同じまたは別のAlibaba cloudアカウント、またはサードパーティクラウドアカウントに属するクラウドサービスのログを追加する - Security Center

脅威分析と対応機能を有効にすると、クラウドサービスのログを機能に追加して、リソース全体のアラートとログを集中的に監視および分析できます。クラウドサービスは、Security Centerと同じAlibaba cloudアカウント、Security Centerとは異なるAlibaba Cloudアカウント、またはサードパーティのクラウドアカウントに属することができます。ログを追加すると、脅威分析および応答機能は、追加されたログを監視および分析し、攻撃を識別し、完全な攻撃チェーンを構築し、セキュリティイベントを生成します。これにより、アラートの分析と処理の効率が向上します。

前提条件

脅威の分析と対応機能が有効になっています。詳細については、「脅威の分析と対応の購入と有効化」をご参照ください。
Simple Log Serviceは、脅威分析および対応機能にログを追加するSecurity Center以外のクラウドサービスに対して有効化されます。詳細については、ドキュメントセンターをご参照ください。
説明
Security Centerのログを追加する場合、ログ分析機能を別途購入する必要はありません。

Alibaba Cloudサービスのログの追加

現在のAlibaba cloudアカウントに属するクラウドサービスのログを追加する場合は、必要なクラウドサービスとログタイプを見つけて、プロダクトアクセス ページでログを追加するだけです。
異なるAlibaba cloudアカウントに属するクラウドサービスのログを追加するようにログ収集ポリシーを設定する場合は、マルチアカウント管理設定を設定し、指定したグローバル管理者アカウントを使用してSecurity Centerコンソールにログインする必要があります。次に、プロダクトアクセス ページに移動し、グローバルアカウントビュー を選択します。次に、次の操作を実行してログを追加します。詳細については、「マルチアカウント管理機能の使用」をご参照ください。

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
[サービス統合] ページで、必要なクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の番号をクリックします。
複数のログタイプを選択し、下部のボタンをクリックして、一度にこれらのタイプのログを追加する複数のアカウントを選択することもできます。
[アクセス設定] パネルで、必要なログタイプを見つけ、[アカウントのインポート] 列の [選択] をクリックします。
説明
現在のログインアカウントが個人の実名認証のみに合格した場合、現在のログインアカウントのみが アカウントの選択 パネルに表示されます。現在のログオンアカウントがグローバル管理者アカウントであり、グローバルアカウントビューが選択されている場合にのみ、脅威分析および対応機能によって管理されるアカウントを選択できます。
- Security Centerなどのクラウドサービスが専用のLogstoreのみをサポートしている場合、現在のログオンアカウントのみを選択する必要があります。 Logstoreを選択する必要はありません。現在のログオンアカウントを選択すると、クラウドサービスのログが専用のログストアに自動的に保存されます。
- クラウドサービスがカスタムログストアもサポートしている場合、LogStore (形式：regionId.project.logStore) 列のドロップダウンリストから現在のログオンアカウントと必要なログストアを選択する必要があります。または、使用するカスタムLogstoreの名前をコピーして貼り付けることもできます。 Logstoreの名前はregionId.project.logStore形式です。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
新規アカウントへの自動アクセスログタイプのスイッチをオンにし、新しいAlibaba Cloudアカウントが脅威分析および対応機能に追加された場合、この機能は新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明
グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。

サードパーティのクラウドサービスのログの追加

ビジネスがAlibaba Cloudとサードパーティのクラウドサービスにデプロイされており、クラウド環境全体でアラートを管理する場合は、サードパーティのクラウドアカウントを脅威分析および対応機能に追加して、集中的なアラートモニタリングと運用管理を実装できます。サードパーティのクラウドサービスのサポートプロバイダーは、Huawei cloudとTencent Cloudです。

1. サードパーティのクラウドアカウントの設定

Huawei Cloudサブアカウントの設定

siemBasePolicyとsiemNormalPolicyという名前の2つのカスタムポリシーを作成します。詳細については、次をご参照ください：カスタムポリシーを作成

説明

Huawei Cloudでカスタムポリシーを作成する場合、グローバルレベルとプロジェクトレベルのクラウドサービスを同時に選択することはできません。この場合、最小権限の原則に準拠する2つのポリシーを作成する必要があります。

siemBasePolicy: グローバルレベルのクラウドサービスに対する権限。次のコードは、ポリシーの内容を示しています。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy: プロジェクトレベルのクラウドサービスに対する権限。次のコードは、ポリシーの内容を示しています。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

siemUserおよびreadonlyuserという名前のユーザーグループを作成し、ユーザーグループに必要な権限を付与します。次の表に、必要な権限を示します。詳細については、次をご参照ください：ユーザーグループを作成し、権限を割り当てます。

