セキュリティセンターのアラートをSimple Log Serviceに取り込む -

Security Centerは、セキュリティの脅威を動的に識別および分析し、脅威が検出されたときにアラートを生成するセキュリティ管理システムです。 Security Centerを使用すると、クラウドリソースとローカルサーバーのセキュリティを一元的に確保し、規制コンプライアンス要件を満たすことができます。 Security Centerコンソールで、Simple Log Serviceのアラート取り込みシステムを通知方法として設定できます。これにより、Security CenterアラートをSimple Log Serviceに取り込むことができます。次に、Simple Log Serviceのアラートシステムがアラートのノイズを除去し、アラート通知を送信します。

前提条件

アラート取り込みアプリケーションが作成されている必要があります。アラート取り込みアプリケーションのProtocolパラメーターがSecurity Centerに設定されています。詳細については、「アラート取り込み用のwebhook URLの設定」をご参照ください。
エンタープライズ版のセキュリティセンターを購入しました。詳細については、「Security Center の購入」をご参照ください。

Security Centerコンソールでのアラート通知方法の設定

にログインします。Security Centerコンソール.
左側のナビゲーションウィンドウで、[設定] をクリックします。
[通知] タブの [DingTalkチャットボット通知設定] セクションで、[チャットボットの追加] をクリックします。
[DingTalkチャットボットの追加] パネルでパラメーターを設定し、[追加] をクリックします。
Webhook URLパラメーターを、アラート取り込みアプリケーションの作成後に生成されるインターネットwebhook URLのフルパスに設定します。詳細は、「Webhook URL の取得」を参照してください。その他のパラメーターについては、「DingTalkチャットボットの追加」をご参照ください。

セキュリティセンターのアラート解析

Security Centerは、脆弱性、ベースラインリスク、セキュリティイベント、およびAccessKeyペアのリークが検出されるとアラートを生成します。次の表では、さまざまな種類のアラートのフィールドについて説明します。

脆弱性の警告

項目	説明	Simple Log Serviceとの関係のマッピング
instanceName	Security Centerによって保護されているインスタンスの名前。たとえば、Elastic Compute Service (ECS) インスタンスの名前。	instanceNameフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
instanceId	Security Centerによって保護されているインスタンスのID (ECSインスタンスのIDなど) 。	instanceIdフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
alias_name	脆弱性のエイリアス。	alias_nameフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
internetIp	IP アドレスです。	internetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
intranetIp	内部IPアドレス。	intranetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
uuid	サーバーの汎用一意識別子 (UUID) 。	uuidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
aliUid	Alibaba Cloud アカウントの ID。	aliUidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
時間	アラートのトリガー時刻。	時間フィールドは、Simple Log Serviceでサポートされているアラートのalert_timeフィールドとfire_timeフィールドにマップされます。

ベースラインリスクのアラート

項目	説明	Simple Log Serviceとの関係のマッピング
instanceName	Security Centerによって保護されているインスタンスの名前 (ECSインスタンスの名前など) 。	instanceNameフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
instanceId	Security Centerによって保護されているインスタンスのID (ECSインスタンスのIDなど) 。	instanceIdフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
type_alias	中国语のチェックタイプのエイリアス。	type_aliasフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
risk_name	リスクの名前。	risk_nameフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
internetIp	IP アドレスです。	internetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
intranetIp	内部IPアドレス。	intranetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
uuid	サーバーのUUID。	uuidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
aliUid	Alibaba Cloud アカウントの ID。	aliUidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
時間	アラートのトリガー時刻。	時間フィールドは、Simple Log Serviceでサポートされているアラートのalert_timeフィールドとfire_timeフィールドにマップされます。

セキュリティイベントのアラート

項目	説明	Simple Log Serviceとの関係のマッピング
instanceName	Security Centerによって保護されているインスタンスの名前 (ECSインスタンスの名前など) 。	instanceNameフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
instanceId	Security Centerによって保護されているインスタンスのID (ECSインスタンスのIDなど) 。	instanceIdフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
instanceId
machineIp	マシンのIPアドレス。	machineIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
internetIp	IP アドレスです。	internetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
intranetIp	内部IPアドレス。	intranetIpフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
uuid	サーバーのUUID。	uuidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
aliUid	Alibaba Cloud アカウントの ID。	aliUidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
groupId	アセットグループのID。	groupIdフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
event_type	アラートのタイプ。	event_typeフィールドは、Simple Log Serviceでサポートされているアラートのalert_nameフィールドにマップされます。
event_name	アラートの名前。	event_nameフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドとtitleフィールドにマップされます。
op	セキュリティイベントに対して実行されるアクション。有効な値： new: 新しいセキュリティイベントを検出します。 fix: セキュリティイベントを修正します。 verify: セキュリティイベントを検証します。	opフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマップされます。
status	セキュリティイベントのステータス。詳細については、「セキュリティイベントのステータス」をご参照ください。	ステータスフィールドは、Simple Log Serviceでサポートされているアラートのannotationsフィールドにマッピングされます。
時間	アラートのトリガー時刻。	時間フィールドは、Simple Log Serviceでサポートされているアラートのalert_timeフィールドとfire_timeフィールドにマップされます。

