エージェントレス検出機能を使用すると、Security Center エージェントをインストールすることなく、クラウドサーバーのセキュリティリスクを評価できます。この機能は、分離された環境でサーバーのイメージをスキャンして、脆弱性、マルウェア、ベースライン設定リスク、および機密ファイルを検出します。このプロセスは、サーバーのパフォーマンスにほとんど影響を与えません。
適用範囲
サポートされるアセットタイプ:
Chinese Mainlandリージョン:Alibaba Cloud Elastic Compute Service (ECS) インスタンス、クラウドディスクスナップショット、またはカスタムイメージ、および AWS EC2 インスタンスをスキャンできます。
Outside Chinese Mainlandのリージョン:Alibaba Cloud Elastic Compute Service (ECS) インスタンス、クラウドディスクスナップショット、カスタムイメージ、および AWS EC2 インスタンスと Azure 仮想マシンをスキャンできます。
Alibaba Cloud サーバーでサポートされるリージョン:
中国 (青島)、中国 (北京)、中国 (張家口)
中国 (杭州) および中国 (上海)
中国 (深セン)
中国 (成都)
中国 (香港)、シンガポール、米国 (バージニア)、インドネシア (ジャカルタ)
オペレーティングシステムの互換性:脆弱性スキャンをサポートするオペレーティングシステムの詳細なリストについては、「脆弱性スキャンでサポートされるオペレーティングシステム」をご参照ください。
説明FreeBSD オペレーティングシステムは、ベースラインチェック、悪意のあるサンプルの検出、または機密ファイルの検出をサポートしていません。
仕組み
エージェントレス検出は、イメージのオフライン分析を使用します。このプロセスは、ターゲットサーバーのパフォーマンスにほとんど影響を与えません。
イメージの作成 (ホストスキャンタスクのみ):タスク設定に基づき、システムはターゲット ECS インスタンスのディスクのイメージを作成します。
共有とマウント:システムは、作成されたスナップショットまたはイメージを専用の Security Center 分析クラスターと共有します。
分離環境でのスキャン:分離された環境で、分析エンジンはスナップショットまたはイメージをマウントし、セキュリティスキャンを実行します。このプロセスは、ターゲットサーバーの計算リソースを消費しません。
レポートの生成とクリーンアップ:スキャンが完了すると、システムはリスクレポートを生成し、設定されたポリシーに基づいて一時的なイメージを自動的に削除して、ストレージコストを削減します。
適用シナリオ
ビジネスサービスに対する「ゼロインパクト」のリスクアセスメント:エージェントをインストールできない、またはパフォーマンスへの影響を一切許容できないコアな本番システムに対して、非侵入型のセキュリティリスクアセスメントを実行できます。このプロセスは、ターゲットシステムのリソースを消費せず、業務継続性を保証します。
プラットフォームをまたいだすべてのアセットに対する統一されたセキュリティスキャン:レガシーシステムや独自システムを含む、すべての種類のアセットをスキャンできます。統一されたビューにより、マルチプラットフォーム環境の全体的なセキュリティ体制を迅速に評価できます。
包括的で視覚的なリスク検出:一度のスキャンで、脆弱性、悪意のあるファイル、ベースライン設定の問題、機密情報など、幅広いリスクを検出できます。これにより、グローバルなセキュリティ体制を視覚的に把握できます。
アセットのコンプライアンスとセキュリティ監査:インスタンスを作成したりサービスを起動したりする前に、カスタムイメージとホストスナップショットに対してセキュリティ監査を実施できます。これにより、本番環境がセキュリティおよびコンプライアンス基準を満たしていることを保証します。
操作手順
サービスの有効化
サービスの有効化
Security Center コンソールにログインします。 上部のナビゲーションバーで、アセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
左側のナビゲーションウィンドウで、 を選択します。表示されたページで 今すぐ有効にする をクリックし、関連する契約を確認します。
重要エージェントレス検出は従量課金制を採用しています。
サービス認可の完了 (初回ユーザー向け)
この機能を初めて使用する際、サービスロールの認可を求められます。今すぐ権限付与 をクリックします。
説明権限を付与すると、Security Center はサービスリンクロール AliyunServiceRoleForSas を自動的に作成します。AliyunServiceRoleForSas の詳細については、「Security Center のサービスリンクロール」をご参照ください。
検出タスクの作成と実行
検出タスクの作成
エージェントレス検出は、オンデマンド検出タスクと定期検出タスクの 2 種類の検出タスクをサポートしています。
即時検出タスク
