脅威分析および応答機能は、ログ管理機能を提供します。 この機能を使用すると、機能に追加されたクラウドサービスのログを保存して照会できます。 この機能は、アラートを正確に特定し、攻撃ソースを追跡して、潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化し、防御システム全体を強化するのに役立ちます。 この機能は、サイバーセキュリティ法およびマルチレベル保護スキーム (MLPS) 2.0標準に準拠しています。 このトピックでは、ログ管理機能の使用方法について説明します。
機能の仕組み
脅威の分析および対応機能とSimple Log Serviceは共同でログ管理機能を開始し、さまざまなクラウドプラットフォーム、アカウント、およびクラウドサービスのログに集中的なログストレージおよび分析機能を提供しました。
脅威分析および応答機能用のログストレージ容量を購入すると、この機能は自動的にaliyun-cloudsiem-data- Alibaba CloudアカウントID-リージョンIDという名前のプロジェクトとcloud_siemという名前の専用ログストアをSimple log Serviceコンソールに作成し、この機能によって収集されたすべてのログを保存します。 脅威分析および対応機能のログストレージ領域は、Security centerコンソールの上部のナビゲーションバーで選択したデータ管理センターによって異なります。
中国 を選択した場合、ログは中国 (上海) リージョンに保存されます。
全世界 (中国を除く) を選択した場合、ログはシンガポールリージョンに保存されます。
Simple log Serviceコンソールにログインして、脅威の分析と対応機能専用のプロジェクトとLogstoreを表示できます。 プロジェクトまたはLogstoreを削除しないでください。
誤ってLogstoreを削除した場合、cloud_siem Logstoreが存在しないことを確認します。 Logstore内のすべてのログデータが失われます。 この場合、 ticket 操作を元に戻します。 操作を取り消した後、脅威分析および応答機能を再度有効にして、この機能を使用し続ける必要があります。 削除したログデータは復元できません。
特定のタイプのログのデータ配信を有効にすると、脅威分析および応答機能は自動的にログをcloud_siem Logstoreに配信します。 システムは、指定された保存期間が終了するまでログを保持します。 期間が終了すると、システムは自動的にログを削除します。 ログのストレージ容量が使い果たされた場合、新しいログはもはやストレージに配信されません。 ログのサイズが機能用に購入したログストレージ容量の80% を超えると、Security Centerから通知が送信されます。 通知設定の設定方法の詳細については、「通知設定の設定」をご参照ください。
課金
サブスクリプション課金方法がサポートされています。 購入したログストレージ容量とストレージ期間に基づいて課金されます。 Security Centerコンソールでログを照会およびエクスポートする場合、料金は発生しません。
ログが専用のログストアに配信された後、ログの変換や配布など、Simple Log Serviceコンソールで実行した操作に対して課金される場合があります。
Logstoreが機能課金モードを使用している場合、ログの変換または送信時に課金されます。 また、インターネット経由でストリームモードでログを読み取る場合、インターネット経由の読み取りトラフィックに対しても課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「機能課金の課金項目」をご参照ください。
Logstoreがデータの取り込みによる支払い課金モードを使用している場合、データの変換または送信時に課金されません。 インターネット経由の読み取りトラフィックに対してのみ課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「取り込みデータ量課金の課金項目」をご参照ください。
マルチアカウント管理
マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ログ管理 ページでログを管理する前に、適切なビューを選択する必要があります。 サポートされているビューを次に示します。
現在のアカウントビュー: 現在のアカウント内のログを表示および管理できます。
グローバルアカウントビュー: 脅威分析および対応機能によって管理されているAlibaba Cloudアカウント内のデータを表示および管理できます。
現在のアカウントビュー および グローバルアカウントビュー でログ配信を有効にすると、グローバル管理者アカウントを使用して購入したログストレージ容量が使用され、配信されたログデータはグローバル管理者アカウント内に保存されます。
Alibaba Cloudアカウントがグローバル管理者アカウントで管理されており、アカウントを使用してログを管理する場合は、脅威分析および対応機能のログストレージ容量を別途購入し、アカウントを使用してログ配信を有効にする必要があります。 ログ配信を有効にするには、Security Centerコンソールの
ページに移動します。
前提条件
Simple Log Serviceが有効化されています。 詳細については、「入門」をご参照ください。
クラウドサービスのログが脅威分析および対応機能に追加されます。 詳細については、「クラウドサービスのログの追加」をご参照ください。
手順1: ログ配信の有効化
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
表示されるパネルの [ログ配信管理] セクションで、保存用に配信するログの種類を見つけ、[ホットデータへのログの配信 /有効および無効] 列のスイッチをオンにします。
複数のログタイプを選択できます。[ログの一括配信] をクリックします。
[ログ管理] ページに移動し、[すべてのデータソース] ドロップダウンリストからストレージ用に配信するログのタイプを見つけて、ログタイプの横にあるスイッチをオンにすることもできます。
オプションです。 左側のナビゲーションウィンドウで、 ログ管理 ページで、すべての配信 の横にあるスイッチをオンにして、追加されたデータソースに属するすべての種類のログのログ配信を有効にします。 .
クラウドサービスの特定の種類のログを保存したくない場合は、ログの種類のスイッチをオフにすることができます。 ログタイプの新しいログは、ログ管理用に配信されなくなりました。
ステップ2: ログの照会
左側のナビゲーションウィンドウで、 .
[ログ管理] ページで、左上隅の すべてのデータソース をクリックします。 すべてのデータソース ドロップダウンリストで、クラウドサービスとログタイプをログデータソースとして指定します。
クエリ時間範囲を指定し、クエリステートメントを使用してログをクエリおよび分析します。
脅威分析と応答のログ管理機能は、Security Centerのログ分析機能と同じ方法で使用できます。 詳細については、「カスタムログクエリと分析の使用」をご参照ください。
その他の操作
ログ保存期間の変更
デフォルトでは、ストレージ用に配信するクラウドサービスのログは180日間保存されます。 ビジネス要件に基づいて、保存期間を変更できます。
左側のナビゲーションウィンドウで、 .
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
[ログ管理] パネルで、保存日数 列の 変更 をクリックして保存期間を変更します。
ログストレージ容量の管理
使用されているログストレージと購入した総容量は、
ページで確認できます。 ビジネス要件に基づいて、現在のログストレージ容量を増やしたり、ログストレージをクリアしたりできます。スケールアウト をクリックして、追加のログストレージ容量を購入します。
十分なログストレージ容量があることを確認してください。 十分なログストレージ容量がない場合、新しいログを保存できません。
クリア をクリックして、ログストレージをクリアします。
警告ログストレージをクリアした後は、ログを復元できません。 作業は慎重に行ってください。 ログストレージをクリアする前に、ログをエクスポートし、オンプレミスのコンピューターにログを保存することを推奨します。
関連ドキュメント
コールドデータストレージの詳細については、「コールドデータストレージソリューション」をご参照ください。
Security Centerコンソール、Cloud Shell、またはCLIを使用して、ログまたはクエリおよび分析結果をコンピューターにダウンロードできます。 詳細については、「ログのエクスポート」をご参照ください。
保存されたログをOSSに配信して保存できます。 詳細については、「OSSデータ配布ジョブの作成 (新バージョン) 」をご参照ください。
十分なストレージ容量がない場合、新しいログを保存できません。 ログ分析および応答機能のログストレージ容量が不足している場合に通知を有効にできます。 ログストレージ容量が不足しているという通知を受け取った後、ログストレージ容量を増やすことができます。 詳細については、「通知設定」をご参照ください。