セキュリティセンターは、クラウド脅威検出および応答 (CTDR) 機能を提供します。 この機能を使用して、マルチクラウド環境の異なるアカウント内の複数のクラウドサービスのアラートとログを一元管理できます。 この機能は、O&Mの効率を向上させるのに役立ちます。 企業内の複数のアカウントとリソースを一元管理するには、Resource Managementのリソースディレクトリサービスを使用して、マルチアカウント管理機能を設定します。 このトピックでは、CTDR機能のマルチアカウント構造を設定する方法について説明します。
条件
CTDR機能を使用して企業内の複数のアカウントとリソースを一元管理する前に、関連する用語を理解する必要があります。
期間 | 説明 | サービス |
管理アカウント | 管理アカウントは、エンタープライズ実名検証に合格したAlibaba Cloudアカウントです。 このAlibaba Cloudアカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントは、リソースディレクトリのスーパー管理者です。 リソースディレクトリ、およびリソースディレクトリ内のフォルダーとメンバーに対するすべての管理権限があります。 各リソースディレクトリの管理アカウントは 1 つだけです。 | Resource Management |
メンバー | メンバーは、リソースディレクトリに作成されたリソースアカウントです。 メンバーは、Alibaba Cloud上のプロジェクトまたはアプリケーションのリソースを他のリソースから分離するために使用されます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。 | |
代理管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを信頼されたサービスの委任管理者アカウントとして指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定された後、そのメンバーを使用して、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 | |
グローバル管理者アカウント | グローバル管理者アカウントを使用してSecurity Centerコンソールにログインすると、グローバルアカウントビューに切り替えて、CTDR機能で管理されるAlibaba Cloudアカウントのログアクセスポリシーを設定し、脅威検出ルールを設定し、セキュリティイベントを処理できます。 | Security Center |
マルチアカウント構造
CTDR機能を使用して、複数のAlibaba Cloudアカウントを一元管理し、マルチアカウント構造を確立できます。 次のシナリオとフローチャートの例は、マルチアカウント構造を確立する方法を示しています。
シナリオ: アカウントA、アカウントB、アカウントC、アカウントD、およびアカウントEは、同じリソースディレクトリに属しています。 アカウントAはリソースディレクトリの管理アカウントで、その他のアカウントはリソースディレクトリのメンバーです。 アカウントAは、Security Center - Threat Analysisという名前の信頼されたサービスの委任管理者アカウントとしてアカウントBを指定し、CTDR機能でサポートされている操作を実行するアカウントB、アカウントC、アカウントD、およびアカウントEを集中管理します。 操作には、ログアクセス、脅威検出設定、およびセキュリティイベント処理が含まれます。
ステップ1: CTDR機能の購入
Alibaba CloudアカウントのログをCTDR機能に追加する前に、アカウントの機能に追加できるログデータのボリュームを購入する必要があります。 各Alibaba Cloudアカウントのログデータのボリュームを購入すると、グローバル管理者アカウントで一元管理できます。 詳細については、「CTDR機能の購入と有効化」をご参照ください。
課金ルールが変更される前にAlibaba Cloudアカウントを使用してCTDR機能を購入した場合、同じリソースディレクトリに属するメンバーは機能を購入する必要はありません。 詳細については、「 [通知] クラウド脅威検出と応答 (CTDR) の課金ルールが変更されました」をご参照ください。
ステップ2: マルチアカウント構造を確立する
リソースディレクトリに追加できるAlibaba Cloudアカウントは、同じ企業に属し、企業の実名検証に合格している必要があります。 リソースディレクトリを有効にし、CTDR機能の購入に使用するAlibaba Cloudアカウントを委任管理者アカウントとして指定する必要があります。
リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。
リソースディレクトリを初めて使用するときは、左側のナビゲーションウィンドウで を選択し、リソースディレクトリの有効化 をクリックします。 次に、画面の指示に従ってリソースディレクトリを有効にします。 詳細については、「リソースディレクトリの有効化」をご参照ください。
メンバーを作成するか、Alibaba Cloudアカウントをリソースディレクトリに招待します。
メンバーを作成する: 左側のナビゲーションウィンドウで、 を選択してメンバーを作成します。 詳細については、「メンバーの作成」をご参照ください。
メンバーを招待する: を選択して、Alibaba Cloudアカウントをリソースディレクトリに招待します。 詳細については、「Alibaba Cloudアカウントをリソースディレクトリに参加させる」をご参照ください。
CTDR機能の購入に使用されるAlibaba Cloudアカウントを、委任された管理者アカウントとして指定します。
左側のナビゲーションペインで、 を選択します。 表示されるページで、Security CenterおよびSecurity Center - 脅威の分析の 操作 列の [管理] をクリックします。 表示されるページで、CTDR機能の購入に使用されるAlibaba Cloudアカウントを、これらの信頼できるサービスの委任管理者アカウントとして指定します。 詳細については、「委任管理者アカウントの追加」をご参照ください。
