Alibaba Cloud Simple Log Service と Security Center は共同でログ分析機能をリリースしました。この機能を使用すると、リスクデータをリアルタイムで収集、クエリ、分析、変換、および利用できます。ログ分析機能を使用して、サーバーの潜在的なリスクを監視および処理し、クラウドリソースの一元管理を実装できます。このトピックでは、ログ分析機能のアセット、課金、および制限について説明します。
制限
Security Center ログのみを専用の Logstore に書き込むことができます。ログ保存期間など、Logstore の属性を変更することはできません。
中華人民共和国のサイバーセキュリティ法に準拠するために、Security Center ログは少なくとも 180 日間保持する必要があります。サーバーごとに 40 GB のログストレージ容量を割り当てることをお勧めします。
Security Center [ベーシックエディション] はログ分析機能をサポートしていません。Security Center [Ultimate Edition] と [Enterprise Edition] は、ネットワークログ、セキュリティログ、およびホストログのクエリをサポートしています。Security Center [Advanced Edition] と [Anti-virus Edition] は、セキュリティログとホストログのクエリをサポートしています。これらのエディションの課金の詳細については、「課金概要」をご参照ください。
アセット
専用のプロジェクトと Logstore
ログ分析機能を有効にすると、Simple Log Service はデフォルトで sas-log-Alibaba Cloud アカウント ID-リージョン ID という名前のプロジェクトと sas-log という名前の専用の Logstore を作成します。次の表に、リージョンを示します。
Security Center のリージョン
Simple Log Service プロジェクトのリージョン
中国
中国 (杭州)
中国以外
シンガポール
重要Security Center ログに関連するプロジェクトまたは Logstore を削除しないでください。削除すると、Security Center ログを Simple Log Service に送信できなくなります。
誤って専用の Logstore を削除した場合、sas-log Logstore が存在しないというプロンプトが表示され、Logstore 内のすべてのログデータが削除されます。この場合は、ticket を送信して Logstore を復元してください。Logstore の復元後にログ分析機能を再度有効にしても、失われたログは復元できません。
従量課金制の請求モードを有効にしている場合、Simple Log Service はデフォルトで従量課金制の請求モードを使用する専用の Logstore を作成します。従量課金制から機能別課金制に請求モードを切り替える場合は、Logstore の構成を変更できます。詳細については、「ログストアの構成を変更する」をご参照ください。
専用のダッシュボード
Security Center ログは 3 つのタイプに分類されます。Security Center のログ分析機能を有効にすると、Simple Log Service はデフォルトで 9 つのダッシュボードを生成します。
重要ダッシュボードはいつでもアップグレードまたは更新される可能性があるため、専用のダッシュボードを変更しないことをお勧めします。クエリ結果を表示するためのカスタムダッシュボードを作成できます。詳細については、「ダッシュボードを作成する」をご参照ください。
サポートされているログタイプ
Security Center Enterprise Edition と Ultimate Edition は、ホスト、セキュリティ、およびネットワークのログタイプに属する 16 のサブタイプのログをサポートしています。Security Center Anti-virus Edition と Advanced Edition は、ホストとセキュリティのログタイプに属する 12 のサブタイプのログをサポートしています。
ネットワークログタイプ
ログタイプ | __topic__ | 説明 | 収集サイクル |
sas-log-http | Web サーバーへのユーザーリクエストと Web サーバーからのレスポンスのログ。ユーザーの IP アドレス、リクエスト時間、リクエストメソッド、リクエスト URL、HTTP ステータスコード、レスポンスサイズなどが含まれます。 Web アクセスログは、Web トラフィックとユーザーの行動を分析し、アクセスパターンと例外を特定し、Web サイトのパフォーマンスを最適化するために使用されます。 | ほとんどの場合、ログは生成されてから 1 ~ 12 時間後に収集されます。 | |