セキュリティイベントの状態を次の表に示します。

有効値のstatus	説明	Simple Log Serviceのアラートステータス
保留中	Pending	firing
処理済み	確認済み	firing
取引	処理中	firing
自動取引	自動ブロッキング	firing
無視する	無視	resolved
障害	誤検知としてマーク	resolved
完了	処理済み	resolved
有効期限	期限切れ	resolved
削除済み	削除済み	resolved
自動取引完了	自動ブロッキング完了	resolved

AccessKeyペアリークのアラート

項目	説明	Simple Log Serviceとの関係のマッピング
github_ユーザー	リークされたGitHubアカウント。	github_userフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
github_ファイル	リークされたGitHubファイル。	github_fileフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
ソース	漏れの原因。	ソースフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
github_repo	リークされたGitHubリポジトリ。	github_repoフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
accesskey_id	リークされたAccessKeyペア。	accesskey_idフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
aliUid	Alibaba Cloud アカウントの ID。	aliUidフィールドは、Simple Log Serviceでサポートされているアラートのlabelsフィールドにマップされます。
時間	アラートのトリガー時刻。	時間フィールドは、Simple Log Serviceでサポートされているアラートのalert_timeフィールドとfire_timeフィールドにマップされます。

フィールドマッピング

次の表に、Simple Log Serviceのアラート属性とSecurity Centerのアラートフィールドの間のマッピングを示します。

シンプルなLog Service	セキュリティセンター	説明
aliuid	なし	アラート取り込みアプリケーションが属する Alibaba Cloud アカウントの ID。
alert_id	なし	アラートモニタリングルールの ID。
alert_type	なし	アラートのタイプ。有効な値は、sls_pub です。
alert_name	event_type	アラートモニタリングルールのルール名。
status	status	アラートのステータス。有効な値は、firing と resolved です。 security Centerの各セキュリティイベントのステータスは、Simple Log Serviceの対応するアラートのステータスにマッピングされます。詳細については、「セキュリティイベントのステータス」をご参照ください。
next_eval_interval	なし	アラートが評価される間隔。有効値: 0。
alert_time	時間	アラートが評価された時刻。
fire_time	時間	初回のアラートのトリガー時刻。
resolve_time	なし	アラートの解除日時。 statusフィールドの値が発火している場合、resolt_timeフィールドは0に設定されます。 statusフィールドの値が解決されている場合、resolt_timeフィールドはfire_timeフィールドの値に設定されます。
labels	instanceName、instanceId、accountName、aliUid、およびuuid	アラートのラベル。次のフィールドが含まれています。 instanceName instanceId accountName aliUid uuid アラート取り込みアプリケーションの作成時に [エンリッチメント] タブでラベルを追加すると、ラベルは labels フィールドに追加されます。
annotations	ステータス、internetIp、intranetIp、machineIp、op、event_name	アラートの注釈。以下のフィールドが含まれる: status、internetIp、intranetIp、machineIp、op、およびtitle。 titleフィールドはevent_nameフィールドにマップされます。注釈フィールドには、次のフィールドも追加されます。 __config_app __: "sls_pub_alert" __pub_alert_service __: {アラート取り込みサービスのID} __pub_alert_app __: {アラート取り込みアプリケーションのID} __pub_alert_protocol __: "sas" __pub_alert_region __: {アラートの送信先のエンドポイントのリージョン} アラート取り込みアプリケーションの作成時に [エンリッチメント] タブで注釈を追加した場合、注釈は annotations フィールドに追加されます。
severity	イベントレベル	アラートの重大度。 Security Centerアラートのイベントレベルが重大な場合、severityフィールドの値は重要です。 Security Centerアラートのイベントレベルが疑わしい場合、severityフィールドの値は高くなります。 Security Centerアラートのイベントレベルがその他の場合、重大度フィールドの値は中程度です。
policy	なし	アラート取り込みアプリケーションに指定されているアラートポリシー。詳細については、「ポリシー変数の説明」をご参照ください。
project	なし	アラートセンターが属するプロジェクト。詳細は、「プロジェクト」をご参照ください。
drill_down_query	なし	この値はリンクです。リンクには、Security CenterアラートのURLが含まれています。リンクをクリックすると、Security Centerアラートを表示する対応するページに移動できます。