これらのタスクは、特定のアセットに対する一度限りのセキュリティスキャンに使用できます。
ホストセキュリティスキャン
タブの Risk Detection セクションで、今すぐ診断 をクリックします。
今すぐ診断 パネルで、次の表に従って設定を行い、OK をクリックします。
Scan Scope:データディスクをスキャンすることを推奨します。より完全なデータソースは、脆弱性やアラートの検出結果を向上させます。
Image Retention Duration:
値は 1 日から 365 日の範囲で設定できます。
イメージの作成には料金がかかります。イメージを長く保持するほど、料金は高くなります。
重要Retain Only At-risk Image を選択すると、スキャン完了後、システムは脅威のないイメージを自動的に削除します。
タスクを作成すると、Security Center は自動的にイメージを作成し、スキャンおよびその後の操作を実行します。詳細については、「スナップショットとイメージの自動作成」をご参照ください。
説明サーバーのデータ量が多いほど、スキャンタスクにかかる時間は長くなります。タスクが完了するまでお待ちください。
カスタムイメージセキュリティスキャン
タブの Risk Detection セクションで、今すぐ診断 をクリックします。
今すぐ診断 パネルで、対象のイメージを選択し、OK をクリックします。
説明スキャンしたいイメージがスキャンタスクパネルに表示されない場合は、 ページに移動し、最新のアセットの同期 をクリックします。同期が完了した後、この手順を再度実行してください。
定期検出タスク
これらのタスクは、アセットグループの定期的かつ自動化されたセキュリティ検査に使用できます。
設定ページへの移動
エージェントレス検出 ページの右上隅にある Scan Configuration をクリックします。
検出範囲の設定
Security Check Scope タブで、次の表に従って設定を行い、保存 をクリックします。
Baseline Check Scope:[管理] をクリックして Baseline Check Configuration ページに移動し、サポートされているベースラインチェック範囲を表示および設定できます。
機密ファイル:[管理] をクリックして Sensitive File Scan Settings ページに移動し、チェック項目を表示および設定できます。
重要Default Scan for New Check Items を選択すると、システムは将来的に新しいチェック項目を自動的にスキャンします。
検出ポリシーの設定
Automatic Detection Policy タブで、次の表に従って設定を行い、保存 をクリックします。
Check Host:以下のようにスキャン対象のアセットを設定します。その他の設定手順については、「サーバーチェック」をご参照ください。
Scan Cycle の設定:
毎日や毎週など、検出タスクの実行サイクルを設定します。
Do Not Scan を選択すると、Check Host タスクは一時停止されます。
サイクルを設定すると、システムは翌日からスキャンタスクを実行します。
Scan Assets の設定:
Scan Assets セクションで、管理 をクリックします。
Default Scan for New Assets:このオプションを選択することを推奨します。システムは、手動で追加することなく、新しいサーバーを次のスキャンサイクルに自動的に含めます。
検出範囲の調整:アセットリストで特定のサーバーを選択または選択解除することで、検出タスクのアセット範囲を設定できます。
Custom Image Check:増分検出 スイッチを有効にすると、未チェックのカスタムイメージに対して増分自動チェックが実行されます。
重要増分検出には、ActionTrail データ配信 を有効にする必要があります。 タブで、ActionTrail データ配信 スイッチをオンにします。詳細については、「機能設定」をご参照ください。
イメージの自動作成
Server Check タスクを実行すると、システムはサービスリンクロール AliyunServiceRoleForSas を使用して、以下の自動操作を実行します:
イメージの作成:システムは、
SAS_Agentlessで始まる名前の一時的なサーバースナップショットを自動的に作成します。安全な共有:システムは、スキャンと分析のために、イメージを Security Center の公式サービスアカウントと共有します。
自動クリーンアップ:スキャンが完了し、 が期限切れになると、イメージは自動的に削除され、共有はキャンセルされます。
イメージはセキュリティスキャンにのみ使用され、共有に対する料金は発生しません。
aliyunserviceroleforsas によって作成されたイメージのレコードは、ActionTrail コンソールの[イベントクエリ]セクションで確認できます。

検出タスクの管理
タスク進捗の表示
サーバーのデータ量が多いほど、スキャンタスクにかかる時間は長くなります。コンソールでタスクの進捗状況を確認できます。
エージェントレス検出 ページの右上隅にある タスク管理 をクリックします。
