通知設定を使用して、セキュリティアラート、脆弱性、ベースラインリスクなどのセキュリティイベントに対するアラートポリシーを構成します。システムは、メール、サイト内メッセージ、および DingTalk ロボットを通じて通知を送信し、セキュリティリスクに迅速に対応できるように支援します。
通知の構成
設定するメールおよびサイト内メッセージ通知
ステップ 1:通知受信者の構成
通知を構成する前に、受信者を指定する必要があります。デフォルトでは、通知はアカウント登録時に指定されたアカウント連絡先に送信されます。
Alibaba Cloud メッセージセンターにログインし、ページに移動します。
連絡先タブで、通知受信者を管理します。
既存の連絡先を選択:表示されるダイアログボックスで、通知を受信させたい連絡先のチェックボックスをオンにします。
新しい連絡先を追加:連絡先の管理をクリックします。「メッセージ受信者管理」ページの右上隅で、受信者の追加をクリックします。名前、およびメールアドレスを入力して、[保存] をクリックします。
説明新しいメールアドレスは、アラートを受信する前に検証する必要があります。システムから送信された検証用のメールを確認し、指示に従ってください。詳細については、「基本的なメッセージ受信者の管理」をご参照ください。
連絡先を変更:連絡先の管理をクリックします。「メッセージ受信者管理」ページで、変更したい連絡先を見つけ、[操作] 列の編集をクリックします。名前、およびメールアドレスを入力して、[保存] をクリックします。
設定を完了したら、[保存] をクリックします。変更は即時で有効になります。
ステップ 2:通知ポリシーの構成
Security Center には、メール、およびサイト内メッセージという 3 つの通知チャネルが用意されています。必要に応じて各通知項目を構成できます。設定は即時で有効になります。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
メール / サイト内通知タブで、構成したい通知項目を見つけます。以下の情報を使用して、通知時間、留意するレベル、およびNotification Methodを構成します。
通知時間:
24 時間:終日リアルタイムで通知を送信します。緊急かつ重大度の高いイベントにはこのオプションを推奨します。
08:00~20:00:指定した時間帯内でのみ通知を送信します。
重要選択した時間帯外に通知がトリガーされた場合、配信が遅延する可能性があります。実際の配信時間は異なる場合があります。
送信頻度はシステムによって設定されており、変更できません。詳細については、「クォータと制限事項」をご参照ください。
留意するレベル:イベントの重大度に基づいて通知をフィルタリングします。たとえば、重大および高のアラートのみを受信するように設定できます。
Notification Method:
メール、およびサイト内メッセージなど、複数の方法を選択できます。
一部の通知項目では特定の方法のみがサポートされています。利用可能な方法はコンソールに表示されます。
複数の通知方法を選択した場合、通知はすべての選択されたチャネルに同時に送信されます。
DingTalk チャットボット通知の構成
DingTalk チャットボット通知を構成すると、Security Center からのリアルタイムの脅威アラートを DingTalk グループで受信できます。
注意事項
手順
Webhook アドレスの取得
チャットボットを作成していない場合
DingTalk クライアントで、対象のグループチャットを選択し、右上隅のグループ設定アイコンをクリックします。
グループ管理セクションで、チャットボットをクリックします。「チャットボット管理」ページで、チャットボットを追加をクリックし、カスタムを選択します。
セキュリティ設定セクションで、構成済みの通知言語に基づいてカスタムキーワードを設定します。
中国語通知の場合: 云安全中心
英語通知の場合: Security
「カスタムロボットサービスおよび免責事項」を読み、同意するチェックボックスをオンにして、[完了] をクリックします。チャットボットを追加後、そのWebhook アドレスが表示されます。
チャットボットを作成済みの場合
DingTalk クライアントで、対象のグループチャットを選択し、右上隅のグループ設定アイコンをクリックします。
グループ管理セクションで、チャットボットをクリックします。「チャットボット管理」ページで、対象のチャットボットをクリックします。詳細ページにWebhook アドレスが表示されます。
Security Center へのチャットボットの追加
セキュリティセンター コンソールにログインします。セキュリティセンター コンソール。
左側のナビゲーションウィンドウで、を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
通知設定ページのDingTalk チャットボットタブで、新しいロボットを追加するをクリックします。DingTalk チャットロボットを追加するパネルで、設定を完了し、追加をクリックします。次の表に、主なパラメーターを示します。
説明デフォルトでは、新しい DingTalk チャットボットはEnableになっています。
パラメーター
説明
Webhook アドレス
ステップ 1で取得した Webhook アドレスを貼り付けます。
