサービスリンクロール AliyunServiceRoleForSas を使用して、以下の自動操作を実行します:
イメージの作成:システムは、
SAS_Agentlessで始まる名前の一時的なサーバースナップショットを自動的に作成します。安全な共有:システムは、スキャンと分析のために、イメージを公式の Security Center サービスアカウントと共有します。
自動クリーンアップ:スキャンが完了し、が期限切れになると、イメージは自動的に削除され、共有はキャンセルされます。
イメージはセキュリティスキャンにのみ使用され、共有に対する料金は発生しません。
aliyunserviceroleforsas によって作成されたイメージのレコードは、ActionTrail コンソールのイベントクエリセクションで確認できます。
検出タスクの管理
タスク進捗の表示
サーバーのデータ量が多いほど、スキャンタスクにかかる時間は長くなります。コンソールでタスクの進捗状況を確認できます。
エージェントレス検出ページの右上隅で、タスク管理をクリックします。
タスク管理パネルで、検出タイプに対応するタブを選択します。
リストでタスクの実行進捗とステータスを確認できます。
サーバーがスキャンされたかどうかを確認するなど、タスクの詳細を表示するには、対象タスクの [操作] 列にある [詳細] をクリックします。
失敗したタスクのトラブルシューティング
タスクのステータスが異常な場合、タスク詳細ページで失敗の原因を確認し、以下の表を参考にして解決策を見つけることができます。
失敗メッセージ | 失敗原因 | ソリューション |
現在のリージョンはサポートされていません | 指定されたリージョンはサポートされていません。 | ECS インスタンスのリージョンがサポートされていることを確認してください。詳細については、「適用範囲」をご参照ください。 |
ディスクへの接続に失敗しました | システムがスナップショットディスクをマウントする際に一時的なエラーが発生しました。 | タスクの [操作] 列で [再試行] をクリックします。 |
イメージの作成に失敗しました | ECS イメージの数がクォータ制限に達しました。 | |
タスク処理がタイムアウトしました | スキャンするデータ量が多すぎるか、システムがビジー状態だったため、タスクが指定時間内に完了しませんでした。 | スキャン範囲に基づいてタスクを複数のサブタスクに分割し、再度実行します。 |
検出レポートのダウンロード (オプション)
タスク管理パネルで、検出タイプに対応するタブを選択します。
タスク全体のレポートをダウンロードする:
対象タスクの [操作] 列にある レポートのダウンロードをクリックします。
単一サーバーのレポートをダウンロードする:
対象タスクの [操作] 列にある 詳細または Viewをクリックします。
タスク詳細パネルで、[操作] 列にある レポートのダウンロードをクリックします。
リスクの分析と対処
タスクが正常に完了した後、エージェントレス検出ページで検出されたセキュリティリスクを表示および対処できます。
同じサーバーが複数回スキャンされた場合、ページには最新のスキャンの結果のみが表示されます。古い結果は上書きされます。
リスク詳細の表示
エージェントレス検出ページで、Server Checkなどの検出ポリシーのタブに移動し、次に Vul Riskなどのリスクタイプのタブに移動します。リストでリスク項目を見つけ、操作列の Viewまたは 詳細をクリックして詳細を表示します。
リスクアラートの対処
脆弱性
操作:対象の脆弱性を見つけ、[操作] 列の ホワイトリストを追加するをクリックします。
警告エージェントレス検出は脆弱性の修正をサポートしていません。
サポートされている操作:ホワイトリストに追加。
重要特定の脆弱性をホワイトリストに追加すると、それに対する将来のアラートが防止されます。この機能は注意して使用してください。
ホワイトリストにエントリを追加すると、システムは自動的にそのエントリを タブに同期し、そこで表示できます。
ベースラインチェック
操作:確認項目リストで、対処が必要な確認項目を見つけ、[操作] 列の ホワイトリストを追加するをクリックします。
サポートされている操作:ホワイトリストに追加。
重要確認項目をホワイトリストに追加すると、新しいサーバーはこの項目についてスキャンされなくなります。この機能は注意して使用してください。
項目をホワイトリストに追加すると、システムは自動的に設定を タブに同期し、追加されたホワイトリスト項目を表示できます。
悪意のあるサンプル
操作:アラートリストで、対処したいアラート項目を見つけ、操作列の Change Statusまたは 処理をクリックします。
サポートされている操作:
ホワイトリストを追加する:アラートが悪意のある動作を含まないと確認した場合、ホワイトリストルールとその適用範囲に基づいてアラートをホワイトリストに追加できます。
重要アラートをホワイトリストに追加すると、同じアラートが将来発生した場合、自動的に処理済みリストに移動され、通知は届きません。この機能は注意して使用してください。
同一のアラートをバッチで処理できます。サポートされている操作はアラートの種類によって異なります。詳細については、コンソールページをご参照ください。
ホワイトリストにエントリを追加すると、システムは自動的にそれを タブに同期し、追加されたホワイトリストエントリを表示できます。
Manually Handled:リスクをオフラインで処理した場合、アラートを Manually Handledとしてマークできます。
