ご利用のサーバーにハニーポットをデプロイすると、Cloud Honeypot はクラウド内外からの攻撃をキャプチャします。検出された各攻撃は、アラートイベントページにアラートイベントとして表示されます。サーバーのセキュリティを維持するために、これらのイベントを速やかに確認し、処理してください。
前提条件
開始する前に、次のことを確認してください。
ご利用のサーバーにハニーポットがデプロイされていること
以下にアクセスします: Security Center コンソールSecurity Center コンソール以下にログインします: Security Center コンソール。
アラートイベントの表示
ログインして、セキュリティセンター コンソールセキュリティセンター コンソールにアクセスします。トップナビゲーションバーで、管理対象のリソースのリージョンを、[中国] または [中国以外] のいずれかから選択します。
左側のナビゲーションウィンドウで、リスクガバナンス > Cloud Honeypot > アラートイベント を選択します。
アラートイベントページの上部で、ハニーポットの統計情報を確認します。より多くのプローブが必要な場合は、設定のアップグレード をクリックして追加のプローブを購入します。
統計 説明 ノードステータスの管理 ご利用のハニーポット管理ノードのステータス 承認済みプローブ 使用がライセンスされているプローブの数 利用可能なプローブ デプロイ可能なプローブの数 デプロイ済みのホストプローブ 現在ホストにデプロイされているプローブの数 アラートイベントリストで、検出された攻撃を確認します。各イベントには、リスクレベル、リスク概要、攻撃元 が表示されます。
特定のイベントを調査するには:
イベントを見つけ、操作 列の ログの表示 をクリックします。イベントログ ページには、イベントに関連するすべてのログが一覧表示されます。
ログエントリを見つけ、操作 列の 詳細 をクリックします。[ログ詳細] ページには、そのログエントリの 基本情報 と 攻撃タイムライン が表示されます。
アラートイベントの処理
セキュリティセンター コンソールセキュリティセンター コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョン — [中国] または [中国国外] のいずれか — を選択します。
左側のナビゲーションウィンドウで、リスクガバナンス > Cloud Honeypot > アラートイベント を選択します。
処理するアラートイベントを見つけ、操作 列の 処理 をクリックします。
アラートの処理 ダイアログボックスで、イベントの性質に基づいて ソリューション を設定します。
ソリューション 使用する状況 結果 ホワイトリストに追加 イベントが実際の攻撃ではなく、既知の正当なワークロードによって生成された場合 同じ攻撃情報を持つアラートイベントがアラートイベントリストに表示されなくなり、アラートもトリガーされなくなります 処理済みとしてマーク イベントは確認済みの攻撃であり、サーバーまたは仮想プライベートクラウド (VPC) で既に是正されています。 イベントが解決済みとしてマークされます OK をクリックします。
アラートイベントをホワイトリストに追加すると、同じ攻撃情報を持つ他のアラートイベントはアラートイベントリストに表示されなくなり、その攻撃はアラートイベントをトリガーしなくなります。アセットのセキュリティを確保するため、必要な場合を除き、アラートイベントをホワイトリストに追加しないことを推奨します。この操作を元に戻すには、処理済みのアラートイベントリストでイベントを見つけ、処理 をクリックし、ソリューション を ホワイトリストから削除 に設定して、OK をクリックします。