重要Webhook アドレスは機密情報です。外部の Web サイトに投稿しないでください。Webhook アドレスが漏洩すると、セキュリティリスクが発生します。
アセットグループ
Security Center のアセットセンターで作成したアセットグループを選択します。アセットグループを選択すると、そのグループ内のアセットに関するアラート通知が DingTalk チャットボットから送信されます。アセットの構成方法の詳細については、「サーバーグループの管理」をご参照ください。
通知スコープ
DingTalk チャットボット通知を受信するアラートの種類と重大度レベルを選択します。
説明これらの設定は OR 条件で評価されます。アラートが指定された種類または重大度レベルのいずれかに一致する場合、通知が送信されます。
通知頻度
DingTalk チャットボット通知の送信間隔です。
重要単一の DingTalk チャットボットの Webhook は、1 分あたり最大 20 件の通知を受信できます。詳細については、「DingTalk チャットボットの頻度と速度制限ルール」をご参照ください。
通知言語
DingTalk チャットボットから送信される通知の言語です。中国語または英語を選択できます。
通知のテスト (オプション)
DingTalk チャットボットリストで、新しく作成されたチャットボットを見つけ、テスト を 操作する 列でクリックして、DingTalk チャットボットが DingTalk グループに接続されていることを確認します。
説明DingTalk チャットボット通知の編集や削除が可能です。チャットボットの構成を削除すると、そのチャットボットから関連するアラート通知が届かなくなります。ただし、これにより構成済みのメール、またはサイト内メッセージ通知には影響しません。
設定 Cloud Monitor Push
Security Center で Cloud Monitor プッシュを有効化すると、Cloud Monitor が Security Center からのアラートを受信できるようになります。Security Center からアラートが Cloud Monitor にプッシュされると、Cloud Monitor のイベントサブスクリプション機能を使用して、Security Center のアラートをLark グループやWeCom グループなどのチャネルに転送できます。
Cloud Monitor が対応するアラートデータを受信できるようにするには、事前に Security Center で Cloud Monitor プッシュを有効化しておく必要があります。
Security Center コンソールの通知設定ページに移動します。ページの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
Cloud Monitor Pushタブで、プッシュする通知項目を選択します。次の表に、これらの通知項目を示します。
通知項目
プッシュ頻度
説明
Security Incident
Push ResultDetails:制限なし
DDoS 攻撃やブルートフォース攻撃などの検出されたセキュリティ攻撃に関する通知です。
セキュリティアラート
Push ResultDetails:制限なし
ホストまたはコンテナ上で検出された不審なログイン活動や悪意のあるプロセスなどの脅威に関する通知です。
Baseline Check
Push ResultOverview:毎週木曜日に 1 回送信されます。
セキュリティベースラインチェックのサマリーレポートに関する通知です。
クラウドプラットフォーム設定のチェック
Push ResultOverview:毎週木曜日に 1 回送信されます。
クラウドプラットフォームの構成リスクチェックのサマリーレポートに関する通知です。
エージェントレス検出
Push ResultDetails:カスタマイズ可能
エージェントをインストールせずに実行されるセキュリティスキャンの結果に関する通知です。
Malicious file
Push ResultDetails:カスタマイズ可能
悪意のあるファイル検出 SDK によって検出された悪意のあるファイルに関する通知です。
Vulnerability
Push ResultOverview:毎週木曜日に 1 回送信されます。
Push ResultDetails:カスタマイズ可能
システムおよびアプリケーションの脆弱性の検出結果とサマリーに関する通知です。
アプリケーション保護
Push ResultDetails:カスタマイズ可能
ランタイムアプリケーション自己保護 (RASP) のアラート通知です。
Cloud Monitor でカスタムイベントサブスクリプションを構成します。詳細については、「Security Center のモニタリング通知のカスタマイズ」をご参照ください。
通知の無効化
無効化 メールおよび内部通知
左側のナビゲーションウィンドウで、を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
メール / サイト内通知タブで、対象の通知項目を見つけ、Notification Method列で、不要なチャネルのチェックボックスをオフにします。
DingTalk チャットボットの無効化
左側のナビゲーションウィンドウで、を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
DingTalk チャットボットタブで、対象のチャットボットを見つけ、次のいずれかの操作を実行します。