Mark as False Positive:このアラートを誤検知としてマークできます。Security Center は、お客様のフィードバックを使用してスキャン機能を継続的に最適化します。
Ignore:現在のアラートのみを無視します。システムが問題を再度検出した場合、別のアラートが生成されます。
機密ファイル
操作:
機密ファイルアラートリストで、処理したいアラートを見つけ、[操作] 列の 詳細をクリックして、詳細な説明と強化の提案を表示します。
[詳細] パネルの脅威リストの操作列で、処理をクリックし、ダイアログボックスでアラートを処理する方法を選択して、OK をクリックします。
サポートされている操作:
ホワイトリストを追加する:アラートが悪意のあるものではないと確認した場合、ホワイトリストルールに基づいてホワイトリストに追加できます。以下のルールが適用されます:
重要アラートをホワイトリストに追加すると、同じアラートが将来発生した場合、自動的に処理済みリストに移動され、通知は届きません。この機能は注意して使用してください。
複数のルールを設定できます。すべてのルールは論理 AND で結合されます。つまり、アラートはすべてのルール条件を満たした場合にのみホワイトリストに追加されます。
エントリがホワイトリストに追加されると、自動的に タブに同期され、追加されたエントリを表示できます。
MD5:ワイルドカードは等しいのみをサポートします。次に、ファイルの MD5 ハッシュを入力します。
パス:ワイルドカードは含む、次で始まる、次で終わるをサポートします。次に、特定のパスを入力します。
Manually Handled:このアラートの原因となったリスクをオフラインで処理した場合、このアラートを Manually Handledとしてマークできます。
Mark as False Positive:このアラートを誤検知としてマークできます。Security Center は、お客様のフィードバックを使用してスキャン機能を継続的に最適化します。
Ignore:現在のアラートのみを無視します。問題が再度検出され、検出ポリシーにヒットした場合でも、アラートは生成されます。
高度な設定
ホワイトリストの設定
リスクの分析と対処時に設定されたホワイトリストルールは、ホワイトリスト管理にも自動的に同期され、そこで変更、削除、その他の管理ができます。
エージェントレス検出ページで、スキャンの設定をクリックし、Manage Whitelistタブに移動します。
脅威の種類に基づいて、対応するタブの下にある ルールを新しく追加するをクリックします。
以下のようにホワイトリストルールを設定します。
重要以下のホワイトリスト設定はすべてのアセットに有効です。
脆弱性ホワイトリスト
Vulnerability Type:Linux Software Vulnerability、Windows System Vulnerability、または Application Vulnerability。
Vulnerability Name:選択された Vulnerability Typeに基づいて最新の脆弱性データを取得します。
悪意のあるサンプルホワイトリスト
アラート名:デフォルトで ALL に設定されており、ホワイトリストルールがすべてのアラートタイプに適用されることを示し、変更できません。
ホワイトフィールドを追加する:デフォルト値は fileMd5 で、ファイルの MD5 ハッシュをホワイトリストに登録します。このフィールドは変更できません。
ワイルドカード:等しいのみがサポートされています。
ルールの内容:ファイルの MD5 ハッシュ。
ベースラインホワイトリスト
Check Item Type:無視するベースライン確認項目を指定します。
Check Item:選択された Check Item Typeに基づいて特定の確認項目を取得します。
機密ファイルホワイトリスト
Check Item for Sensitive Files:スキャンする必要のない項目を指定します。
Configure Whitelist Conditions:
説明複数のルールを設定できます。すべてのルールは論理 AND で結合されます。つまり、アラートはすべてのルール条件を満たした場合にのみホワイトリストに追加されます。
MD5:ワイルドカードは等しいのみをサポートします。次に、ファイルの MD5 ハッシュを入力します。
パス:ワイルドカードは含む、次で始まる、次で終わるをサポートします。次に、特定のパスを入力します。
マルチクラウドアセットの接続とスキャン
エージェントレス検出機能を使用して、Amazon Web Services (AWS) と Azure に接続できます。手順は以下の通りです:
AWS への接続
AWS アクセス認証情報の準備
ご利用の AWS アカウントで、プログラムによるアクセスを持つ IAM ユーザーを作成し、その Access Key ID と Secret Access Key を取得します。このユーザーが EC2 スナップショットへのアクセスと作成の権限を持っていることを確認してください。
重要エージェントレス検出機能を使用するには、ご利用の AWS アカウントで Security Center に特定の権限を持つカスタム IAM ポリシーを作成する必要があります。詳細については、「エージェントレス検出用のカスタムポリシーの作成」をご参照ください。
接続方法の設定
