すべてのプロダクト
Search
ドキュメントセンター

Security Center:ログを管理する

最終更新日:Sep 18, 2024

脅威分析および応答機能は、ログ管理機能を提供します。 この機能を使用すると、機能に追加されたクラウドサービスのログを保存して照会できます。 この機能は、アラートを正確に特定し、攻撃ソースを追跡して、潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化し、防御システム全体を強化するのに役立ちます。 この機能は、サイバーセキュリティ法およびマルチレベル保護スキーム (MLPS) 2.0標準に準拠しています。 このトピックでは、ログ管理機能の使用方法について説明します。

機能の仕組み

脅威の分析および対応機能とSimple Log Serviceは共同でログ管理機能を開始し、さまざまなクラウドプラットフォーム、アカウント、およびクラウドサービスのログに集中的なログストレージおよび分析機能を提供しました。

脅威分析および応答機能用のログストレージ容量を購入すると、この機能は自動的にaliyun-cloudsiem-data- Alibaba CloudアカウントID-リージョンIDという名前のプロジェクトとcloud_siemという名前の専用ログストアをSimple log Serviceコンソールに作成し、この機能によって収集されたすべてのログを保存します。 脅威分析および対応機能のログストレージ領域は、Security centerコンソールの上部のナビゲーションバーで選択したデータ管理センターによって異なります。

  • 中国 を選択した場合、ログは中国 (上海) リージョンに保存されます。

  • 全世界 (中国を除く) を選択した場合、ログはシンガポールリージョンに保存されます。

重要

Simple log Serviceコンソールにログインして、脅威の分析と対応機能専用のプロジェクトとLogstoreを表示できます。 プロジェクトまたはLogstoreを削除しないでください。

誤ってLogstoreを削除した場合、cloud_siem Logstoreが存在しないことを確認します。 Logstore内のすべてのログデータが失われます。 この場合、 ticket 操作を元に戻します。 操作を取り消した後、脅威分析および応答機能を再度有効にして、この機能を使用し続ける必要があります。 削除したログデータは復元できません。

特定のタイプのログのデータ配信を有効にすると、脅威分析および応答機能は自動的にログをcloud_siem Logstoreに配信します。 システムは、指定された保存期間が終了するまでログを保持します。 期間が終了すると、システムは自動的にログを削除します。 ログのストレージ容量が使い果たされた場合、新しいログはもはやストレージに配信されません。 ログのサイズが機能用に購入したログストレージ容量の80% を超えると、Security Centerから通知が送信されます。 通知設定の設定方法の詳細については、「通知設定の設定」をご参照ください。

課金

サブスクリプション課金方法がサポートされています。 購入したログストレージ容量とストレージ期間に基づいて課金されます。 Security Centerコンソールでログを照会およびエクスポートする場合、料金は発生しません。

ログが専用のログストアに配信された後、ログの変換や配布など、Simple Log Serviceコンソールで実行した操作に対して課金される場合があります。

  • Logstoreが機能課金モードを使用している場合、ログの変換または送信時に課金されます。 また、インターネット経由でストリームモードでログを読み取る場合、インターネット経由の読み取りトラフィックに対しても課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「機能課金の課金項目」をご参照ください。

  • Logstoreがデータの取り込みによる支払い課金モードを使用している場合、データの変換または送信時に課金されません。 インターネット経由の読み取りトラフィックに対してのみ課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「取り込みデータ量課金の課金項目」をご参照ください。

マルチアカウント管理

マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ログ管理 ページでログを管理する前に、適切なビューを選択する必要があります。 サポートされているビューを次に示します。

  • 現在のアカウントビュー: 現在のアカウント内のログを表示および管理できます。

  • グローバルアカウントビュー: 脅威分析および対応機能によって管理されているAlibaba Cloudアカウント内のデータを表示および管理できます。

重要
  • 現在のアカウントビュー および グローバルアカウントビュー でログ配信を有効にすると、グローバル管理者アカウントを使用して購入したログストレージ容量が使用され、配信されたログデータはグローバル管理者アカウント内に保存されます。

  • Alibaba Cloudアカウントがグローバル管理者アカウントで管理されており、アカウントを使用してログを管理する場合は、脅威分析および対応機能のログストレージ容量を別途購入し、アカウントを使用してログ配信を有効にする必要があります。 ログ配信を有効にするには、Security Centerコンソールの [脅威分析と応答] > [ログ管理] ページに移動します。

前提条件

  • Simple Log Serviceが有効化されています。 詳細については、「入門」をご参照ください。

  • クラウドサービスのログが脅威分析および対応機能に追加されます。 詳細については、「クラウドサービスのログの追加」をご参照ください。

手順1: ログ配信の有効化

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.

  3. プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。

  4. 表示されるパネルの [ログ配信管理] セクションで、保存用に配信するログの種類を見つけ、[ホットデータへのログの配信 /有効および無効] 列のスイッチをオンにします。

    複数のログタイプを選択できます。[ログの一括配信] をクリックします。

    [ログ管理] ページに移動し、[すべてのデータソース] ドロップダウンリストからストレージ用に配信するログのタイプを見つけて、ログタイプの横にあるスイッチをオンにすることもできます。

    image

  5. オプションです。 左側のナビゲーションウィンドウで、脅威の分析と応答 > ログ管理. ログ管理 ページで、すべての配信 の横にあるスイッチをオンにして、追加されたデータソースに属するすべての種類のログのログ配信を有効にします。

説明

クラウドサービスの特定の種類のログを保存したくない場合は、ログの種類のスイッチをオフにすることができます。 ログタイプの新しいログは、ログ管理用に配信されなくなりました。

ステップ2: ログの照会

  1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > ログ管理.

  2. [ログ管理] ページで、左上隅の すべてのデータソース をクリックします。 すべてのデータソース ドロップダウンリストで、クラウドサービスとログタイプをログデータソースとして指定します。

  3. クエリ時間範囲を指定し、クエリステートメントを使用してログをクエリおよび分析します。

    脅威分析と応答のログ管理機能は、Security Centerのログ分析機能と同じ方法で使用できます。 詳細については、「カスタムログクエリと分析の使用」をご参照ください。

その他の操作

ログ保存期間の変更

デフォルトでは、ストレージ用に配信するクラウドサービスのログは180日間保存されます。 ビジネス要件に基づいて、保存期間を変更できます。

  1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.

  2. プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。

  3. [ログ管理] パネルで、保存日数 列の 変更 をクリックして保存期間を変更します。

ログストレージ容量の管理

使用されているログストレージと購入した総容量は、脅威の分析と応答 > [ログ管理] ページで確認できます。 ビジネス要件に基づいて、現在のログストレージ容量を増やしたり、ログストレージをクリアしたりできます。

  • スケールアウト をクリックして、追加のログストレージ容量を購入します。

    十分なログストレージ容量があることを確認してください。 十分なログストレージ容量がない場合、新しいログを保存できません。

  • クリア をクリックして、ログストレージをクリアします。

    警告

    ログストレージをクリアした後は、ログを復元できません。 作業は慎重に行ってください。 ログストレージをクリアする前に、ログをエクスポートし、オンプレミスのコンピューターにログを保存することを推奨します。

image

関連ドキュメント