脅威分析と対応機能を有効にすると、クラウドサービスのログを機能に追加して、リソース全体のアラートとログを集中的に監視および分析できます。 クラウドサービスは、Security Centerと同じAlibaba cloudアカウント、Security Centerとは異なるAlibaba Cloudアカウント、またはサードパーティのクラウドアカウントに属することができます。 ログを追加すると、脅威分析および応答機能は、追加されたログを監視および分析し、攻撃を識別し、完全な攻撃チェーンを構築し、セキュリティイベントを生成します。 これにより、アラートの分析と処理の効率が向上します。
前提条件
脅威の分析と対応機能が有効になっています。 詳細については、「脅威の分析と対応の購入と有効化」をご参照ください。
Simple Log Serviceは、脅威分析および対応機能にログを追加するSecurity Center以外のクラウドサービスに対して有効化されます。 詳細については、 ドキュメントセンター をご参照ください。
説明Security Centerのログを追加する場合、ログ分析機能を別途購入する必要はありません。
Alibaba Cloudサービスのログの追加
現在のAlibaba cloudアカウントに属するクラウドサービスのログを追加する場合は、必要なクラウドサービスとログタイプを見つけて、プロダクトアクセス ページでログを追加するだけです。
異なるAlibaba cloudアカウントに属するクラウドサービスのログを追加するようにログ収集ポリシーを設定する場合は、マルチアカウント管理設定を設定し、指定したグローバル管理者アカウントを使用してSecurity Centerコンソールにログインする必要があります。 次に、プロダクトアクセス ページに移動し、グローバルアカウントビュー を選択します。 次に、次の操作を実行してログを追加します。 詳細については、「マルチアカウント管理機能の使用」をご参照ください。
左側のナビゲーションウィンドウで、 .
[サービス統合] ページで、必要なクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の番号をクリックします。
複数のログタイプを選択し、下部のボタンをクリックして、一度にこれらのタイプのログを追加する複数のアカウントを選択することもできます。
[アクセス設定] パネルで、必要なログタイプを見つけ、[アカウントのインポート] 列の [選択] をクリックします。
説明現在のログインアカウントが個人の実名認証のみに合格した場合、現在のログインアカウントのみが アカウントの選択 パネルに表示されます。 現在のログオンアカウントがグローバル管理者アカウントであり、グローバルアカウントビューが選択されている場合にのみ、脅威分析および対応機能によって管理されるアカウントを選択できます。
Security Centerなどのクラウドサービスが専用のLogstoreのみをサポートしている場合、現在のログオンアカウントのみを選択する必要があります。 Logstoreを選択する必要はありません。 現在のログオンアカウントを選択すると、クラウドサービスのログが専用のログストアに自動的に保存されます。
クラウドサービスがカスタムログストアもサポートしている場合、LogStore (形式:regionId.project.logStore) 列のドロップダウンリストから現在のログオンアカウントと必要なログストアを選択する必要があります。 または、使用するカスタムLogstoreの名前をコピーして貼り付けることもできます。 Logstoreの名前は
regionId.project.logStore
形式です。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
新規アカウントへの自動アクセスログタイプのスイッチをオンにし、新しいAlibaba Cloudアカウントが脅威分析および対応機能に追加された場合、この機能は新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。
サードパーティのクラウドサービスのログの追加
ビジネスがAlibaba Cloudとサードパーティのクラウドサービスにデプロイされており、クラウド環境全体でアラートを管理する場合は、サードパーティのクラウドアカウントを脅威分析および対応機能に追加して、集中的なアラートモニタリングと運用管理を実装できます。 サードパーティのクラウドサービスのサポートプロバイダーは、Huawei cloudとTencent Cloudです。
1. サードパーティのクラウドアカウントの設定
Huawei Cloudサブアカウントの設定
Tencent Cloudサブアカウントの設定
2. サードパーティのクラウドアカウントを脅威の分析と対応に追加する