[エージェントレス検出] ページに移動します。[Server Check] タブで、[Add Multi-cloud Asset] セクション内に表示される [Add] ボタンを、
[アイコン] の下にあるものをクリックします。Add Assets Outside Cloud ページで、Create Sub-accountページの設定を以下のように完了し、次へをクリックします。
ソリューションの選択:手動設定プラン。
Permission Description:エージェントレス検出を選択します。
認証情報の送信
SubscriptionIdタブで、AWS で作成した認証情報を正確に入力し、次へをクリックします。
サブアカウント SecretID とサブアカウント SecretKey:ステップ 1 で取得した AWS サブアカウントの API キー情報を入力します。
接続リージョン:利用可能なリージョンを選択します。システムは選択されたリージョンを使用してアセットのアクセシビリティを検証し、対応するクラウドリソースデータを取得します。
ドメイン:選択した接続リージョンに基づいてこのパラメーターを設定します。AWS 中国リージョンの場合は中国を選択し、その他のすべてのリージョンでは国際を選択します。
ポリシーの設定
Policy Configurationタブで、以下のように設定を完了します。
リージョン選択: アセットが存在する Azure リージョンを選択します。
説明同期されたアセットデータは、Security Center コンソールで選択されたリージョンに対応するデータセンターに保存されます。
Chinese Mainland:中国本土のデータセンター。
Outside Chinese Mainland:シンガポールのデータセンター。
リージョン管理:このオプションを推奨します。このオプションを選択すると、この AWS アカウント下の新しいリージョンのアセットが手動介入なしで自動的に同期されます。
AK サービスのステータスチェック: セキュリティセンターが Azure 認証情報の有効性を確認する頻度を設定します。「オフ」を選択すると、このチェックを無効にします。
OK をクリックします。
権限検証とポリシー設定が完了したら、AWS EC2 インスタンスのエージェントレス検出タスクを作成できます。
Azure への接続
Azure アクセス認証情報の準備
Azure ポータルで、アプリケーション登録を作成し、アプリケーション認証情報にサブスクリプションのアクセス権限を付与します。次のアクセス認証情報を取得します:アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアントシークレットの値。
重要エージェントレス検出機能を使用するには、Azure アカウントで Security Center に Reader および Disk Snapshot Contributor ロールを付与する必要があります。詳細については、「Azure アセットの追加」をご参照ください。
接続方法の設定
コンソールの左上隅で、リージョン Outside Chinese Mainlandを選択します。
[エージェントレス検出]ページに移動します。[Server Check]タブの[Add Multi-cloud Asset]エリアで、
アイコンの下にある[Add]をクリックします。Add Assets Outside Cloud ページに移動します。Create Sub-accountステップで、Permission Descriptionセクションで エージェントレス検出を選択し、次へをクリックします。
認証情報の送信
SubscriptionIdタブで、Azure で作成した認証情報を正確に入力し、次へをクリックします。
Enter an AppID:Azure アプリケーション登録から取得したアプリケーション (クライアント) ID。
Enter a password:Azure アプリケーション登録から取得したクライアントシークレット。
tenant:Azure アプリケーション登録からのディレクトリ (テナント) ID。
Domain (Select Chinese Edition for China and International Edition for others):21Vianet ユーザーの場合は、Chinese Editionを選択します。
ポリシーの設定
Policy Configurationタブで、以下の指示に従って設定を完了します。
リージョン選択:アセットが存在する Azure リージョンを選択します。
説明アセットデータは、Security Center コンソールの左上隅で選択されたリージョンに対応するデータセンターに自動的に保存されます。
Chinese Mainland:中国本土のデータセンター。
Outside Chinese Mainland:シンガポールのデータセンター。
リージョン管理:このオプションを選択することを推奨します。このオプションを選択すると、この AWS アカウントに追加された新しいリージョンのアセットが自動的に同期されます。
AK サービスのステータスチェック:Security Center が Azure 認証情報の有効性をチェックする頻度を設定します。このチェックを無効にするには「オフ」を選択します。
権限検証とポリシー設定が完了したら、Azure 仮想マシンのエージェントレス検出タスクを作成できます。
本番稼働