[タスク管理] パネルで、検出タイプに対応するタブを選択します。
リストでタスクの実行進捗とステータスを確認できます。
サーバーがスキャンされたかどうかを確認するなど、タスクの詳細を表示するには、対象タスクの [操作] 列にある [詳細] をクリックします。
失敗したタスクのトラブルシューティング
タスクのステータスが異常な場合は、[タスク詳細] ページで失敗の原因を確認し、以下の表を参考に解決策を見つけてください。
失敗メッセージ | 失敗の原因 | ソリューション |
現在のリージョンはサポートされていません | 指定されたリージョンはサポートされていません。 | ECS インスタンスのリージョンがサポートされていることを確認してください。詳細については、「適用範囲」をご参照ください。 |
ディスクへの接続に失敗しました | システムがスナップショットディスクをマウントする際に一時的なエラーが発生しました。 | タスクの [操作] 列で [再試行] をクリックします。 |
イメージの作成に失敗しました | ECS イメージの数がクォータ制限に達しました。 | |
タスク処理がタイムアウトしました | スキャンするデータ量が多すぎるか、システムがビジー状態だったため、タスクが指定時間内に完了しませんでした。 | タスクをスキャン範囲に基づいて複数のサブタスクに分割し、再度実行します。 |
検出レポートのダウンロード (オプション)
[タスク管理] パネルで、検出タイプに対応するタブを選択します。
タスク全体のレポートをダウンロードする:
対象タスクの [操作] 列にある レポートのダウンロード をクリックします。
単一サーバーのレポートをダウンロードする:
対象タスクの [操作] 列にある 詳細 または View をクリックします。
タスク詳細 パネルで、[操作] 列にある レポートのダウンロード をクリックします。
リスクの分析と処理
タスクが正常に完了した後、[エージェントレス検出] ページで検出されたセキュリティリスクを表示および処理できます。
同じサーバーが複数回スキャンされた場合、ページには最新のスキャンの結果のみが表示されます。古い結果は上書きされます。
リスク詳細の表示
エージェントレス検出 ページで、Server Check などの検出ポリシーのタブ、次に Vul Risk などのリスクタイプのタブに移動します。リストでリスク項目を探し、[操作] 列の View または 詳細 をクリックしてその詳細を表示します。
リスクアラートの処理
脆弱性
操作:対象の脆弱性を見つけ、[操作] 列の ホワイトリストを追加する をクリックします。
警告エージェントレス検出は脆弱性修復をサポートしていません。
サポートされる操作:ホワイトリストへの追加。
重要特定の脆弱性をホワイトリストに追加すると、それに対する将来のアラートが防止されます。この機能は注意して使用してください。
ホワイトリストにエントリを追加すると、システムは自動的にそのエントリを タブに同期し、そこで表示できます。
ベースラインチェック
操作:チェック項目リストで、処理が必要なチェック項目を見つけ、[操作] 列の ホワイトリストを追加する をクリックします。
サポートされる操作:ホワイトリストへの追加。
重要チェック項目をホワイトリストに追加すると、新しいサーバーはこの項目についてスキャンされなくなります。この機能は注意して使用してください。
項目をホワイトリストに追加すると、システムは自動的に設定を タブに同期し、追加されたホワイトリスト項目を表示できます。
悪意のあるサンプル
操作:アラートリストで、処理したいアラート項目を見つけ、[操作] 列の Change Status または 処理 をクリックします。
サポートされる操作:
ホワイトリストを追加する:アラートが悪意のある行為を含まないと確認した場合、ホワイトリストルールとその適用範囲に基づいてアラートをホワイトリストに追加できます。
重要アラートをホワイトリストに追加すると、同じアラートが将来発生した場合、自動的に処理済みリストに移動され、通知は届きません。この機能は注意して使用してください。
同一のアラートをバッチで処理できます。サポートされる操作はアラートの種類によって異なります。詳細については、コンソールページをご参照ください。
ホワイトリストにエントリを追加すると、システムは自動的にそれを タブに同期し、追加されたホワイトリストエントリを表示できます。
Manually Handled:リスクをオフラインで処理した場合、アラートを Manually Handled としてマークできます。
Mark as False Positive:このアラートを誤検知としてマークできます。Security Center は、お客様のフィードバックを利用して、スキャン機能を継続的に最適化します。
Ignore:現在のアラートのみを無視します。システムが問題を再度検出した場合、別のアラートが生成されます。
機密ファイル
操作:
機密ファイルアラートリストで、処理したいアラートを見つけ、[操作] 列の 詳細 をクリックして、詳細な説明と強化提案を表示します。