sas-log-dns | DNS 解決の詳細のログ。リクエストされたドメイン名、クエリタイプ、クライアントの IP アドレス、レスポンス値などが含まれます。 DNS ログに基づいて、DNS 解決のリクエストとレスポンスのプロセスを監視し、異常な解決動作、ドメインハイジャック、DNS ポイズニングを特定できます。 | ||
local-dns | ローカル DNS サーバーでの DNS クエリとレスポンスのログ。リクエストされたドメイン名、クエリタイプ、クライアントの IP アドレス、レスポンス値などが含まれます。 ネットワーク内の DNS クエリに関する情報を取得し、内部 DNS ログに基づいて、異常なクエリ動作、ドメインハイジャック、DNS ポイズニングなどの問題を特定できます。 | ||
sas-log-session | ネットワーク接続とデータ送信のログ。ネットワークセッションの詳細が含まれます。詳細には、セッション開始時刻、送信元 IP アドレス、宛先 IP アドレス、プロトコル、ポートなどが含まれます。 ネットワークセッションログは、一般に、ネットワークトラフィックを監視し、潜在的な脅威を特定し、ネットワークパフォーマンスを最適化するために使用されます。 |
ホストログタイプ
ログタイプ | __topic__ | 説明 | 収集サイクル |
aegis-log-login | サーバーへのユーザーログインのログ。ログイン時間、ログインユーザー、ログイン方法、ログイン IP アドレスなどが含まれます。 ログインログは、ユーザーアクティビティを監視し、異常な動作をできるだけ早く特定して対応するのに役立ちます。これにより、システムのセキュリティが確保されます。 説明 Security Center は、Windows Server 2008 を実行しているサーバーへのログインログは収集しません。 | ログはリアルタイムで収集されます。 | |
aegis-log-network | ネットワーク接続のログ。サーバーへの接続の 5 タプル、接続時間、接続ステータスなどが含まれます。 ネットワーク接続ログは、疑わしい接続を検出し、潜在的なネットワーク攻撃を特定し、ネットワークパフォーマンスを最適化するのに役立ちます。 説明
| ログはリアルタイムで収集されます。 | |
aegis-log-process | サーバープロセスの起動のログ。起動時間、起動コマンド、パラメーターなどが含まれます。 プロセス起動ログに基づいて、サーバープロセスの起動ステータスと構成を取得し、異常なプロセス、マルウェアの侵入、脅威などの問題を特定できます。 | ログはリアルタイムで収集されます。プロセスが起動すると、ログはすぐに収集されます。 | |
aegis-log-crack | ブルートフォース攻撃のログ。ログイン試行、システム、アプリケーション、またはアカウントのクラック試行に関する情報が含まれます。 ブルートフォース攻撃ログに基づいて、システムまたはアプリケーションに対するブルートフォース攻撃に関する情報を取得し、異常なログイン試行、弱いパスワード、資格情報の漏洩を特定できます。また、ブルートフォース攻撃ログを使用して、悪意のあるユーザーを追跡し、セキュリティチームのインシデント対応と調査を支援するための証拠を収集することもできます。 | ログはリアルタイムで収集されます。 | |
aegis-snapshot-host | システムまたはアプリケーション内のアカウントのログ。アカウントの基本情報が含まれます。基本情報には、アカウントのユーザー名、パスワードポリシー、ログイン履歴が含まれます。 異なる時点のアカウントスナップショットログを比較することにより、アカウントの変更を取得し、潜在的なリスクをできるだけ早く特定できます。リスクには、承認されていないアカウントからのアクセスや異常なアカウントステータスが含まれます。 |
| |
aegis-snapshot-port | ネットワーク接続のログ。接続の 5 タプル、接続ステータス、関連付けられたプロセスなどが含まれます。 ネットワークスナップショットログに基づいて、システム内のネットワークソケットに関する情報を取得し、異常な接続と潜在的なネットワーク攻撃を特定し、ネットワークパフォーマンスを最適化できます。 | ||
aegis-snapshot-process | システム内のプロセスのログ。プロセス ID、プロセス名、プロセス開始時刻などが含まれます。 プロセススナップショットログに基づいて、システム内のプロセスとプロセスのリソース使用量に関する情報を取得し、異常なプロセス、過剰な CPU 使用率、メモリリークなどの問題を特定できます。 | ||