パフォーマンスへの影響:エージェントレス検出のスキャンプロセスは、ターゲットサーバーのリソースを消費しません。
コスト管理:エージェントレス検出機能の料金は、スキャン料金とイメージのストレージ料金で構成されます。コストを管理するために、タスクを作成して Image Retention Duration設定を構成する際に、Retain Only At-risk Imageオプションを選択します。また、不要になったスナップショットを定期的に削除することもできます。
クォータと制限
ディスク仕様:単一のクラウドディスクは最大 1 TiB をサポートします。単一ディスクでスキャンできるファイルは最大 20,000,000 個です。この制限を超えるファイルはスキャンされません。
サーバー制限:各サーバーは最大 15 個のクラウドディスクのスキャンをサポートします。この制限を超えるディスクはスキャンされません。
結果の保持:検出タスクの結果は 30 日間のみ保持され、期限切れになると自動的にクリアされます。同じアセットを複数回スキャンした場合、システムは最新のスキャンの結果のみを保持します。
修復機能:この機能は検出とアラート機能のみをサポートします。自動修復は提供しません。リスク詳細ページの手順に基づいてリスク項目を処理する必要があります。
圧縮ファイルの制限:圧縮ファイルについては、JAR ファイルのみが検出対象です。スキャン対象は最初のレイヤーのみ解凍されます。
ファイルシステムの制限:ext2、ext3、ext4、XFS、NTFS がサポートされています。NTFS の場合、ファイル権限情報に依存する確認項目はサポートされていません。
ストレージとディスクの制限:
Alibaba Cloud ECS の場合、暗号化されたシステムディスクまたはデータディスクのスキャンはサポートされていません。
Alibaba Cloud および Alibaba Cloud 以外のホストを含むすべてのホストで、Logical Volume Management (LVM)、RAID アレイ、または ReFS ファイルシステムを使用するデータディスクのスキャンはサポートされていません。
課金
エージェントレス検出機能を使用して生成される料金は以下の通りです:
エージェントレス検出スキャン料金
課金方法:従量課金。
課金サイクル:日次。
単価:0.03 USD/GB。
課金対象使用量:スキャンされたイメージの実際のデータ量に基づいて計算され、総ディスク容量ではありません。
ECS リソース使用料金
重要ホスト検出タスクを設定する際には、Retain Only At-risk Imageを選択することを推奨します。これにより、システムはスキャン後にリスクのないイメージを自動的に削除し、ストレージコストを削減します。
イメージ料金:検出タスクはサーバーのイメージを作成します。イメージはその使用容量と期間に基づいて課金されます。これらの料金は ECS によって課金されます。詳細については、「イメージの課金」をご参照ください。
よくある質問
エージェントレス検出とウイルススキャンの違いは何ですか?
比較項目
エージェントレス検出
ウイルススキャン
動作モード
オフラインスナップショットのスキャン、静的解析
オンラインのリアルタイムモニタリングとスキャン、動的 + 静的解析
サーバーの状態
起動およびシャットダウンを検出するサーバー
オンラインエージェントを持つ実行中のサーバーのみスキャン可能
検出範囲
脆弱性、ベースライン、悪意のあるサンプル、機密ファイル。
ウイルス、Webshell、侵入行為、脆弱性など。
対応能力
検出、アラート機能、ホワイトリスト登録をサポート。修復は提供しません。
ワンクリックでの隔離、検疫、修復機能を提供します。
パフォーマンスへの影響
なし。
軽微 (エージェントが少量のシステムリソースを消費)。
課金モデル
従量課金 (スキャンされた GB あたり)
サブスクリプション (Anti-virus Edition 以上) または従量課金。
スキャンモード
フルディスクスキャンをサポート。
クイックスキャンとカスタムディレクトリスキャンをサポート。
エージェントレス検出はすべてのリスクを自動的に修正できますか?
いいえ、できません。検出、アラート機能、ホワイトリスト登録、無視などの操作のみをサポートします。自動修復は提供しません。リスク詳細ページの手順に基づいてリスク項目を処理する必要があります。
説明高リスクの脆弱性とマルウェアの処理を優先することを推奨します。ベースラインの最適化は必要に応じて実施できます。
Alibaba Cloud 以外のサーバーで高度な検出機能を使用するにはどうすればよいですか?
現在、エージェントレス検出は Alibaba Cloud ECS、AWS EC2、および Azure サーバーへの接続をサポートしています。
重要Azure は Outside Chinese Mainlandのリージョンでのみ検出がサポートされています。詳細については、「マルチクラウドアセットへのアクセスと検出」をご参照ください。
他のクラウドプロバイダーやオンプレミスデータセンターのサーバーについては、Security Center エージェントをインストールし、Anti-virus Edition 以上のエディションを購入して包括的なセキュリティ保護を得ることを推奨します。具体的な手順については、「Security Center の購入」および「エージェントのインストール」をご参照ください。
一部のエージェントレス検出アラートでアセットの IP アドレスが表示されないのはなぜですか?