[詳細] パネルの脅威リストの [操作] 列で 処理 をクリックし、ダイアログボックスでアラートを処理する方法を選択して、OK をクリックします。
サポートされる操作:
ホワイトリストを追加する:アラートが悪意のあるものではないと確認した場合、ホワイトリストルールに基づいてホワイトリストに追加できます。以下のルールが適用されます:
重要アラートをホワイトリストに追加すると、同じアラートが将来発生した場合、自動的に処理済みリストに移動され、通知は届きません。この機能は注意して使用してください。
複数のルールを設定できます。すべてのルールは論理 AND で結合されます。つまり、アラートはすべてのルール条件を満たした場合にのみホワイトリストに追加されます。
エントリがホワイトリストに追加されると、自動的に タブに同期され、追加されたエントリを表示できます。
MD5:ワイルドカード文字は等しいのみをサポートします。次に、ファイルの MD5 ハッシュを入力します。
パス:ワイルドカード文字は含む、で始まる、で終わるをサポートします。次に、特定のパスを入力します。
Manually Handled:このアラートの原因となったリスクをオフラインで処理した場合、このアラートを Manually Handled としてマークできます。
Mark as False Positive:このアラートを誤検知としてマークできます。Security Center は、お客様のフィードバックを利用して、スキャン機能を継続的に最適化します。
Ignore:現在のアラートのみを無視します。問題が再度検出され、検出ポリシーにヒットした場合、アラートは引き続き生成されます。
詳細設定
ホワイトリストの設定
リスクの分析と処理時に設定されたホワイトリストルールは、[ホワイトリストの管理] にも自動的に同期され、そこで変更、削除、その他の管理ができます。
エージェントレス検出 ページで スキャンの設定 をクリックし、Manage Whitelist タブに移動します。
脅威の種類に基づいて、対応するタブの下にある ルールを新しく追加する をクリックします。
以下のようにホワイトリストルールを設定します。
重要以下のホワイトリスト設定は、すべてのアセットに有効です。
脆弱性ホワイトリスト
Vulnerability Type:Linux Software Vulnerability、Windows System Vulnerability、または Application Vulnerability。
Vulnerability Name:選択された Vulnerability Type に基づいて最新の脆弱性データを取得します。
悪意のあるサンプルホワイトリスト
アラート名:デフォルトで ALL に設定されており、ホワイトリストルールがすべてのアラートタイプに適用されることを示し、変更できません。
ホワイトフィールドを追加する:デフォルト値は fileMd5 で、ファイルの MD5 ハッシュをホワイトリストに登録します。このフィールドは変更できません。
ワイルドカード:等しいのみがサポートされています。
ルールの内容:ファイルの MD5 ハッシュ。
ベースラインホワイトリスト
Check Item Type:無視するベースラインチェック項目を指定します。
Check Item:選択された Check Item Type に基づいて特定のチェック項目を取得します。
機密ファイルホワイトリスト
Check Item for Sensitive Files:スキャンする必要のない項目を指定します。
Configure Whitelist Conditions:
説明複数のルールを設定できます。すべてのルールは論理 AND で結合されます。つまり、アラートはすべてのルール条件を満たした場合にのみホワイトリストに追加されます。
MD5:ワイルドカード文字は等しいのみをサポートします。次に、ファイルの MD5 ハッシュを入力します。
パス:ワイルドカード文字は含む、で始まる、で終わるをサポートします。次に、特定のパスを入力します。
マルチクラウドアセットの接続とスキャン
エージェントレス検出機能を使用して、Amazon Web Services (AWS) と Azure に接続できます。手順は以下の通りです:
AWS への接続
AWS アクセス認証情報の準備
AWS アカウントで、プログラムによるアクセスを持つ IAM ユーザーを作成し、そのアクセスキー ID とシークレットアクセスキーを取得します。このユーザーが EC2 スナップショットへのアクセスと作成の権限を持っていることを確認してください。
重要エージェントレス検出 機能を使用するには、AWS アカウントで Security Center に特定の権限を持つカスタム IAM ポリシーを作成する必要があります。詳細については、「エージェントレス検出用のカスタムポリシーの作成」をご参照ください。
接続方法の設定
エージェントレス検出 ページに移動します。Server Check タブの Add Multi-cloud Asset セクションで、
アイコンの下にある Add をクリックします。Add Assets Outside Cloud ページで、Create Sub-account ページで以下のように設定を完了し、次へ をクリックします。
