サードパーティ資産の Security Center へのオンボード - Security Center

Tencent Cloud、Huawei Cloud、Amazon Web Services (AWS)、Microsoft Azure などのサードパーティのクラウドサービスプロバイダーの資産を Security Center にオンボードして、一元的に保護および管理できます。このトピックでは、サードパーティ資産を Security Center にオンボードする方法について説明します。

オンボード方法

Security Center は、サードパーティ資産をオンボードするために 2 つの方法を提供しており、それぞれ収集するデータが異なります。収集したいデータに基づいて方法を選択してください。

方法	説明	収集するデータ
クライアントのインストール	この方法を使用してサードパーティ資産をオンボードすると、その資産に「外部ホスト」タグが追加され、Security Center は資産のサービスプロバイダーを識別できません。	IP アドレス、ホスト名、オペレーティングシステムタイプ、CPU コア数
サードパーティアカウントの AccessKey ペアの使用	この方法により、Security Center は資産のサービスプロバイダーを識別し、[ホスト] ページに表示できます。重要この方法でサードパーティ資産をオンボードした後、Security Center の保護機能を使用するには、資産に Security Center エージェントをインストールする必要があります。	IP アドレス、ホスト名、オペレーティングシステムタイプ、CPU コア数、サードパーティクラウドの Virtual Private Cloud (VPC)、資産ステータス、リージョン、サービスプロバイダー

サードパーティアカウントの AccessKey ペアの使用

Security Center は、サードパーティのクラウドサービスプロバイダー用に作成されたアカウントの AccessKey ペアを使用して、サードパーティ資産に対する読み取り権限を取得し、その情報を同期します。これにより、Security Center を通じてクラウドアセットを一元的に保護および管理できます。

Tencent Cloud、Huawei Cloud、AWS の資産を Security Center にオンボードする

Security Center コンソールにログインし、上部のナビゲーションバーで、管理するアセットのリージョンとして中国または 全世界 (中国を除く) を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、ドロップダウンリストから Tencent Cloud、Huawei Cloud、または AWS を選択します。

Add Assets Outside Cloud パネルで、プロンプトに従ってクラウドサービスプロバイダー用の RAM アカウントを作成し、サードパーティのクラウドサーバーを Security Center に追加します。

サードパーティのクラウドサービスプロバイダーのプラットフォームにログインし、RAM アカウントの AccessKey ペアを作成します。

手動設定プラン または Quick Configuration を選択できます。

(推奨) 手動設定プラン: サードパーティのクラウドサービスプロバイダー用に RAM アカウントを手動で作成し、その RAM アカウントの AccessKey ペアを Security Center に付与します。

使用したい Security Center の保護機能に基づいて、[権限の説明] で対応する機能を選択します:

ホスト: Security Center のサードパーティアカウントでElastic Compute Service の読み取り権限を付与します。サードパーティのクラウドアセットに対して、リスク評価や脅威防御などのセキュリティ機能を Security Center で提供する必要がある場合は、このパラメーターを選択してください。
CSPM: Security Center のサードパーティアカウントに、読み取りのすべてのクラウドアセットに対する権限を付与します。クラウドセキュリティポスチャ管理 (CSPM) 機能を使用してサードパーティのクラウドアセットをスキャンする必要がある場合は、このパラメーターを選択します。
Agentic SOC: Security Center のサードパーティアカウント配下で、すべてのクラウド資産に対する読み取り権限と一部のクラウド資産に対する書き込み権限を付与します。Agentic SOC 機能を使用してサードパーティのクラウド資産のログを一元管理し、応答を処理する必要がある場合は、このパラメーターを選択します。

説明

Security Center にオンボードできる資産のタイプは、クラウドサービスプロバイダーによって異なります。以下に表示されるタイプが優先されます。

RAM アカウントに Security Center が必要とする権限を付与する必要があります。そうしないと、Security Center はサードパーティ資産を保護できません。コンソールの指示に従って、RAM アカウントの権限を設定してください。

RAM アカウントに必要な権限

資産タイプ	Tencent Cloud	Huawei Cloud	AWS
ホスト	QcloudCVMReadOnlyAccess	ECSReadOnlyAccess IAM ReadOnlyAccess	AmazonEC2ReadOnlyAccess
CSPM	CloudResourceReadOnlyAccess QcloudCamReadOnlyAccess	Tenant Guest AM ReadOnlyAccess	ReadOnlyAccess
Agentic SOC	詳細については、「サードパーティのクラウド製品からログを取り込む」をご参照ください。		サポートされていません

