クラウドハニーポットをデプロイすると、クラウド内外からサーバーへの実際の攻撃を捕捉し、その攻撃データをクラウドハニーポットのページにアラートイベントとして表示します。 サーバーの安全を確保するため、速やかにアラートイベントを確認し、対応することを推奨します。 本トピックでは、アラートイベントの確認方法と対応方法について説明します。
アラートイベントの確認
-
Security Center コンソール にログインします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが所在するリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
アラートイベント ページで、 Manage Node Status、 Authorized Probes、 Available Probes、 Deployed Host Probes などの情報を確認します。
ハニーポットプローブが不足している場合は、 アップグレード設定 をクリックしてプローブを追加購入します。
-
アラート一覧で、クラウドハニーポットが捕捉した攻撃によって生成されたセキュリティアラートイベントの詳細 (Risk Level、 Risk Overview、 Attack Source など) を確認します。
-
対象のアラートイベントの [Actions] 列にある View Logs をクリックして イベントログ ページに移動し、アラートイベントに関連する詳細なログエントリを確認します。
-
対象ログの 操作する 列にある Details をクリックすると、 Basic Information や 攻撃のタイムライン などのログ詳細を確認できます。
-
アラートイベントの対応
-
Security Center コンソール にログインします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが所在するリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
アラートイベント ページでアラートイベントに対応します。
アラートイベントの詳細に基づいて、適切な対応方法を選択します。
-
ホワイトリストに追加
重要処理方法を [ホワイトリストに追加] に設定すると、同じ攻撃情報のアラートイベントはアラートイベントリストに表示されなくなります。資産のセキュリティを確保するために、この操作は慎重に実行してください。
アラートイベントが正当なワークロードによるものである場合は、アラートイベントの 操作する 列にある 処理 をクリックし、対応方法を ホワイトリストを追加する に設定します。
説明アラートイベントをホワイトリストに追加した後、そのアラートイベントを再度表示させたい場合は、対応済みのアラートイベント一覧から対象のイベントを見つけ、 操作する 列の 処理 をクリックして Remove from Whitelist を選択します。
-
処理済みとしてマーク
アラートイベントが確認済みの攻撃である場合は、サーバーまたは VPC のセキュリティを堅牢化して、特定されたリスクに対処します。 セキュリティ強化が完了したら、 操作する 列の 処理 をクリックし、対応方法を Mark as Handled に設定します。
-