ソリューションの選択:手動設定プラン。
Permission Description:エージェントレス検出 を選択します。
認証情報の送信
SubscriptionId タブで、AWS で作成した認証情報を正確に入力し、次へ をクリックします。
サブアカウント SecretID とサブアカウント SecretKey:ステップ 1 で取得した AWS サブアカウントの API キー情報を入力します。
接続リージョン:利用可能なリージョンを選択します。システムは選択されたリージョンを使用してアセットのアクセシビリティを検証し、対応するクラウドリソースデータを取得します。
ドメイン:選択した接続リージョンに基づいてこのパラメーターを設定します。AWS 中国リージョンの場合は中国を選択し、その他すべてのリージョンの場合は国際を選択します。
ポリシーの設定
Policy Configuration タブで、以下のように設定を完了します。
-
リージョン選択: Azure 資産が所在するリージョンを選択します。
説明アセットデータは、Security Center コンソールの左上隅で選択されたリージョンのデータセンターに保存されます。
-
Chinese Mainland: データは中国本土のデータセンターに保存されます。
-
Outside Chinese Mainland: データはシンガポールのデータセンターに保存されます。
-
-
リージョン管理:推奨。選択すると、この AWS アカウントの新しいリージョンのアセットが自動的に同期されます。
-
AK サービスのステータスチェック:Security Center が AWS アカウントのアクセスキーの有効性を自動的にチェックする間隔を設定します。「オフ」を選択すると、このチェックは無効になります。
-
OK をクリックします。
権限検証とポリシー設定が完了したら、AWS EC2 インスタンスのエージェントレス検出タスクを作成できます。
Azure への接続
Azure アクセス認証情報の準備
Azure ポータルで、アプリケーション登録を作成し、アプリケーション認証情報にサブスクリプションのアクセス権限を付与します。以下のアクセス認証情報を取得します:アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアントシークレットの値。
重要エージェントレス検出 機能を使用するには、Azure アカウントで Security Center に閲覧者ロールとディスクスナップショット共同作成者ロールを付与する必要があります。詳細については、「Azure アセットの追加」をご参照ください。
接続方法の設定
コンソールの左上隅で、リージョン Outside Chinese Mainland を選択します。
エージェントレス検出 ページに移動します。Server Check タブの Add Multi-cloud Asset エリアで、
アイコンの下にある Add をクリックします。Add Assets Outside Cloud ページに移動します。Create Sub-account ステップで、Permission Description セクションで エージェントレス検出 を選択し、次へ をクリックします。
認証情報の送信
SubscriptionId タブで、Azure で作成した認証情報を正確に入力し、次へ をクリックします。
Enter an AppID:Azure アプリケーション登録から取得したアプリケーション (クライアント) ID。
Enter a password: Azure アプリケーション登録から取得したクライアントシークレット。
tenant:Azure アプリケーション登録からのディレクトリ (テナント) ID。
Domain (Select Chinese Edition for China and International Edition for others):21Vianet ユーザーの場合は、Chinese Edition を選択します。
ポリシーの設定
Policy Configuration タブで、以下の指示に従って設定を完了します。
-
リージョン選択:Azure アセットが配置されているリージョンを選択します。
説明アセットデータは、Security Center コンソールの左上隅で選択されたリージョンに対応するデータセンターに自動的に保存されます。
-
Chinese Mainland:データは中国本土のデータセンターに保存されます。
-
Outside Chinese Mainland:データはシンガポールのデータセンターに保存されます。
-
-
権限検証とポリシー設定が完了したら、Azure 仮想マシンのエージェントレス検出タスクを作成できます。
本番公開
パフォーマンスへの影響:エージェントレス検出のスキャンプロセスは、ターゲットサーバーのリソースを消費しません。
コスト管理:エージェントレス検出機能の料金は、スキャン料金とイメージのストレージ料金で構成されます。コストを管理するために、タスクを作成してImage Retention Duration設定を構成する際に、Retain Only At-risk Imageオプションを選択します。また、不要になったスナップショットを定期的に削除することもできます。
