セキュリティセンターは、脅威の分析と対応機能を提供します。 この機能を使用して、マルチクラウド環境の異なるアカウント内の複数のクラウドサービスのアラートとログを一元管理できます。 この機能は、O&Mの効率を向上させるのに役立ちます。 企業内の複数のアカウントとリソースを一元管理するには、Resource Managementのリソースディレクトリサービスを使用して、マルチアカウント管理機能を設定します。 このトピックでは、脅威分析および対応機能のマルチアカウント構造を設定する方法について説明します。
条件
脅威分析と対応機能を使用して、企業内の複数のアカウントとリソースを一元管理する前に、関連する用語を理解する必要があります。
サービス | 期間 | 説明 |
Resource Management | 管理アカウント | 管理アカウントは、エンタープライズ実名検証に合格したAlibaba Cloudアカウントです。 このAlibaba Cloudアカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントは、リソースディレクトリのスーパー管理者です。 リソースディレクトリ、およびリソースディレクトリ内のフォルダーとメンバーに対するすべての管理権限があります。 各リソースディレクトリの管理アカウントは 1 つだけです。 |
メンバー | メンバーは、リソースディレクトリに作成されたリソースアカウントです。 メンバーは、Alibaba Cloud上のプロジェクトまたはアプリケーションのリソースを他のリソースから分離するために使用されます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。 | |
代理管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを信頼されたサービスの委任管理者アカウントとして指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定された後、そのメンバーを使用して、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 | |
Security Center | グローバル管理者アカウント | グローバル管理者アカウントを使用してSecurity Centerコンソールにログインすると、グローバルアカウントビューに切り替えて、脅威分析および対応機能によって管理されるAlibaba Cloudアカウントのログアクセスポリシーを設定し、脅威検出ルールを設定し、セキュリティイベントを処理できます。 |
マルチアカウント構造
脅威分析および対応機能を使用して、複数のAlibaba Cloudアカウントを一元管理し、マルチアカウント構造を確立できます。 次のシナリオとフローチャートの例は、マルチアカウント構造を確立する方法を示しています。
シナリオ: アカウントA、アカウントB、アカウントC、アカウントD、およびアカウントEは、同じリソースディレクトリに属しています。 アカウントAはリソースディレクトリの管理アカウントで、その他のアカウントはリソースディレクトリのメンバーです。 アカウントAは、Security Center - Threat Analysisという名前の信頼されたサービスの委任管理者アカウントとしてアカウントBを指定し、脅威分析および応答機能でサポートされる操作を実行するアカウントB、アカウントC、アカウントD、およびアカウントEを集中管理します。 操作には、ログアクセス、脅威検出設定、およびセキュリティイベント処理が含まれます。
ステップ1: 脅威の分析と対応機能を購入する
Alibaba Cloudアカウントのログを脅威分析および対応機能に追加する前に、アカウントの機能に追加できる大量のログデータを購入する必要があります。 各Alibaba Cloudアカウントのログデータのボリュームを購入すると、グローバル管理者アカウントで一元管理できます。 詳細については、「脅威の分析と対応機能の購入と有効化」をご参照ください。
課金ルールが変更される前に、Alibaba Cloudアカウントを使用して脅威分析および対応機能を購入した場合、同じリソースディレクトリに属するメンバーはその機能を購入する必要はありません。 詳細については、「 [お知らせ] 脅威分析と対応機能の課金ルールが変更されました」をご参照ください。
ステップ2: マルチアカウント構造を確立する
リソースディレクトリに追加できるAlibaba Cloudアカウントは、同じ企業に属し、企業の実名検証に合格している必要があります。 リソースディレクトリを有効にし、脅威分析および対応機能の購入に使用するAlibaba Cloudアカウントを委任管理者アカウントとして指定する必要があります。
リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。
リソースディレクトリを初めて使用するときは、左側のナビゲーションウィンドウで を選択し、リソースディレクトリの有効化 をクリックします。 次に、画面の指示に従ってリソースディレクトリを有効にします。 詳細については、「リソースディレクトリの有効化」をご参照ください。
メンバーを作成するか、Alibaba Cloudアカウントをリソースディレクトリに招待します。
メンバーを作成する: 左側のナビゲーションウィンドウで、 を選択してメンバーを作成します。 詳細については、「メンバーの作成」をご参照ください。
メンバーを招待する: を選択して、Alibaba Cloudアカウントをリソースディレクトリに招待します。 詳細については、「Alibaba Cloudアカウントをリソースディレクトリに参加させる」をご参照ください。
脅威分析および対応機能の購入に使用されるAlibaba Cloudアカウントを、委任された管理者アカウントとして指定します。
左側のナビゲーションペインで、 を選択します。 表示されるページで、Security CenterおよびSecurity Center - 脅威の分析の 操作 列の [管理] をクリックします。 表示されるページで、脅威分析および対応機能の購入に使用されるAlibaba Cloudアカウントを、これらの信頼できるサービスの委任管理者アカウントとして指定します。 詳細については、「委任管理者アカウントの追加」をご参照ください。