目的
方法
注記
一時的に無効化
(すべての通知を一時的に停止)Enabling Status列のスイッチをオフにします。
構成は保存され、いつでも再有効化できます。
完全に削除
(このチャットボットの使用を停止)操作列で、操作をクリックします。
この操作は取り消せません。 再度チャットボットを使用するには、新たに作成および構成する必要があります。
通知のフィルタリング
(特定のアラートのみを受信)1. 操作列で、操作をクリックします。
2. 通知スコープセクションで、不要なアラートの種類または重大度レベルを削除します。これにより、通知の粒度を制御し、情報過多を回避できます。
CloudMonitor プッシュ通知の無効化
左側のナビゲーションウィンドウで、を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
Cloud Monitor Pushタブで、対象の通知項目を見つけ、Push Content列で、不要な通知項目のチェックボックスをオフにします。
クォータと制限事項
通知頻度と速度制限
アラート疲労を防ぐため、Security Center では通知の頻度と量に制限が設けられています。次の表に、各通知項目の具体的な制限を示します。
防御アラート
項目
頻度/トリガー条件
1 日あたりの速度制限 (メール/サイト内メッセージ)
精密防御
リアルタイムで送信されます。
1 日あたり最大20 通のメール、および 5 件のサイト内メッセージが送信されます。
Web 改ざん防止
1 日あたり最大 5 件の通知が送信されます。
クラウドハニーポットアラート
1 日あたり最大 5 件の通知が送信されます。
アプリケーション保護アラート
1 日あたり最大10 通のメール、および 10 件のサイト内メッセージが送信されます。
悪意のある IP ブロッキングアラート
1 日あたり最大 10 件の通知が送信されます。
検出アラート
項目
頻度/トリガー条件
1 日あたりの速度制限 (メール/サイト内メッセージ)
セキュリティアラート
リアルタイムで送信されます。
Alibaba Cloud アカウントあたり 24 時間以内に最大 5 件の通知が送信されます。
サーバーあたり 24 時間以内に最大 1 件の通知が送信されます。
新しいセキュリティイベント
同じセキュリティイベント (新規または更新済み) に関する通知は、1 日に 1 回のみ送信されます。
新規および更新済みのセキュリティイベントに関する通知は、合計で 1 日あたり最大 5 件送信されます。
更新済みのセキュリティイベント
コンテナセキュリティアラート
項目
頻度/トリガー条件
1 日あたりの速度制限 (メール/サイト内メッセージ)
コンテナマイクロセグメンテーション異常アラート
リアルタイムで送信されます。
1 日あたり最大 100 通のメールが送信されます。超過分の通知は後ほど送信されます。
コンテナマイクロセグメンテーション能動的防御通知
1 日あたり最大 100 通のメールが送信されます。超過分の通知は後ほど送信されます。
コンテナイメージスキャン悪意のあるファイルアラート
1 日あたり最大24 通のメール、および 24 件のサイト内メッセージが送信されます。
コンテナイメージスキャンベースラインリスク通知
1 日あたり最大 1 件の通知が送信されます。
コンテナイメージスキャン脆弱性リスク通知
1 日あたり最大24 通のメール、および 1 件のサイト内メッセージが送信されます。
コンテナイメージスキャン機密ファイルアラート
1 日あたり最大24 件の通知が送信されます。
エージェントレス検出アラート
項目
頻度/トリガー条件
1 日あたりの速度制限 (メール/サイト内メッセージ)
エージェントレス検出悪意のあるサンプル通知
スキャンタスク完了後に通知が送信されます。
1 日あたり最大1 通のメール、および 1 件のサイト内メッセージが送信されます。
エージェントレス検出脆弱性リスク通知
エージェントレス検出ベースラインリスク通知
エージェントレス検出機密ファイルアラート
定期的およびしきい値トリガー通知
項目
頻度/トリガー条件
1 日あたりの速度制限 (メール/サイト内メッセージ)
セキュリティ週次レポート
7 日ごとに 1 回。
なし
ベースラインチェック
ランサムウェア対策タスク実行結果
タスク完了後に送信されます。
ランサムウェア対策ストレージ容量超過
ランサムウェア対策ストレージ使用量が購入済み容量の 100% に達した場合、Security Center は即時に通知を送信します。
セキュリティセンターは 7 日ごとにチェックを行い、使用容量が設定されたしきい値を超えた場合に通知を送信します。
脅威分析ホットデータログストレージ超過アラート
リアルタイムで送信されます。
脅威分析ログ取り込みトラフィック超過アラート
ログストレージ超過
2 日ごとに 1 回。
ウイルススキャン通知
ウイルススキャンサイクルに基づいて通知が送信されます。
DingTalk チャットボットの頻度と速度制限
通知頻度:間隔を 1 分、5 分、10 分、30 分、または制限なしに設定できます。
制限なしオプションの速度制限:単一の DingTalk チャットボット Webhook URL は、1 分あたり最大 20 件の通知を受信できます。
よくある質問
連絡先と受信者の管理
アラート通知の連絡先情報 (メールアドレスまたは電話番号) を変更するにはどうすればよいですか?