クォータと制限
ディスク仕様:単一のクラウドディスクは最大 1 TiB をサポートします。単一のディスクでスキャンできるファイルは最大 20,000,000 個です。この制限を超えるファイルはスキャンされません。
サーバー制限:各サーバーは最大 15 個のクラウドディスクのスキャンをサポートします。この制限を超えるディスクはスキャンされません。
結果の保持:検出タスクの結果は 30 日間のみ保持され、期限切れになると自動的にクリアされます。同じアセットを複数回スキャンした場合、システムは最新のスキャンの結果のみを保持します。
修復機能:この機能は検出とアラート機能のみをサポートします。自動修復は提供しません。リスク項目の詳細ページの指示に基づいてリスク項目を処理する必要があります。
圧縮ファイルの制限:圧縮ファイルについては、JAR ファイルのみが検出をサポートしています。スキャン対象は最初のレイヤーのみ解凍されます。
ファイルシステムの制限:ext2、ext3、ext4、XFS、および NTFS がサポートされています。NTFS の場合、ファイル権限情報に依存するチェック項目はサポートされていません。
ストレージとディスクの制限:
Alibaba Cloud ECS の場合、暗号化されたシステムディスクまたはデータディスクのスキャンはサポートされていません。
Alibaba Cloud および Alibaba Cloud 以外のホストを含むすべてのホストで、論理ボリューム管理 (LVM)、RAID アレイ、または ReFS ファイルシステムを使用するデータディスクのスキャンはサポートされていません。
課金
エージェントレス検出機能を使用して生成される料金は次のとおりです:
エージェントレス検出スキャン料金
課金方法:従量課金。
課金サイクル:日次。
単価:0.03 米ドル/GB。
課金対象使用量:スキャンされたイメージの実際のデータ量に基づいて計算され、総ディスク容量ではありません。
ECS リソース使用料
重要ホスト検出タスクを設定する際には、Retain Only At-risk Image を選択することを推奨します。これにより、システムはスキャン後にリスクのないイメージを自動的に削除し、ストレージコストを削減します。
イメージ料金:検出タスクはサーバーのイメージを作成します。イメージの使用容量と期間に基づいて課金されます。これらの料金は ECS によって課金されます。詳細については、「イメージの課金」をご参照ください。
よくある質問
エージェントレス検出とウイルススキャンの違いは何ですか?
比較項目
エージェントレス検出
ウイルススキャン
動作モード
オフラインスナップショットのスキャン、静的解析
オンラインのリアルタイムモニタリングとスキャン、動的 + 静的解析
サーバーの状態
起動およびシャットダウン検出のあるサーバー
オンラインエージェントを持つ実行中のサーバーのみスキャン可能
検出範囲
脆弱性、ベースライン、悪意のあるサンプル、機密ファイル。
ウイルス、Webシェル、侵入行為、脆弱性など。
対応能力
検出、アラート機能、ホワイトリスト登録をサポート。修復は提供しません。
ワンクリックでの隔離、検疫、修復機能を提供。
パフォーマンスへの影響
なし。
軽微 (エージェントが少量のシステムリソースを消費)。
課金モデル
従量課金 (スキャンされた GB あたり)
サブスクリプション (Anti-virus Edition 以上) または従量課金。
スキャンモード
フルディスクスキャンをサポート。
クイックスキャンとカスタムディレクトリスキャンをサポート。
エージェントレス検出はすべてのリスクを自動的に修復できますか?
いいえ、できません。検出、アラート機能、ホワイトリスト登録、無視などの操作のみをサポートします。自動修復は提供しません。リスク項目の詳細ページの指示に基づいてリスク項目を処理する必要があります。
説明高リスクの脆弱性とマルウェアを優先的に処理することを推奨します。ベースラインの最適化は必要に応じて実施できます。
Alibaba Cloud 以外のサーバーで高度な検出機能を使用するにはどうすればよいですか?
現在、エージェントレス検出は Alibaba Cloud ECS、AWS EC2、および Azure サーバーへの接続をサポートしています。
重要Azure は、Outside Chinese Mainland のリージョンでのみ検出がサポートされています。詳細については、「マルチクラウドアセットへのアクセスと検出」をご参照ください。
他のクラウドプロバイダーやオンプレミスデータセンターのサーバーについては、Security Center エージェントをインストールし、Anti-virus Edition 以上のエディションを購入して包括的なセキュリティ保護を得ることを推奨します。具体的な手順については、「Security Center の購入」および「エージェントのインストール」をご参照ください。
一部のエージェントレス検出アラートでアセットの IP アドレスが表示されないのはなぜですか?