aegis-log-dns-query | サーバーから送信された DNS リクエストのログ。リクエストされたドメイン名、クエリタイプ、クエリソースなどが含まれます。 ネットワーク内の DNS クエリに関する情報を取得し、DNS リクエストログに基づいて、異常なクエリ、ドメインハイジャック、DNS ポイズニングなどの問題を特定できます。 | ログはリアルタイムで収集されます。 | |
aegis-log-client | Security Center エージェントのオンラインイベントとオフラインイベントのログ。 | ログはリアルタイムで収集されます。 |
セキュリティログタイプ
ログタイプ | __topic__ | 説明 | 収集サイクル |
sas-vul-log | システムまたはアプリケーションで検出された脆弱性のログ。脆弱性名、脆弱性ステータス、処理アクションなどが含まれます。 脆弱性ログに基づいて、システム内の脆弱性、セキュリティリスク、攻撃トレンドに関する情報を取得し、適切な対策をできるだけ早く講じることができます。 | ログはリアルタイムで収集されます。 | |
sas-hc-log | ベースラインチェック結果のログ。ベースラインの重大度、ベースラインタイプ、リスクレベルなどが含まれます。 ベースラインログに基づいて、システム内のベースラインセキュリティステータスと潜在的なリスクを取得できます。 説明 ログには、最初にチェックに失敗したチェック項目のデータと、以前のチェックに合格しなかったチェック項目のデータのみが含まれます。チェック項目がチェックに合格すると、ログは生成されません。 | ||
sas-セキュリティログ | システムおよびアプリケーションで生成されたセキュリティ イベントとアラートのログ。アラートのデータソース、アラートの詳細、およびアラート レベルが含まれます。 アラートログに基づいて、システムのセキュリティ イベントと脅威を取得し、できるだけ早く適切な対策を講じることができます。 | ||
sas-cspm-ログ | CSPM に関連するログ。CSPM のチェック結果や、リスク項目をホワイトリストに追加する操作などが含まれます。 CSPM ログに基づいて、クラウドサービスの構成におけるエラーや潜在的なリスクに関する情報を取得できます。 | ||
sas-net-block | 攻撃の種類、送信元 IP アドレス、宛先 IP アドレスなどの主要情報を含むネットワーク攻撃イベントのログ。 ネットワーク防御ログに基づいて、ネットワークセキュリティイベントを取得し、適切な対応策と防御策を実施して、ネットワークセキュリティと信頼性を向上させることができます。 | ||
sas-rasp-ログ | 攻撃の種類、攻撃パターン、攻撃者の IP アドレスなどの重要な情報を含む、アプリケーションへの攻撃のログ。 アプリケーションで発生するセキュリティイベントに関する情報を取得し、アプリケーション保護ログに基づいて適切な対応策と防御策を実施することで、アプリケーションのセキュリティと信頼性を向上させることができます。 | ||
sas-filedetect-ログ | 悪意のあるファイル検出のログ。ファイル情報、検出シナリオ、検出結果が含まれます。 オフラインファイルおよび Object Storage Service (OSS) オブジェクト内のランサムウェアやマイニングプログラムなどの一般的なウイルスを特定し、ログに基づいて悪意のあるファイルの拡散と実行を阻止するために、ウイルスにできるだけ早く対処できます。 |
課金
専用ログストアで機能別課金モードを使用する場合、専用ログストアの読み取りおよび書き込みトラフィック、インデックストラフィック、ストレージ、シャード数、または読み取りおよび書き込み操作数に対して課金されません。インターネットトラフィック、データ変換、およびデータシッピングに対して課金されます。料金は Simple Log Service の請求書に含まれています。詳細については、「機能別課金の課金対象項目」をご参照ください。
専用ログストアで従量制課金モードを使用する場合、専用ログストアの読み取りおよび書き込みトラフィック、インデックストラフィック、ストレージ、シャード数、読み取りおよび書き込み操作数、データ変換、またはデータシッピングに対して課金されません。インターネット経由の読み取りトラフィックに対してのみ課金されます。料金は Simple Log Service の請求書に含まれています。詳細については、「従量制課金の課金対象項目」をご参照ください。
ログ分析機能で発生する料金は、セキュリティセンターの請求書に含まれています。詳細については、「課金概要」をご参照ください。
参照
セキュリティセンターのログ分析機能を有効にする方法の詳細については、「ログ分析機能を有効にする」をご参照ください。
セキュリティセンターログのフィールドの詳細については、「ログフィールド」をご参照ください。