Asset Center は、Alibaba Cloud アカウント (root ユーザー) に関連付けられているすべてのドメイン名資産 (忘れられたサブドメインや Alibaba Cloud 以外のドメインを含む) を検出し、攻撃ステータスと脅威インテリジェンスに基づいて各ドメインのリスクレベルを評価します。これにより、保護されていない高リスクのドメインを特定し、攻撃者のエントリポイントになる前に WAF に追加できます。
前提条件
開始する前に、以下を確認してください。
Web Application Firewall (WAF) 3.0 インスタンス
Alibaba Cloud アカウント (RAM ユーザーは資産リストをダウンロードできません)
仕組み
Asset Center は、Domains、SSL Certificates Service、Alibaba Cloud DNS などの Alibaba Cloud サービスから構成情報を取得し、ビッグデータによる相関分析を使用して、Alibaba Cloud 上および Alibaba Cloud 以外の両方のドメイン名を識別します。
検出された各ドメインについて、Asset Center は脅威インテリジェンスと Alibaba Cloud のデフォルトの攻撃検出機能を使用してセキュリティスコアを計算し、高リスク、中リスク、低リスクのいずれかのリスクレベルを割り当てます。WAF に追加された資産の場合、資産の指紋はパッシブトラフィック分析とアクティブな指紋スキャンによって識別されます。アクティブなスキャンは 2 週間ごとに実行され、デフォルトで有効になっています。
Asset Center は、Alibaba Cloud およびサードパーティプロバイダーからのドメイン名を検出します。これには、Alibaba Cloud 以外のサーバーに解決されるドメインや、オンプレミスデータセンターで使用されているドメインも含まれます。
ステップ 1: Asset Center の有効化
WAF 3.0 コンソールにログインします。上部のメニューバーから、ご利用の WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[アセットセンター] をクリックします。
[資産センター] ページで、[今すぐ有効化] をクリックします。
これらの権限を付与する必要があるのは 1 回だけです。すでに付与している場合は、この手順をスキップしてください。
Asset Center を初めて有効にすると、AliyunServiceRoleForWAF サービスリンクロールが自動的に作成されます。このロールは、ご利用の WAF インスタンスに、関連付けられた Alibaba Cloud サービス (ECS、SLB、Alibaba Cloud DNS、Alibaba Cloud CDN、デジタル証明書管理サービス、SLS) へのアクセスを許可します。ロールを表示するには、Resource Access Management (RAM) コンソールに移動します。詳細については、「RAM ロールの表示」をご参照ください。
ロールが作成されると、WAF は自動的にアカウント内のドメイン名のアセットをスキャンし、[アセットセンター] ページに表示します。
ステップ 2: 資産の追加
監視したいプライマリドメイン名が資産リストに表示されない場合は、手動で追加します。
「アセットセンター」ページの概要タブで、[アセットの追加]をクリックします。
[アセットの追加] ダイアログボックスで、ドメイン名を入力し、以下のいずれかの方法で所有権を検証します。
DNS レコード検証 (推奨): WAF が提供する TXT レコードを DNS プロバイダーに追加します。
ファイル検証: WAF が提供する検証ファイルをオリジンサーバーのルートディレクトリにアップロードします。これには、オリジンサーバーに対する操作権限と、WAF がインターネットからファイルを検証できるようにすべての IP アドレスからのアクセスを許可するセキュリティグループポリシーが必要です。
[追加] をクリックします。
手動で追加された資産は、翌日 (T+1) に Asset Center に表示されます。
ステップ 3: 資産の表示
[アセットセンター] ページでは、[概要] タブに検出されたすべてのドメイン名アセットが表示されます。
エリア 1 — ドメイン名資産の概要
プライマリドメイン名の総数、サブドメインの総数とその前日比の変化、およびリスクレベル (高リスク、中リスク、低リスク) 別の保護されていないサブドメインの数が表示されます。
エリア 2 — ドメイン名資産の詳細
WAF は、検出されたドメインをプライマリドメイン名でグループ化します。各プライマリドメインについて、リストには以下が表示されます。
| 列 | 説明 |
|---|---|
| セカンドレベルドメイン名 | ウェブサイトにバインドされているプライマリドメイン名 |
| IP アドレス | ウェブサイトサーバーの IP アドレスまたは CNAME ドメイン名 |
| 保護されているサブドメイン | WAF によって保護されているサブドメインの数 |
| 保護されていないサブドメイン | リスクレベル別に分類されている、保護されていないサブドメインの数 |
プライマリドメインの下にあるサブドメインを調べるには、
アイコンをクリックして行を展開します。構成ステータスとリスクレベルでフィルターできます。各サブドメインには以下が表示されます。
| 列 | 説明 |
|---|---|
| サブドメイン | ウェブサイトにバインドされているサブドメイン |
| IP アドレス | ウェブサイトサーバーの IP アドレスまたは CNAME ドメイン名 |
| 指紋 | パッシブトラフィック分析とアクティブな指紋スキャンによって識別されるウェブサイトサーバーの指紋。資産リストの右上隅にあるトグルを使用して、アクティブな指紋スキャンを有効または無効にできます。 |
| 重大度 | 過去 30 日間の攻撃トレンドと脅威インテリジェンスデータに基づくリスクレベル |
| ステータス | ドメインが WAF によって保護されているかどうか: 未追加 または 追加済み |
WAF に保護されていないドメインを追加するには、[追加] を [アクション] 列でクリックします。詳細については、「WAF へのドメイン名の追加(CNAME レコード使用)」をご参照ください。
特定のプライマリドメインを検索するには、資産リストの上にある検索ボックスにキーワードを入力します。ファジー検索がサポートされています。
[詳細] オプションは、[操作] 列にあり、サブドメインの脅威情報を表示しますが、これは WAF Enterprise および Ultimate エディションのインスタンスでのみ利用可能です。
ステップ 4: 資産のエクスポート
[概要] タブで、エクスポートするプライマリドメイン名を選択し、右上隅にある
ダウンロードアイコンをクリックしてエクスポートファイルを生成します。「アセットセンター」の[エクスポート記録]タブに移動し、[ダウンロード]をクリックしてファイルを保存します。
エクスポートされたファイルは Alibaba Cloud に一時的に保存され、3 日後に自動的に削除されます。この期間内にダウンロードしてください。
Alibaba Cloud アカウントのオーナーのみが資産リストをダウンロードできます。RAM ユーザーはこの操作を実行できません。