ステップ3: 管理のための脅威分析および対応機能にアカウントを追加する
脅威分析および対応機能の購入に使用されているAlibaba Cloudアカウントを使用して、Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
マルチアカウント管理機能を初めて使用するときは、Security Center 管理の有効化 をクリックします。
マルチアカウント管理機能を有効にすると、メンバーに対してAliyunServiceRoleForSasRdという名前のサービスにリンクされたロールが自動的に作成されます。 Security Centerの委任された管理者アカウントは、このロールを引き受けて、リソースディレクトリ内のメンバーのSecurity Centerコンソールにアクセスできます。 これにより、企業の複数のメンバーのリソースを一元的に保護し、メンバーのセキュリティステータスをリアルタイムで監視できます。
タブで、脅威分析と監視アカウント タブをクリックします。
[設定] タブが表示されない場合は、脅威分析と監視アカウント タブをクリックします。
監視アカウントの合計数 セクションで、アカウント管理 をクリックします。
マルチアカウント管理の設定 パネルで、[リソースディレクトリノード] セクションのリソースディレクトリと、メンバーリストから脅威分析および対応機能に追加するAlibaba Cloudアカウントを選択し、OK をクリックします。
選択したメンバーに対してAliyunServiceRoleForSasRdおよびAliyunServiceRoleForSasCloudSiemサービスにリンクされたロールが作成されていない場合、メンバーを選択するとシステムは自動的にそのメンバーのロールを作成し、関連する機能を有効にします。 詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
手順4: グローバル管理者アカウントの指定
グローバル管理者アカウントは、脅威の分析と対応機能を使用するために、グローバルアカウントビューと現在のアカウントビューを切り替えることができます。 グローバルアカウントビューでは、管理対象のAlibaba Cloudアカウントのアクセスポリシーの設定、脅威検出ルールの設定、セキュリティイベントの処理ができます。 現在のアカウントビューでは、現在のアカウントの脅威分析および対応ポリシーを設定できます。 次の操作を実行して、脅威分析および対応機能の購入に使用するAlibaba Cloudアカウントをグローバル管理者アカウントとして指定できます。
各リソースディレクトリの脅威分析および対応機能のグローバル管理者アカウントとして指定できるアカウントは1つだけです。
アカウントを指定した後、グローバル管理者アカウントを変更することはできません。 作業は慎重に行ってください。
脅威分析と監視アカウント タブの グローバルアカウント管理者 セクションで、[設定] をクリックします。
グローバルアカウント管理者の設定 ダイアログボックスで、必要なAlibaba Cloudアカウントをグローバル管理者アカウントとして選択し、OK をクリックします。
指定されたグローバル管理者アカウントは、リソース管理コンソールでSecurity Center - Threat Analysisという名前の信頼されたサービスの管理アカウントまたは委任された管理者である必要があります。
ステップ5: 脅威分析および対応機能にクラウドサービスログを追加する
グローバル管理者アカウントを使用してSecurity Centerコンソールにログインした後、現在のログオンアカウントと管理対象アカウントに属するクラウドサービスのログ、およびサードパーティのクラウドアカウントに属するクラウドサービスのログを脅威分析および対応機能に追加して、アラートとログデータを集中的に監視および分析できます。
Alibaba Cloudサービスのログを追加する方法の詳細については、「Alibaba Cloudサービスのログの追加」をご参照ください。
サードパーティのクラウドサービスのログを追加する方法の詳細については、「サードパーティのクラウドサービスのログの追加」をご参照ください。
ステップ6: 脅威分析と応答機能を使用する
上記の操作を完了した後、脅威分析および対応機能でサポートされている操作を実行できます。 たとえば、イベント分析とSecurity Orchestration Automation Response (SOAR) 機能を使用できます。 グローバル管理者アカウントは、グローバルアカウントビューと現在のアカウントビューを切り替えて、現在のアカウントとすべての管理対象アカウントを管理できます。
脅威の分析と応答機能の使用方法の詳細については、以下のトピックを参照してください。
検出ルールの使用: 定義済みの検出ルールとカスタム検出ルールを使用できます。
セキュリティイベントの処理: セキュリティイベントを処理して、システムのセキュリティを向上させることができます。
SOARの使用: SOARを使用して、特定のロジックに基づいてさまざまなシステムおよびサービスにオーケストレーションを実装できます。 SOARは、セキュリティO&M中の自動オーケストレーションと迅速な対応をサポートします。
ログの管理: ホットデータおよびコールドデータストレージソリューションを使用して、クラウドサービスの標準化されたログを保存およびクエリできます。 このソリューションは、アラートを正確に特定し、攻撃ソースを追跡するのに役立ち、潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化します。
関連ドキュメント
セキュリティセンターは、マルチアカウント管理機能を提供します。 詳細については、「マルチアカウント管理機能の使用」をご参照ください。
リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。