この情報はAlibaba Cloud メッセージセンターで変更します。詳細については、「ステップ 1:通知受信者の構成」をご参照ください。
連絡先情報を更新した後も、古い連絡先にアラートが送信されたり、新しい連絡先に届かなかったりするのはなぜですか?
この問題をトラブルシューティングするには、次の点を確認してください。
変更内容の確認:連絡先を正しく変更または追加し、電話番号またはメールアドレスの検証を完了していることを確認します。詳細については、「ステップ 1:通知受信者の構成」をご参照ください。
他のプロダクトの構成の確認:CloudMonitor などの他のクラウドプロダクトに、古い連絡先を使用する独立したアラートルールが設定されていないか確認します。
ロール (たとえば、運用保守および開発) ごとにアラート受信者を一括で構成するにはどうすればよいですか?
ロールごとの一括構成は現在サポートされていません。回避策として、連絡先を追加または変更する際に「役職」タグを使用してロールを識別してください。
アラート配信のトラブルシューティング
アラート通知を構成しましたが、通知が届きません。どうすればよいですか?
この問題をトラブルシューティングするには、次の点を確認してください。
受信者の確認:電話番号またはメールアドレスが受信者管理設定に追加および検証済みであることを確認します。手順については、「ステップ 1:通知受信者の構成」をご参照ください。
通知設定の確認:関連する通知項目が有効になっており、関心レベルがアラートの重大度と一致しており、通知スケジュールが 24 時間に設定されていることを確認します。
迷惑メールフォルダの確認:メールの迷惑メールまたはジャンクフォルダ、または SMS のブロックリストに通知が届いていないか確認します。
速度制限の確認:「クォータと制限事項」セクションを参照して、1 日あたりの送信上限に達していないことを確認します。
リージョンの確認:構成済みの通知リージョン (中国またはグローバル (中国本土以外)) が、アラートをトリガーしたアセットのリージョンと一致していることを確認します。
「不審なログイン」アラートタイプを無効化したのに、DingTalk チャットボットに通知が届いたのはなぜですか?
