同じまたは別のAlibaba cloudアカウント、またはサードパーティクラウドアカウントに属するクラウドサービスのログを追加する - Security Center

クラウド脅威検出と応答 (CTDR) 機能を有効にすると、クラウドサービスのログを機能に追加して、集中的にリソース全体のアラートとログを監視および分析できます。クラウドサービスは、Security Centerと同じAlibaba cloudアカウント、Security Centerとは異なるAlibaba Cloudアカウント、またはサードパーティのクラウドアカウントに属することができます。ログを追加すると、CTDR機能は追加されたログを監視および分析し、攻撃を識別し、完全な攻撃チェーンを構築し、セキュリティイベントを生成します。これにより、アラートの分析と処理の効率が向上します。

前提条件

CTDR機能が有効になっています。詳細については、「脅威の分析と対応の購入と有効化」をご参照ください。
Simple Log Serviceは、CTDR機能にログを追加するSecurity Center以外のクラウドサービスに対して有効化されます。詳細については、ドキュメントセンター
説明
Security Centerのログを追加する場合、ログ分析機能を別途購入する必要はありません。

Alibaba Cloudサービスのログの追加

現在のAlibaba cloudアカウントに属するクラウドサービスのログを追加する場合は、必要なクラウドサービスとログタイプを見つけて、プロダクトアクセス ページでログを追加するだけです。
異なるAlibaba cloudアカウントに属するクラウドサービスのログを追加するようにログ収集ポリシーを設定する場合は、マルチアカウント管理設定を設定し、指定したグローバル管理者アカウントを使用してSecurity Centerコンソールにログインする必要があります。次に、プロダクトアクセス ページに移動し、グローバルアカウントビュー を選択します。次に、次の操作を実行してログを追加します。詳細については、「マルチアカウント管理機能の使用」をご参照ください。

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
[サービス統合] ページで、必要なクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の番号をクリックします。
複数のログタイプを選択し、下部のボタンをクリックして、一度にこれらのタイプのログを追加する複数のアカウントを選択することもできます。
[アクセス設定] パネルで、必要なログタイプを見つけ、[アカウントのインポート] 列の [選択] をクリックします。
説明
現在のログインアカウントが個人の実名認証のみに合格した場合、現在のログインアカウントのみが アカウントの選択 パネルに表示されます。現在のログオンアカウントがグローバル管理者アカウントであり、グローバルアカウントビューが選択されている場合にのみ、CTDR機能によって管理されるアカウントを選択できます。
- Security Centerなどのクラウドサービスが専用のLogstoreのみをサポートしている場合、現在のログオンアカウントのみを選択する必要があります。 Logstoreを選択する必要はありません。現在のログオンアカウントを選択すると、クラウドサービスのログが専用のログストアに自動的に保存されます。
- クラウドサービスがカスタムログストアもサポートしている場合、LogStore (形式：regionId.project.logStore) 列のドロップダウンリストから現在のログオンアカウントと必要なログストアを選択する必要があります。または、使用するカスタムLogstoreの名前をコピーして貼り付けることもできます。 Logstoreの名前はregionId.project.logStore形式です。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
ログタイプのスイッチをオンにし、新しいAlibaba CloudアカウントがCTDR機能に追加された場合、この機能は新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明
グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。

サードパーティのクラウドサービスのログの追加

ビジネスがAlibaba Cloudとサードパーティのクラウドサービスにデプロイされており、クラウド環境全体でアラートを管理する場合は、サードパーティのクラウドアカウントをCTDR機能に追加して、集中的なアラートモニタリングと運用管理を実装できます。サードパーティのクラウドサービスのサポートプロバイダーは、Huawei cloudとTencent Cloudです。

1. サードパーティのクラウドアカウントの設定

Huawei Cloudサブアカウントの設定

siemBasePolicyとsiemNormalPolicyという名前の2つのカスタムポリシーを作成します。詳細については、次をご参照ください：カスタムポリシーを作成します。

説明

Huawei Cloudでカスタムポリシーを作成する場合、グローバルレベルとプロジェクトレベルのクラウドサービスを同時に選択することはできません。この場合、最小権限の原則に準拠する2つのポリシーを作成する必要があります。

siemBasePolicy: グローバルレベルのクラウドサービスに対する権限。次のコードは、ポリシーの内容を示しています。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy: プロジェクトレベルのクラウドサービスに対する権限。次のコードは、ポリシーの内容を示しています。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

siemUserおよびreadonlyuserという名前のユーザーグループを作成し、ユーザーグループに必要な権限を付与します。次の表に、必要な権限を示します。詳細については、次をご参照ください：ユーザーグループを作成し、権限を割り当てます。