エージェントレス検出を使用する際、アセットの IP アドレスが空の場合、考えられる理由は以下の通りです:
インスタンスがリリースされた
アラートに対応するインスタンスがリリースされると、インスタンスが存在しなくなるため、Security Center はインスタンスの IP 情報を取得できなくなります。
データクリーンアップメカニズム
Security Center はリリースされたインスタンスのレコードをクリーンアップすることがあり、これにより関連情報が利用できなくなります。
付録
詳細な検出機能
以下の表は、エージェントレス検出でサポートされる主な検出項目をリストアップしています。
検出カテゴリ | 検出範囲 | 詳細 |
脆弱性 | Linux ソフトウェア脆弱性、Windows システム脆弱性、アプリケーション脆弱性 | サポートされるオペレーティングシステムのバージョンについては、「脆弱性スキャンでサポートされるオペレーティングシステム」をご参照ください。 |
ベースラインチェック | オペレーティングシステム、アプリケーション、データベースの設定コンプライアンス | 数百の設定項目をスキャンサポートしており、以下に限定されません:
詳細については、コンソールの スキャン設定 ページに移動してください。操作の詳細については、「ベースラインチェック範囲」をご参照ください。 |
悪意のあるサンプル | 悪意のあるスクリプト、Webシェル、マルウェア |
詳細については、「悪意のあるサンプル」をご参照ください。 |
機密ファイル | 認証情報、キーファイル、設定ファイル | 一般的な機密ファイルの検出をサポートしており、以下に限定されません:
詳細については、コンソールのスキャン設定をご参照ください。具体的な手順については、「機密ファイルの確認項目」をご参照ください。 |
脆弱性スキャンでサポートされるオペレーティングシステム
オペレーティングシステムの種類 | バージョン |
Windows Server |
|
Red Hat |
|
CentOS |
|
Ubuntu |
|
Debian |
|
Alpine |
|
Amazon Linux |
|
Oracle Linux |
|
SUSE Linux Enterprise Server |
|
Fedora Linux |
|
openSUSE |
|
悪意のあるサンプル
悪意のあるサンプルのカテゴリ | 説明 | サポートされるチェック項目 |
悪意のあるスクリプト | アセット上のシステム関数が悪意のあるスクリプトによって攻撃または改ざんされたかどうかを検出します。検出結果には、考えられる悪意のあるスクリプト攻撃が表示されます。 悪意のあるスクリプトは、ファイルベースとファイルレスに分けられます。攻撃者はサーバーの権限を取得した後、スクリプトを媒介としてさらなる攻撃を行います。これらの攻撃には、マイニングプログラムの埋め込み、システムバックドアの追加、またはシステムアカウントの追加などが含まれます。 | サポートされる言語には、Shell、Python、Perl、PowerShell、VBScript、BAT などがあります。 |
Webシェル | アセット上の Web スクリプトファイルが悪意のあるものであり、バックドア通信または管理機能を含んでいるかどうかをチェックします。Webシェルを埋め込んだ後、攻撃者はサーバーを制御し、さらなる攻撃のためのバックドアとして使用できます。 | サポートされる言語には、PHP、JSP、ASP、ASPX などがあります。 |
マルウェア | アセット上のバイナリファイルが悪意のあるものであり、アセットを損傷したり、永続的な制御を維持したりする能力があるかどうかをチェックします。悪意のあるバイナリファイルを埋め込んだ後、攻撃者はサーバーを制御してマイニング、DDoS 攻撃、またはアセットファイルの暗号化を行うことができます。悪意のあるバイナリは、主に機能によって分類され、マイニングプログラム、トロイの木馬、バックドア、ハッキングツール、ランサムウェア、ワームなどがあります。 | 感染した基本ソフトウェア |
不審なプログラム | ||
スパイウェア | ||
トロイの木馬 | ||
感染性ウイルス | ||
ワーム | ||
エクスプロイトプログラム | ||
変異型トロイの木馬 | ||
ハッキングツール | ||
DDoS 攻撃型トロイの木馬 | ||
リバースシェルバックドア | ||
悪意のあるプログラム | ||
ルートキット | ||
ダウンローダ型トロイの木馬 | ||
スキャナー | ||
リスクウェア | ||
プロキシツール | ||
ランサムウェア | ||
バックドアプログラム | ||
マイニングプログラム |