観測リスト(別名:データセット)は、参照データ(IP アドレス、ドメイン名、ユーザー ID など)を一元的に保管し、セキュリティ検知ルールおよび SOAR プレイブック内で名前による参照を可能にする機能です。ルールのロジックにデータを直接ハードコードする代わりに、観測リストを更新すれば、それを参照するすべてのルールが即時に変更内容を反映します。
ユースケース
ホワイトリスト除外:信頼済みの IP アドレス範囲を
global_ip_whitelistに追加することで、検知ルールが既知の安全なソースからのトラフィックをスキップし、誤検知を低減します。ブラックリスト検知:悪意のある IP アドレスまたはドメインのリストを維持し、ルール内で参照して該当するトラフィックを自動的にフラグ付けまたはブロックします。
ビジネスエンティティのタグ付け:特権アカウントや退職済み従業員などのユーザー ID リストをアップロードし、SOAR プレイブック内で参照することで、ビジネス文脈に応じた異なる応答アクションを適用できます。
アラートノイズリダクション:本来はルールをトリガーする操作を行う、承認済みの IP 範囲からのアラートを抑制します。
制限事項
観測リストを作成する前に、以下の制約を確認してください。
| 制約 | 詳細 |
|---|---|
| 最大ファイルサイズ | 1 回のアップロードあたり 3 MB |
| ファイルあたりの最大レコード数 | 5,000 |
| フィールドあたりの最大長 | フィールドあたり 200 バイト |
| プライマリキー・フィールド | 作成時に設定され、その後変更できません。 |
| 重複するプライマリキー | システムは最後のレコードを保持し、それ以前のレコードを破棄します。アップロード前にデータの一意性を確認してください。 |
| SQL による取得 | SQL で取得可能なのはプライマリキー・フィールドのみであり、他のフィールドにはアクセスできません。 |
観測リストの仕組み
観測リストは、構造化データを行単位で格納し、そのうち 1 つのフィールドを プライマリキーとして指定します。このプライマリキーは、ルール実行時にデータをランタイムで照合するために使用されるフィールドです(例:IP ホワイトリストにおける IP アドレス、ユーザー一覧におけるユーザー ID)。プライマリキーは慎重に選定してください。リスト作成後に変更することはできません。
ルールが実行されると、観測リストの名前でクエリを発行し、プライマリキーの値と照合します。カスタム検知ルール内で観測リストを参照するための SQL 構文は以下のとおりです。
SELECT key FROM common_data_set WHERE data_set_name = '<observation_list_name>'key は固定キーワードであり、リスト作成時に指定したプライマリキー・フィールドに自動的にマップされます。
例 — IP ホワイトリストによるフィルタリング:このルールは、ソース IP が global_ip_whitelist に含まれていないすべてのログエントリを返します。
-- ソース IP がオフィスネットワークの IP アドレスホワイトリストに含まれていないかを確認
* | SELECT * FROM log
WHERE src_ip NOT IN (
SELECT key FROM common_data_set
WHERE data_set_name = 'global_ip_whitelist'
)事前定義済み観測リストの管理
Security Center には、global_ip_whitelist という名称の組み込み観測リストが含まれています。このリストは、Alibaba Cloud サービスから提供される信頼済み IP アドレスを一元管理し、検知ルール全体で共有されるホワイトリストとして機能します。
以下の Alibaba Cloud サービスが、このリストへ IP アドレスを提供できます。
| IP アドレスのソース | 更新方法 | マルチアカウント管理対応 |
|---|---|---|
| Security Center の脆弱性 Web スキャナー IP アドレス | リストに静的に組み込まれている | いいえ |
| Web Application Firewall (WAF) の back-to-origin IP アドレス | クラウドプロダクトから動的に取得 | いいえ |
| Anti-DDoS の back-to-origin IP アドレス | クラウドプロダクトから動的に取得 | いいえ |
| Edge Security Acceleration (ESA) の back-to-origin ノード IP アドレス | クラウドプロダクトから動的に取得 | いいえ |
| Elastic Computing Service (ECS) のパブリック IP アドレス | クラウドプロダクトから動的に取得 | はい |
| Classic Load Balancer (CLB) のパブリック IP アドレス | クラウドプロダクトから動的に取得 | 対応 |
| Elastic IP アドレス (EIP) | クラウドプロダクトから動的に取得 | はい |
| Content Delivery Network (CDN) の back-to-origin IP アドレス | クラウドプロダクトから動的に取得 | いいえ |
| Global Accelerator (GA) の back-to-origin IP アドレス | クラウドプロダクトから動的に取得 | はい |
マルチアカウント管理対応 とは、現在のアカウントが管理するメンバーアカウントから IP アドレスを同期できるかどうかを示します。詳細については、「マルチアカウントセキュリティ管理」をご参照ください。
自動更新の有効化
Security Center コンソール にログインします。左側のナビゲーションウィンドウで、Agentic SOC > インテグレーションセンター を選択します。画面左上隅から、ご利用の資産が配置されているリージョン(中国本土 または 中国本土以外)を選択します。
観測リスト タブで、
global_ip_whitelistの [操作] 列にある 編集 をクリックします。スケジュール更新リスト エリアで、同期したい各クラウドプロダクトについて 自動更新 を有効化します。自動更新を有効化すると、データ同期が直ちに開始されます。以降の同期は、毎日 02:00~06:00(UTC + 08:00)の間に実行されます。