ユーザーグループ	必要な権限
siemUser	カスタムポリシー: siemBasePolicyおよびsiemNormalPolicy。
readonlyuser	LTS ReadOnlyAccess: Log Tank Service (LTS) の読み取り専用権限。 OBS OperateAccess: Huawei CloudのObject Storage Service (OBS) で基本操作を実行するための権限。バケットリストの表示、バケットメタデータの取得、バケット内のオブジェクトの一覧表示、バケットの場所の照会、オブジェクトのアップロード、オブジェクトの取得、オブジェクトの削除、オブジェクトのACL設定の取得などの操作が含まれます。 OBS ReadOnlyAccess: OBSの読み取り専用権限。バケットリストの表示、バケットメタデータの取得、バケット内のオブジェクトの一覧表示、バケットの場所の照会などの操作がサポートされています。 CFW ReadOnlyAccess: Cloud Firewallの読み取り専用権限。 WAF ReadOnlyAccess: Web Application Firewall (WAF) の読み取り専用権限。

Identity and Access Management (IAM) ユーザーを作成し、IAMユーザーをsiemUserユーザーグループに関連付けます。詳細については、次をご参照ください： IAMユーザーを作成します。
IAMユーザーのAccessKeyペアを作成します。詳細については、次をご参照ください： IAMユーザーのAccessKeyペアの管理。

Tencent Cloudサブアカウントの設定

ポリシー構文に基づいてsiemPolicyという名前のカスタムポリシーを作成します。

次のコードは、ポリシーの内容を示しています。

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

サブアカウントの作成詳細については、次をご参照ください：サブアカウントを作成します。
作成したサブアカウントにsiemPolicyポリシーをアタッチします。詳細については、次をご参照ください：権限付与の管理
サブアカウントのAccessKeyペアを作成します。詳細については、次をご参照ください： AccessKeyペア

2. 必要なログを特定のクラウドサービスに転送する

CTDRを使用する前に、クラウドサービスのログをストレージまたはOBSやTDMQ for CKafka (CKafka) などのメッセージングクラウドサービスに転送する必要があります。これにより、CTDRはクラウドサービスからログを直接読み取り、分析できます。ログタイプに基づいて、ログをクラウドサービスに転送する必要があります。次の表に、ログの転送方法を示します。

クラウドサービスプロバイダ	クラウドサービスログ	転送先サービス	転送設定	ログ収集遅延の説明
Huawei Cloud	Cloud Firewallのアラートログ WAFのアラートログ	obs	LTSに保存されたログをOBSに転送します。詳細については、「OBSへのログ転送」をご参照ください。次のリストに、主要なパラメーターを示します。カスタムログ転送パス: このパラメーターを有効に設定し、カスタムパスの最後の時間変数を分を示す % Mに設定します。例: `/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001 // % Y/% m/% d/% H/% M` ログ転送間隔: このパラメーターを2分に設定します。重要上記の情報に基づいてパラメーターを設定する必要があります。 CTDRは、ファイルディレクトリに基づいてOBSからデータを収集します。設定した収集頻度がディレクトリ構造に適合しない場合、システムは同じデータを繰り返しプルする可能性があります。 CTDRは、暗号化されたバケットに格納されたデータを収集できません。暗号化されたバケットにログを転送しないでください。	OBSから収集されたデータはオフラインデータであり、データ収集の遅延につながります。システムの現在のメカニズムでは、データ収集は、現在のシステム時間と比較して3つの指定された収集間隔だけ遅延される。たとえば、収集間隔として2分を指定し、2024年9月10日の17:58に収集タスクが開始された場合、システムはディレクトリ /2024/09/10/17/52からデータを取得します。ディレクトリ内のデータは6分前のもので、これは3回の収集間隔に相当します。このメカニズムにより、データの整合性が確保されます。 3回の収集間隔を待つ必要があります。これは、特に大量のデータが処理されるシナリオで、進行中のデータ書き込み操作による不完全なデータまたはデータ損失を防ぐのに役立ちます。
Tencentクラウド	クラウドファイアウォールのアラートログ (侵入防止のログのみサポートされています)	カフカ	ログを特定のCKafkaトピックに転送します。詳細については、「ログ配布」をご参照ください。	データはリアルタイムで収集されます。収集遅延は生じない。
Tencentクラウド	WAFのアラートログ	なし	CTDRはWAF API操作を呼び出して、10分ごとにログを収集します。手動でログを転送する必要はありません。	データ収集の遅延は10分以上です。