エージェントレス検出を使用する際、アセットの IP アドレスが空の場合、考えられる理由は以下の通りです:
インスタンスがリリースされた
アラートに対応するインスタンスがリリースされると、インスタンスが存在しなくなるため、Security Center はインスタンスの IP 情報を取得できなくなります。
データクリーンアップメカニズム
Security Center はリリースされたインスタンスのレコードをクリーンアップすることがあり、これにより関連情報が利用できなくなります。
付録
詳細な検出機能
以下の表は、エージェントレス検出でサポートされている主な検出項目をリストアップしています。
検出カテゴリ | 検出範囲 | 詳細 |
脆弱性 | Linux ソフトウェアの脆弱性、Windows システムの脆弱性、アプリケーションの脆弱性 | サポートされているオペレーティングシステムのバージョンについては、「脆弱性スキャンでサポートされているオペレーティングシステム」をご参照ください。 |
ベースラインチェック | オペレーティングシステム、アプリケーション、データベースの設定コンプライアンス | 数百の設定項目のスキャンをサポートしており、以下に限定されません:
詳細については、コンソールの スキャン設定ページに移動してください。操作の詳細については、「ベースラインチェック範囲」をご参照ください。 |
悪意のあるサンプル | 悪意のあるスクリプト、Webshell、マルウェア |
詳細については、「悪意のあるサンプル」をご参照ください。 |
機密ファイル | 認証情報、キーファイル、設定ファイル | 一般的な機密ファイルの検出をサポートしており、以下に限定されません:
詳細については、コンソールの スキャン設定 に移動してください。具体的な手順については、「機密ファイルの確認項目」をご参照ください。 |
脆弱性スキャンでサポートされているオペレーティングシステム
オペレーティングシステムの種類 | バージョン |
Windows Server |
|
Red Hat |
|
CentOS |
|
Ubuntu |
|
Debian |
|
Alpine |
|
Amazon Linux |
|
Oracle Linux |
|
SUSE Linux Enterprise Server |
|
Fedora Linux |
|
openSUSE |
|
悪意のあるサンプル
悪意のあるサンプルのカテゴリ | 説明 | サポート対象の確認項目 |
悪意のあるスクリプト | アセット上のシステム関数が悪意のあるスクリプトによって攻撃または改ざんされたかどうかを検出します。考えられる悪意のあるスクリプト攻撃が検出結果に表示されます。 悪意のあるスクリプトは、ファイルベースとファイルレスに分けられます。サーバーの権限を取得した後、攻撃者はスクリプトをさらなる攻撃の手段として使用します。これらの攻撃には、マイニングプログラムの埋め込み、システムバックドアの追加、またはシステムアカウントの追加が含まれます。 | サポートされている言語には、Shell、Python、Perl、PowerShell、VBScript、BAT などがあります。 |
Webshell | アセット上の Web スクリプトファイルが悪意のあるものであり、バックドア通信または管理機能を含んでいるかどうかを確認します。Webshell を埋め込んだ後、攻撃者はサーバーを制御し、さらなる攻撃のためのバックドアとして使用できます。 | サポートされている言語には、PHP、JSP、ASP、ASPX などがあります。 |
マルウェア | アセット上のバイナリファイルが悪意のあるものであり、アセットを損傷したり、永続的な制御を維持する能力があるかどうかを確認します。悪意のあるバイナリファイルを埋め込んだ後、攻撃者はサーバーを制御してマイニング、DDoS 攻撃、またはアセットファイルの暗号化を行うことができます。悪意のあるバイナリは、主に機能によって分類され、マイニングプログラム、トロイの木馬、バックドア、ハッキングツール、ランサムウェア、ワームなどがあります。 | 感染した基本ソフトウェア |
不審なプログラム | ||
スパイウェア | ||
トロイの木馬 | ||
感染性ウイルス | ||
ワーム | ||
エクスプロイトプログラム | ||
メタモーフィックトロイの木馬 | ||
ハッキングツール | ||
DDoS 攻撃型トロイの木馬 | ||
リバースシェルバックドア | ||
悪意のあるプログラム | ||
Rootkit | ||
ダウンローダートロイの木馬 | ||
スキャナー | ||
リスクウェア | ||
プロキシツール | ||
ランサムウェア | ||
バックドアプログラム | ||
マイニングプログラム |