ユーザーグループ	必要な権限
siemUser	カスタムポリシー: siemBasePolicyおよびsiemNormalPolicy。
readonlyuser	LTS ReadOnlyAccess: Log Tank Service (LTS) の読み取り専用権限。 OBS OperateAccess: Object Storage Service (OSS) で基本操作を実行するための権限。バケットリストの表示、バケットメタデータの取得、バケット内のオブジェクトの一覧表示、バケットの場所の照会、オブジェクトのアップロード、オブジェクトの取得、オブジェクトの削除、オブジェクトのACL設定の取得などの操作が含まれます。 OBS ReadOnlyAccess: OSSの読み取り専用権限。バケットリストの表示、バケットメタデータの取得、バケット内のオブジェクトの一覧表示、バケットの場所の照会などの操作がサポートされています。 CFW ReadOnlyAccess: Cloud Firewallの読み取り専用権限。 WAF ReadOnlyAccess: Web Application Firewall (WAF) の読み取り専用権限。

Identity and Access Management (IAM) ユーザーを作成し、IAMユーザーをsiemUserユーザーグループに関連付けます。詳細については、次をご参照ください： IAMユーザーを作成します。
IAMユーザーのAccessKeyペアを作成します。詳細については、次をご参照ください： IAMユーザーのAccessKeyペアの管理。

Tencent Cloudサブアカウントの設定

ポリシー構文に基づいてsiemPolicyという名前のカスタムポリシーを作成します。

次のコードは、ポリシーの内容を示しています。

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

サブアカウントの作成詳細については、次をご参照ください：サブアカウントを作成します。
作成したサブアカウントにsiemPolicyポリシーをアタッチします。詳細については、次をご参照ください：権限付与の管理
サブアカウントのAccessKeyペアを作成します。詳細については、次をご参照ください： AccessKeyペア
Tencent Cloud Firewallのアラートログを追加するには、eventLogタイプのログのログシッピングスイッチをオンにします。詳細については、「ログ配布」をご参照ください。
Tencent Cloud FirewallのeventLogタイプのログのみを脅威分析および対応機能に追加できます。ログを追加する前に、ログを特定のCKafkaトピックに送信する必要があります。

2. サードパーティのクラウドアカウントを脅威の分析と対応に追加する

サブアカウントのAccessKeyペアを入力して、サードパーティのクラウドアカウントを脅威分析および対応機能に追加する必要があります。このようにして、機能はサードパーティのクラウドアセットのアラートログを取得できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
サブアカウントに権限を付与します。
Security Centerは、サードパーティのクラウドアセットの読み取り権限を取得し、サブアカウントのAccessKeyペアを使用してサードパーティのクラウドアセットに関する情報を同期します。
1. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定を選択します。
2. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、ドロップダウンリストから必要なサードパーティのクラウドサービスプロバイダーを選択します。 Tencent CloudとHuawei Cloudがサポートされています。
3. マルチクラウド設定の編集 パネルで、手動設定プラン を選択し、権限について セクションの ${aegis.vendor.mo dule._display_name_SIEM} を選択し、次へをクリックします。
4. AK の送信 ステップで、サブアカウントのAccessKeyペアを入力し、次へをクリックします。
5. ポリシーの設定 ステップで、AK サービスのステータスチェック パラメーターを設定し、OK をクリックします。

脅威の分析と対応機能にサブアカウントを追加します。

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセスを選択します。
[マルチクラウドサービスアクセス] セクションで、必要なサードパーティのクラウドサービスプロバイダーのアイコンの上にポインターを移動し、アカウントの関連付け をクリックします。
アカウントの関連付け パネルで、新規追加 をクリックします。
[アカウントの関連付けの設定] パネルで、サブアカウントのマスターアカウントの名前とIDを入力し、サブアカウントのAccessKey IDを選択して、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。

[データソース設定] パネルで、ログを追加するクラウドサービスを指定します。

クラウドサービスはデータソースに対応し、データソースのアクセス方法はクラウドサービスのログタイプに対応する。ログタイプに基づいて、データソースのアクセス方法を選択する必要があります。ログの種類とアクセス方法のマッピング関係を次の表に示します。

クラウドサービスプロバイダ	ログタイプ	アクセス方法
Huawei Cloud	Cloud Firewallのアラートログ WAFのアラートログ	obs
Tencentクラウド	Cloud Firewallのアラートログ	カフカ
Tencentクラウド	WAFのアラートログ	wafApi

3. サードパーティのクラウドアカウント内にクラウドサービスのログを追加する

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセスを選択します。
[サービス統合] ページで、ログを追加するサードパーティのクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の値をクリックします。
表示されるパネルで、必要なアカウントを選択し、OK をクリックします。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
ログタイプのスイッチをオンにして、新しいサードパーティのクラウドアカウントが脅威分析および対応機能に追加された場合、この機能は、新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明
グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。

Security Center:クラウドサービスのログを追加する