サブアカウントのAccessKeyペアを入力して、サードパーティのクラウドアカウントを脅威分析および対応機能に追加する必要があります。 このようにして、機能はサードパーティのクラウドアセットのアラートログを取得できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
サブアカウントに権限を付与します。
Security Centerは、サードパーティのクラウドアセットの読み取り権限を取得し、サブアカウントのAccessKeyペアを使用してサードパーティのクラウドアセットに関する情報を同期します。
左側のナビゲーションウィンドウで、 を選択します。
タブで、権限の新規付与 をクリックし、ドロップダウンリストから必要なサードパーティのクラウドサービスプロバイダーを選択します。 Tencent CloudとHuawei Cloudがサポートされています。
マルチクラウド設定の編集 パネルで、手動設定プラン を選択し、権限について セクションの ${aegis.vendor.mo dule._display_name_SIEM} を選択し、次へ をクリックします。
AK の送信 ステップで、サブアカウントのAccessKeyペアを入力し、次へ をクリックします。
ポリシーの設定 ステップで、AK サービスのステータスチェック パラメーターを設定し、OK をクリックします。
脅威の分析と対応機能にサブアカウントを追加します。
左側のナビゲーションウィンドウで、 を選択します。
[マルチクラウドサービスアクセス] セクションで、必要なサードパーティのクラウドサービスプロバイダーのアイコンの上にポインターを移動し、アカウントの関連付け をクリックします。
アカウントの関連付け パネルで、新規追加 をクリックします。
[アカウントの関連付けの設定] パネルで、サブアカウントのマスターアカウントの名前とIDを入力し、サブアカウントのAccessKey IDを選択して、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。
[データソース設定] パネルで、ログを追加するクラウドサービスを指定します。
クラウドサービスはデータソースに対応し、データソースのアクセス方法はクラウドサービスのログタイプに対応する。 ログタイプに基づいて、データソースのアクセス方法を選択する必要があります。 ログの種類とアクセス方法のマッピング関係を次の表に示します。
クラウドサービスプロバイダ
ログタイプ
アクセス方法
Huawei Cloud
Cloud Firewallのアラートログ
WAFのアラートログ
obs
Tencentクラウド
Cloud Firewallのアラートログ
カフカ
WAFのアラートログ
wafApi
3. サードパーティのクラウドアカウント内にクラウドサービスのログを追加する
左側のナビゲーションウィンドウで、 を選択します。
[サービス統合] ページで、ログを追加するサードパーティのクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の値をクリックします。
表示されるパネルで、必要なアカウントを選択し、OK をクリックします。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
ログタイプのスイッチをオンにして、新しいサードパーティのクラウドアカウントが脅威分析および対応機能に追加された場合、この機能は、新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。
関連ドキュメント
クラウドサービスのログを脅威分析および対応機能に追加した後、複数の関連アラートを完全な攻撃チェーンを含むセキュリティイベントに集約するように検出ルールを設定できます。 これにより、アラートの数が減り、アラートの分析と処理の効率が向上します。 詳細については、「検出ルールの使用」をご参照ください。
脅威分析および対応機能によって提供されるダッシュボードのグラフを使用して、クラウドプラットフォーム、アカウント、およびクラウドサービス全体で、企業のセキュリティステータスを一元的に監視および管理できます。 セキュリティ操作のパフォーマンスを確認することもできます。 詳細いついては、「ダッシュボード」をご参照ください。
脅威分析と応答のログ管理機能を使用して、ログをすばやく照会し、ログに関する情報を表示できます。 これにより、マルチリソース環境でのログ管理を簡素化できます。 詳細については、「ログ管理」をご参照ください。
API操作を呼び出して、複数のクラウドサービスの追加タスクまたはログの追加タスクを同時に送信したり、脅威の分析および対応機能に追加されたクラウドアカウントを表示したりできます。 詳細は、「Log Management」をご参照ください。