機密保護要件に準拠したログ管理 - Security Center - Alibaba Cloud ドキュメントセンター

脅威分析および応答機能は、ログ管理機能を提供します。この機能を使用すると、機能に追加されたクラウドサービスのログを保存して照会できます。この機能は、アラートを正確に特定し、攻撃ソースを追跡して、潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化し、防御システム全体を強化するのに役立ちます。この機能は、サイバーセキュリティ法およびマルチレベル保護スキーム (MLPS) 2.0標準に準拠しています。このトピックでは、ログ管理機能の使用方法について説明します。

機能の仕組み

脅威の分析および対応機能とSimple Log Serviceは共同でログ管理機能を開始し、さまざまなクラウドプラットフォーム、アカウント、およびクラウドサービスのログに集中的なログストレージおよび分析機能を提供しました。

脅威分析および応答機能用のログストレージ容量を購入すると、この機能は自動的にaliyun-cloudsiem-data- Alibaba CloudアカウントID-リージョンIDという名前のプロジェクトとcloud_siemという名前の専用ログストアをSimple log Serviceコンソールに作成し、この機能によって収集されたすべてのログを保存します。脅威分析および対応機能のログストレージ領域は、Security centerコンソールの上部のナビゲーションバーで選択したデータ管理センターによって異なります。

中国を選択した場合、ログは中国 (上海) リージョンに保存されます。
全世界 (中国を除く) を選択した場合、ログはシンガポールリージョンに保存されます。

重要

Simple log Serviceコンソールにログインして、脅威の分析と対応機能専用のプロジェクトとLogstoreを表示できます。プロジェクトまたはLogstoreを削除しないでください。

誤ってLogstoreを削除した場合、cloud_siem Logstoreが存在しないことを確認します。 Logstore内のすべてのログデータが失われます。この場合、 ticket 操作を元に戻します。操作を取り消した後、脅威分析および応答機能を再度有効にして、この機能を使用し続ける必要があります。削除したログデータは復元できません。

特定のタイプのログのデータ配信を有効にすると、脅威分析および応答機能は自動的にログをcloud_siem Logstoreに配信します。システムは、指定された保存期間が終了するまでログを保持します。期間が終了すると、システムは自動的にログを削除します。ログのストレージ容量が使い果たされた場合、新しいログはもはやストレージに配信されません。ログのサイズが機能用に購入したログストレージ容量の80% を超えると、Security Centerから通知が送信されます。通知設定の設定方法の詳細については、「通知設定の設定」をご参照ください。

課金

サブスクリプション課金方法がサポートされています。購入したログストレージ容量とストレージ期間に基づいて課金されます。 Security Centerコンソールでログを照会およびエクスポートする場合、料金は発生しません。

ログが専用のログストアに配信された後、ログの変換や配布など、Simple Log Serviceコンソールで実行した操作に対して課金される場合があります。

Logstoreが機能課金モードを使用している場合、ログの変換または送信時に課金されます。また、インターネット経由でストリームモードでログを読み取る場合、インターネット経由の読み取りトラフィックに対しても課金されます。料金はSimple Log Serviceの請求書に含まれています。詳細については、「機能課金の課金項目」をご参照ください。
Logstoreがデータの取り込みによる支払い課金モードを使用している場合、データの変換または送信時に課金されません。インターネット経由の読み取りトラフィックに対してのみ課金されます。料金はSimple Log Serviceの請求書に含まれています。詳細については、「取り込みデータ量課金の課金項目」をご参照ください。

マルチアカウント管理

マルチアカウント管理機能を設定し、グローバル管理者アカウントを使用してSecurity Centerコンソールにログインする場合は、ログ管理 ページでログを管理する前に、適切なビューを選択する必要があります。サポートされているビューを次に示します。

現在のアカウントビュー: 現在のアカウント内のログを表示および管理できます。
グローバルアカウントビュー: 脅威分析および対応機能によって管理されているAlibaba Cloudアカウント内のデータを表示および管理できます。

重要

現在のアカウントビュー および グローバルアカウントビュー でログ配信を有効にすると、グローバル管理者アカウントを使用して購入したログストレージ容量が使用され、配信されたログデータはグローバル管理者アカウント内に保存されます。
Alibaba Cloudアカウントがグローバル管理者アカウントで管理されており、アカウントを使用してログを管理する場合は、脅威分析および対応機能のログストレージ容量を別途購入し、アカウントを使用してログ配信を有効にする必要があります。ログ配信を有効にするには、Security Centerコンソールの [脅威分析と応答] > [ログ管理] ページに移動します。

前提条件

Simple Log Serviceが有効化されています。詳細については、「入門」をご参照ください。
クラウドサービスのログが脅威分析および対応機能に追加されます。詳細については、「クラウドサービスのログの追加」をご参照ください。

手順1: ログ配信の有効化

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
表示されるパネルの [ログ配信管理] セクションで、保存用に配信するログの種類を見つけ、[ホットデータへのログの配信 /有効および無効] 列のスイッチをオンにします。
複数のログタイプを選択できます。[ログの一括配信] をクリックします。
[ログ管理] ページに移動し、[すべてのデータソース] ドロップダウンリストからストレージ用に配信するログのタイプを見つけて、ログタイプの横にあるスイッチをオンにすることもできます。
オプションです。左側のナビゲーションウィンドウで、脅威の分析と応答 > ログ管理. ログ管理 ページで、すべての配信 の横にあるスイッチをオンにして、追加されたデータソースに属するすべての種類のログのログ配信を有効にします。

説明

クラウドサービスの特定の種類のログを保存したくない場合は、ログの種類のスイッチをオフにすることができます。ログタイプの新しいログは、ログ管理用に配信されなくなりました。

ステップ2: ログの照会

左側のナビゲーションウィンドウで、脅威の分析と応答 > ログ管理.
[ログ管理] ページで、左上隅の すべてのデータソース をクリックします。 すべてのデータソース ドロップダウンリストで、クラウドサービスとログタイプをログデータソースとして指定します。
クエリ時間範囲を指定し、クエリステートメントを使用してログをクエリおよび分析します。
脅威分析と応答のログ管理機能は、Security Centerのログ分析機能と同じ方法で使用できます。詳細については、「カスタムログクエリと分析の使用」をご参照ください。

その他の操作

ログ保存期間の変更

デフォルトでは、ストレージ用に配信するクラウドサービスのログは180日間保存されます。ビジネス要件に基づいて、保存期間を変更できます。

左側のナビゲーションウィンドウで、脅威の分析と応答 > プロダクトアクセス.
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
[ログ管理] パネルで、保存日数 列の変更をクリックして保存期間を変更します。

ログストレージ容量の管理

使用されているログストレージと購入した総容量は、脅威の分析と応答 > [ログ管理] ページで確認できます。ビジネス要件に基づいて、現在のログストレージ容量を増やしたり、ログストレージをクリアしたりできます。

スケールアウト をクリックして、追加のログストレージ容量を購入します。
十分なログストレージ容量があることを確認してください。十分なログストレージ容量がない場合、新しいログを保存できません。
クリア をクリックして、ログストレージをクリアします。
警告
ログストレージをクリアした後は、ログを復元できません。作業は慎重に行ってください。ログストレージをクリアする前に、ログをエクスポートし、オンプレミスのコンピューターにログを保存することを推奨します。

Security Center:ログを管理する