3. サードパーティのクラウドアカウントをCTDRに追加する

サブアカウントのAccessKeyペアを入力して、サードパーティのクラウドアカウントをCTDR機能に追加する必要があります。このようにして、機能はサードパーティのクラウドアセットのアラートログを取得できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
サブアカウントに権限を付与します。
Security Centerは、サードパーティのクラウドアセットの読み取り権限を取得し、サブアカウントのAccessKeyペアを使用してサードパーティのクラウドアセットに関する情報を同期します。
1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
2. [マルチクラウドサービスアクセス] セクションで、必要なサードパーティのクラウドサービスプロバイダーのアイコンの上にポインターを移動し、Grant Permission をクリックします。
3. マルチクラウド設定の編集 パネルで、手動設定プラン を選択し、権限について セクションで [脅威の分析] を選択し、次へをクリックします。
4. AK の送信 ステップで、サブアカウントのAccessKeyペアを入力し、次へをクリックします。
5. ポリシーの設定 ステップで、AK サービスのステータスチェック パラメーターを設定し、OK をクリックします。
サブアカウントをCTDR機能に追加します。
1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
2. [マルチクラウドサービスアクセス] セクションで、必要なサードパーティのクラウドサービスプロバイダーのアイコンの上にポインターを移動し、アカウントの関連付け をクリックします。
3. アカウントの関連付け パネルで、新規追加 をクリックします。
4. [アカウントの関連付けの設定] パネルで、サブアカウントのマスターアカウントの名前とIDを入力し、サブアカウントのAccessKey IDを選択して、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。
5. [データソース設定] パネルで、ログを追加するクラウドサービスを指定します。
  - Huawei Cloud: データソースは1つのOBSバケットからのみデータを保存できます。複数のバケットからデータをインポートする場合は、必要な数のデータソースを作成します。それ以外の場合は、データソースを1つだけ作成する必要があります。
    1. [データソース設定-Huawei Cloud] パネルで、[アクセス方法] 、[データソース名] 、[リージョン] 、および [バケット名] パラメーターを設定します。次に、[データソースの保存] をクリックします。
    2. [ログタイプの追加] をクリックし、[ログタイプ] 列で追加するログタイプを選択し、[OBSファイルパス] フィールドに必要なOBSバケットへのパスを入力し、[ログタイプの保存] をクリックします。
      OBS File pathパラメーターのカスタムパスの最後の時間変数を % Mに設定します。これは分を示します。例: /LogTanks/cn-north-4/CFW/lts-topic-cfw-0001 // % Y/% m/% d/% H/% M
      ログタイプの設定を保存します。 Cloud FirewallとWAFの必要なログがOBSバケットに転送された場合は、再度 [ログタイプの追加] をクリックして別のログタイプを追加する必要があります。
  - Tencent Cloud: Cloud FirewallとWAFからのアラートログの収集方法は異なります。両方のタイプのログを追加する場合は、ログタイプごとにデータソースを個別に作成する必要があります。このトピックでは、Cloud Firewallのアラートログを使用します。 WAFのアラートログを追加する場合は、プロンプトに従って設定を完了します。
    1. [データソース設定-Tencent Cloud] パネルで、[アクセス方法] 、[データソース名] 、[インターネットURL] 、[ユーザー名] 、[パスワード] パラメーターを設定します。次に、[データソースの保存] をクリックします。
    2. [ログタイプの追加] をクリックし、[ログトピック] および [コンシューマーグループ名] パラメーターを設定し、[ログタイプ] 列でログタイプを選択し、[ログタイプの保存] をクリックします。

4. サードパーティのクラウドアカウント内にクラウドサービスのログを追加する

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
[サービス統合] ページで、ログを追加するサードパーティのクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
表示されるパネルで、必要なログタイプを見つけ、アクセス済みアカウント 列の値をクリックします。
表示されるパネルで、必要なアカウントを選択し、OK をクリックします。
ビジネス要件に基づいて、新規アカウントへの自動アクセス 列のスイッチをオンまたはオフにします。
ログタイプのスイッチをオンにし、新しいサードパーティのクラウドアカウントがCTDR機能に追加された場合、この機能は新しいアカウント内のクラウドサービスのログタイプのログを自動的に収集します。
説明
グローバルアカウントビューが選択された後は、グローバル管理者アカウントのみがスイッチをオンにできます。

Security Center:クラウドサービスのログを追加する