サーバーにハニーポットをデプロイした後、ハニーポットはクラウド内外で起動されたサーバーへの攻撃をキャプチャします。 攻撃の統計は、クラウドハニーポットページにアラートイベントとして表示されます。 サーバーのセキュリティを確保するために、できるだけ早い機会にアラートイベントを表示して処理することをお勧めします。 このトピックでは、アラートイベントを表示および処理する方法について説明します。
アラートイベントの表示
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
[アラートイベント] ページの上部で、[ノードステータスの管理] 、[許可されたプローブ] 、[使用可能なプローブ] 、[デプロイ済みホストプローブ] などのアラートイベントの統計情報を表示します。
ハニーポットに十分なプローブがない場合は、[設定のアップグレード] をクリックしてプローブを購入できます。
アラートイベントリストで、攻撃用に生成されたアラートイベントの詳細を表示します。 攻撃はハニーポットによってキャプチャされます。 アラートイベントリストには、[リスクレベル] 、[リスクの概要] 、[攻撃元] などの情報が表示されます。
アラートイベントを見つけて、[操作] 列の [ログの表示] をクリックします。 [イベントログ] ページで、アラートイベントに関連するログのリストを表示します。
ログを見つけて、[操作] 列の [詳細] をクリックします。 [ログの詳細] ページで、[基本情報] と [攻撃タイムライン] を表示します。
アラートイベントの処理
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
[アラートイベント] ページで、アラートイベントを処理します。
アラートイベントの詳細に基づいて、次のいずれかの方法を使用して、アラートイベントを処理できます。
ホワイトリストにアラートイベントを追加する
重要ホワイトリストにアラートイベントを追加すると、アラートイベントと同じ攻撃情報を持つ他のアラートイベントはアラートイベントリストに表示されなくなり、攻撃によってアラートイベントがトリガーされなくなります。 アセットのセキュリティを確保するために、必要な場合を除き、ホワイトリストにアラートイベントを追加しないことを推奨します。
通常のワークロードに対してアラートイベントが生成されたことを確認した場合、そのアラートイベントをホワイトリストに追加できます。 アラートイベントをホワイトリストに追加するには、次の操作を実行します。アラートイベントを検索し、[操作] 列の [ハンドル] をクリックします。 [アラートの処理] ダイアログボックスで、ソリューションを [ホワイトリストに追加] に設定し、[OK] をクリックします。
説明アラートイベントがホワイトリストに追加された後、Security Centerを有効にして、その後の検出でアラートイベントを報告できます。 処理済みアラートイベントリストでアラートイベントを見つけ、[操作] 列の [ハンドル] をクリックします。 [アラートの処理] ダイアログボックスで、ソリューションを [ホワイトリストから削除] に設定し、[OK] をクリックします。
アラートイベントを処理済みとしてマークする
攻撃に対してアラートイベントが生成されたことを確認した場合、サーバーまたはVPCで検出された攻撃を処理する必要があります。 攻撃を処理した後、アラートイベントを処理済みとしてマークできます。 アラートイベントを処理済みとしてマークするには、次の操作を実行します。アラートイベントを検索し、[操作] 列の [ハンドル] をクリックします。 [アラートの処理] ダイアログボックスで、ソリューションを [処理済みとしてマーク] に設定し、[OK] をクリックします。