ステップ3: 管理のためにCTDR機能にアカウントを追加する
CTDR機能の購入に使用されているAlibaba Cloudアカウントを使用して、Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
マルチアカウント管理機能を初めて使用するときは、Security Center 管理の有効化 をクリックします。
マルチアカウント管理機能を有効にすると、メンバーに対してAliyunServiceRoleForSasRdという名前のサービスにリンクされたロールが自動的に作成されます。 Security Centerの委任された管理者アカウントは、このロールを引き受けて、リソースディレクトリ内のメンバーのSecurity Centerコンソールにアクセスできます。 これにより、企業の複数のメンバーのリソースを一元的に保護し、メンバーのセキュリティステータスをリアルタイムで監視できます。
タブで、脅威分析と監視アカウント タブをクリックします。
[設定] タブが表示されない場合は、脅威分析と監視アカウント タブをクリックします。
監視アカウントの合計数 セクションで、アカウント管理 をクリックします。
マルチアカウント管理の設定 パネルで、[リソースディレクトリノード] セクションのリソースディレクトリと、メンバーリストからCTDR機能に追加するAlibaba Cloudアカウントを選択し、OK をクリックします。
選択したメンバーに対してAliyunServiceRoleForSasRdおよびAliyunServiceRoleForSasCloudSiemサービスにリンクされたロールが作成されていない場合、メンバーを選択するとシステムは自動的にそのメンバーのロールを作成し、関連する機能を有効にします。 詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
手順4: グローバル管理者アカウントの指定
グローバル管理者アカウントは、CTDR機能を使用するために、グローバルアカウントビューと現在のアカウントビューを切り替えることができます。 グローバルアカウントビューでは、管理対象のAlibaba Cloudアカウントのアクセスポリシーの設定、脅威検出ルールの設定、セキュリティイベントの処理ができます。 現在のアカウントビューでは、現在のアカウントのCTDRポリシーを設定できます。 CTDR機能の購入に使用するAlibaba Cloudアカウントをグローバル管理者アカウントとして指定するには、次の操作を実行します。
各リソースディレクトリのCTDR機能のグローバル管理者アカウントとして指定できるアカウントは1つだけです。
アカウントを指定した後、グローバル管理者アカウントを変更することはできません。 作業は慎重に行ってください。
脅威分析と監視アカウント タブの グローバルアカウント管理者 セクションで、[設定] をクリックします。
グローバルアカウント管理者の設定 ダイアログボックスで、必要なAlibaba Cloudアカウントをグローバル管理者アカウントとして選択し、OK をクリックします。
指定されたグローバル管理者アカウントは、リソース管理コンソールでSecurity Center - Threat Analysisという名前の信頼されたサービスの管理アカウントまたは委任された管理者である必要があり、CTDR機能の購入に使用する必要があります。
ステップ5: クラウドサービスログをCTDR機能に追加する
グローバル管理者アカウントを使用してSecurity Centerコンソールにログインした後、現在のログオンアカウントと管理対象アカウントに属するクラウドサービスのログ、およびサードパーティのクラウドアカウントに属するクラウドサービスのログをCTDR機能に追加して、アラートとログデータを集中的に監視および分析できます。
Alibaba Cloudサービスのログを追加する方法の詳細については、「Alibaba Cloudサービスのログの追加」をご参照ください。
サードパーティのクラウドサービスのログを追加する方法の詳細については、「サードパーティのクラウドサービスのログの追加」をご参照ください。
ステップ6: CTDR機能の使用
上記の操作を完了した後、CTDR機能でサポートされている操作を実行できます。 たとえば、イベント分析とSecurity Orchestration Automation Response (SOAR) 機能を使用できます。 グローバル管理者アカウントは、グローバルアカウントビューと現在のアカウントビューを切り替えて、現在のアカウントとすべての管理対象アカウントを管理できます。
CTDR機能の使用方法の詳細については、以下のトピックを参照してください。
検出ルールの使用: 定義済みの検出ルールとカスタム検出ルールを使用できます。
セキュリティイベントの処理: セキュリティイベントを処理して、システムのセキュリティを向上させることができます。
SOARの使用: SOARを使用して、特定のロジックに基づいてさまざまなシステムおよびサービスにオーケストレーションを実装できます。 SOARは、セキュリティO&M中の自動オーケストレーションと迅速な対応をサポートします。
ログの管理: ログ管理機能を使用して、クラウドサービスの標準化されたログを保存およびクエリできます。 この機能は、アラートを正確に特定し、攻撃ソースを追跡するのに役立ち、潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化します。
関連ドキュメント
セキュリティセンターは、マルチアカウント管理機能を提供します。 詳細については、「マルチアカウント管理機能の使用」をご参照ください。
リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。