メンバーアカウントからの IP アドレスを含める場合は、マルチアカウント管理 を有効化します。
個別エントリの追加または編集
観測リスト タブで、
global_ip_whitelistの [操作] 列にある 編集 をクリックします。データリスト エリアで、新しいエントリを作成するには 追加 をクリックし、既存のエントリを変更するには [操作] 列の 編集 をクリックします。以下のフィールドを入力します。
フィールド 説明 例 ipCIDR 表記による IP アドレス範囲 47.XXX.XXX.32/27(範囲:47.XXX.XXX.32~47.XXX.XXX.63)typeIP アドレスの種別 — カスタマイズ可能 waf_back_source_ipdescriptionIP アドレスの説明 WAF back-to-origin IP(aliUid:135******357)エントリを削除するには、[操作] 列の 削除 をクリックします。削除したエントリは、再度 追加 をクリックすることで再登録できます。
一括でのエントリ更新
観測リスト タブで、
global_ip_whitelistの [操作] 列にある 一括更新 をクリックします。ファイルテンプレートをダウンロードし、データファイルを準備します。
先頭行には、フィールド名:
ip、type、descriptionを含める必要があります。プライマリキーは
ipであり、変更できません。IP アドレスが既にリスト内に存在する場合、システムはその
typeおよびdescriptionの値を更新します。ファイルサイズは 3 MB を超えてはならず、レコード数は 5,000 を超えてはなりません。各フィールドの長さは 200 バイトを超えてはなりません。
ファイルをアップロードし、次へ をクリックします。
確認ページで、OK をクリックします。
カスタム観測リストの作成および管理
カスタム観測リストでは、任意のデータ構造を定義し、ルールまたは SOAR プレイブック内で参照できます。
観測リストの作成
観測リスト タブで、追加 をクリックします。
初期化 タブで、リストの名称および説明を入力します。
ファイルテンプレートをダウンロードし、データファイルを準備します。
先頭行にはフィールド名(例:
userid,department,risk_level)を含める必要があります。プライマリキーの値は空欄にできず、重複してはなりません。
ファイルサイズは 3 MB を超えてはならず、レコード数は 5,000 を超えてはなりません。各フィールドの長さは 200 バイトを超えてはなりません。
重要アップロードされたデータに重複するプライマリキー値が含まれる場合、システムは最後のレコードを保持し、それ以前のレコードを破棄します。データ損失を防ぐため、アップロード前にデータの一意性を確認してください。
リストのプライマリキー(ルールがデータ照合に使用するフィールド)を選択し、次へ をクリックします。
確認ページで、OK をクリックします。
個別エントリの追加または編集
観測リスト タブで、対象のリストの [操作] 列にある 編集 をクリックします。
データリスト エリアで、新しいエントリを作成するには 追加 をクリックし、既存のエントリを変更するには [操作] 列の 編集 をクリックします。フォームのフィールドは、リストで定義されたスキーマに基づいて自動的に表示されます。
エントリを削除するには、[操作] 列の 削除 をクリックします。
一括でのエントリ更新
観測リスト タブで、対象のリストの [操作] 列にある 一括更新 をクリックします。
ファイルテンプレートをダウンロードし、データファイルを準備します。
先頭行には、観測リストのフィールド名を含める必要があります。
プライマリキー・フィールドは変更できません。
ファイルサイズは 3 MB を超えてはならず、レコード数は 5,000 を超えてはなりません。各フィールドの長さは 200 バイトを超えてはなりません。
重要アップロードされたデータに重複するプライマリキー値が含まれる場合、システムは最後のレコードを保持し、それ以前のレコードを破棄します。データ損失を防ぐため、アップロード前にデータの一意性を確認してください。
ファイルをアップロードし、次へ をクリックした後、確認ページで OK をクリックします。
観測リストの削除
観測リスト タブで、対象のリストの [操作] 列にある 削除 をクリックします。
削除は完全に永久的であり、元に戻すことはできません。
ルールおよびプレイブックにおける観測リストの利用
ルール管理
SQL をベースとした ルール本文 を用いたカスタム脅威検知ルールを作成する際、観測リストのプライマリキー・データを以下のように参照します。
SELECT key FROM common_data_set WHERE data_set_name = '<observation_list_name>'<observation_list_name> は、ご利用の観測リストの正確な名称に置き換えてください。
SOAR
自動応答ルール:自動応答ルールを作成する際に、フィルター条件 セクションで観測リストに基づくフィルター条件を追加します。詳細については、「カスタム自動応答ルールの追加」をご参照ください。
| 条件 | 説明 |
|---|---|
not in ip Dataset | ソースが IP 観測リストに含まれていない |
in ip dataset | ソースが IP 観測リストに含まれている |
not in dataset | ソースが観測リストに含まれていない |
in dataset | ソースが観測リストに含まれている |
カスタムプレイブック:プレイブックエディターの filter コンポーネントで、観測リストに基づくフィルタールールを追加し、データストリームをリダイレクトできます。詳細については、「フィルター・コンポーネント」をご参照ください。
| ルール名 | 説明 |
|---|---|
NOT IN IP Dataset | ソースが IP 観測リストに含まれていない |
IN IP Dataset | ソースが IP 観測リストに含まれている |
NOT IN Dataset | ソースが観測リストに含まれていない |
IN Dataset | ソースが観測リストに含まれている |