原因:セキュリティアラートの通知レベルが不審に設定されている場合に発生します。通知ルールは、アラートの種類またはレベルのいずれかが設定と一致するとトリガーされます。
解決策:通知設定に移動し、セキュリティアラートの通知レベル設定でSuspiciousの選択を解除します。
付録:通知
定期レポート
通知項目
説明
セキュリティ週次レポート
Alibaba Cloud Security Center 週次レポートという件名の通知を受け取ります。レポートには、未処置の脆弱性の件数、脆弱性修正の提案、ベースラインリスクの件数、およびアセットに関するアラートが含まれます。
説明アカウントに ECS インスタンスが存在しない場合、または ECS インスタンスが停止中またはリリース済みの場合は、セキュリティ週次レポートは送信されません。
ベースラインチェック
Security Center 未処置ベースライン構成リスク週次レポートという件名の通知を受け取ります。このレポートには、アセット上の未処置のベースラインリスクの件数が記載されています。
リソースと容量
通知項目
説明
ランサムウェア対策容量不足
ランサムウェア対策容量不足の通知メカニズムは次のとおりです。
購入済みのランサムウェア対策容量の 100% に使用量が達した場合、リアルタイムで通知を受け取ります。
Security Center は、毎日スケジュール時刻にランサムウェア対策の容量使用量をチェックします。使用量が設定されたしきい値を超えると、通知が届きます。通知のしきい値を調整するには、アンチランサムウェアスペースを超過しました エリアの
アイコンをクリックできます。
脅威分析ホットデータログ過剰
この通知は、脅威分析ログのストレージ使用量を報告します。
脅威分析ログ取り込み過剰
取り込まれたログトラフィックがサブスクライブ済みのログトラフィックの 80% を超えた場合、スペックアップのリマインダーを受け取ります。
ログ超過
ログストレージ量が購入済みの容量しきい値を超えた場合、通知を受け取ります。
ログの超過エリアで
アイコンをクリックして、通知のログ容量しきい値を調整できます。機能アラート
通知項目
説明
ランサムウェア対策タスク実行結果
構成済みの通知期間中に、ランサムウェア対策のデータバックアップまたは復旧タスクが完了し、その結果 (成功または失敗) がユーザーのプリファレンスと一致する場合、通知を受け取ります。
新しいセキュリティイベント
Security Center が処理が必要な新しいセキュリティイベントを検出した場合、通知を受け取ります。
更新済みのセキュリティイベント
保留中のステータスのセキュリティイベントが新しい関連セキュリティアラートで更新された場合、通知を受け取ります。
セキュリティアラート
Security Center がセキュリティアラートを検出した場合、通知を受け取ります。
精密防御
Security Center が精密防御アラートを検出した場合、通知を受け取ります。
Web 改ざん防止
Security Center が Web 改ざん防止アラートを検出した場合、通知を受け取ります。
悪意のある IP ブロッキングアラート
Security Center が悪意のある IP からのブルートフォース攻撃をブロックした後、通知を受け取ります。
ウイルススキャン通知
構成済みのスキャンサイクルに基づき、各ウイルススキャンが完了した後、スキャン結果を含む通知を受け取ります。
クラウドハニーポットアラート
Security Center がクラウドハニーポットアラートを検出した場合、通知を受け取ります。1 日あたり最大 5 件の通知が送信されます。
アプリケーション保護アラート
Security Center がアプリケーション保護アラートを検出した場合、通知を受け取ります。
コンテナセキュリティ
通知項目
説明
コンテナマイクロセグメンテーション異常アラート
Security Center が不正なネットワークアクティビティを検出した場合、通知を受け取ります。
コンテナマイクロセグメンテーション能動的防御
Security Center が不正なネットワークアクティビティを検出し、能動的にブロックした場合、通知を受け取ります。
コンテナイメージスキャン悪意のあるサンプルアラート
コンテナイメージスキャンが完了した後、生成された悪意のあるサンプルアラートに関する通知を受け取ります。
コンテナイメージスキャンベースラインリスク通知
コンテナイメージスキャンが完了した後、生成されたベースラインリスクアラートに関する通知を受け取ります。
コンテナイメージスキャン脆弱性リスク通知
コンテナイメージスキャンが完了した後、生成された脆弱性リスクアラートに関する通知を受け取ります。
コンテナイメージスキャン機密ファイルアラート
コンテナイメージスキャンが完了した後、生成された機密ファイルアラートに関する通知を受け取ります。
エージェントレス検出
通知項目
説明
エージェントレス悪意のあるサンプル検出
セキュリティスキャンが完了した後、スキャンで見つかった悪意のあるサンプルに関するアラート通知を受け取ります。
エージェントレス脆弱性リスク検出
セキュリティスキャンが完了した後、スキャンで見つかった脆弱性リスクに関するアラート通知を受け取ります。
エージェントレスベースラインリスク検出
セキュリティスキャンが完了した後、スキャンで見つかったベースラインリスクに関するアラート通知を受け取ります。
エージェントレス機密ファイル検出
セキュリティスキャンが完了した後、スキャンで見つかった機密ファイルに関するアラート通知を受け取ります。