Quick Configuration: Alibaba Cloud アカウントの AccessKey ペアの使用を Security Center に承認すると、Security Center が RAM アカウントの AccessKey ペアを自動的に作成します。
説明
この設定はホスト資産の保護のみをサポートします。CSPM および Agentic SOC 機能の使用はサポートしていません。

SubscriptionId ステップで、取得した AccessKey ペアとアカウント名を入力し、次へをクリックします。
アカウント名は、同じクラウドサービスプロバイダーの異なるアカウントの資産を区別するために使用されます。目的に応じて、意味の明確な名前を設定することを推奨します。
監査ログの設定 ページで、サードパーティのアセットのログデータを設定し、[次へ] をクリックします。監査ログを追加する必要がない場合は、[スキップ] をクリックします。
重要
- ログ監査の設定は、CSPM の CIEM (Cloud Infrastructure Entitlement Management) のチェック項目のデータを取得するために不可欠です。これを設定しないと、Security Center はサードパーティ資産の CIEM 関連のチェック項目を検出できません。
- この設定項目は、Tencent Cloud および AWS 資産でのみサポートされています。Huawei Cloud 資産ではこの設定は不要です。
  - Tencent Cloud 資産のログ監査を設定する前に、Tencent Cloud コンソールでログトピックを作成し、カスタム権限設定を完了する必要があります。詳細については、「構成チェックのためにクラウドアセットを追加する」をご参照ください。
  - AWS 資産のログ監査を設定する前に、AWS コンソールで SQS キューを作成し、カスタム権限ポリシー設定を完了する必要があります。詳細については、「構成チェックのためにクラウドアセットを追加する」をご参照ください。
- Tencent Cloud のサブアカウントを追加する際は、取得した Kafka トピック名、Kafka パブリックエンドポイント、およびログトピックの logset ID を順番に入力します。
- AWS のサブアカウントを追加する際は、取得したリージョン ID と SQS キューの名前を順番に入力します。

[ポリシー設定] ページで、サードパーティのアセットがデプロイされているリージョンとデータ同期の頻度を設定し、OK をクリックします。

パラメーター	説明
リージョン選択	追加するアセットが存在するリージョンを選択します。Security Center は、お客様がコンソールの左上隅で選択したデータ管理センターに基づいて、サードパーティアカウント内のアセットのデータを、対応する管理センター (中国または全世界 (中国を除く)) に追加します。
リージョン管理	このオプションを選択すると、Security Center は、指定されたリージョンで新しく作成された資産のデータを、現在のデータ管理センターに自動的に同期します。このオプションを選択しない場合、新しく作成されたリージョンは自動的に Security Center に追加されて保護されることはありません。
Host Asset Synchronization Frequency	Security Center がサードパーティのクラウドサーバーのデータを自動的に同期する間隔を選択します。[無効化] を選択すると、データは同期されません。説明 [権限の説明]で[ホスト]を選択した場合は、このパラメーターを設定する必要があります。
クラウドプロダクトの同期頻度	Security Center がサードパーティのクラウドサービスのデータを自動的に同期する間隔を選択します。[無効] を選択した場合、データは同期されません。説明 [権限の説明]で [CSPM] を選択した場合、このパラメーターを設定する必要があります。
AK サービスのステータスチェック	Security Center がサードパーティアカウントの AccessKey ペアの有効性を自動的に確認する間隔を選択します。[無効] を選択した場合、有効性は確認されません。

最新のアセットの同期 をクリックし、サードパーティアカウント内のアセットを Security Center に同期します。
- Alibaba Cloud アカウントの AccessKey ペアを使用する場合、その Alibaba Cloud アカウントのすべての RAM アカウント内の資産データが自動的に Security Center に同期されます。
- RAM アカウントの AccessKey ペアを使用する場合、その RAM アカウント内の資産データが自動的に Security Center に同期されます。

Microsoft Azure の資産をオンボードする

Security Center コンソールにログインします。コンソールの左上隅で、保護するアセットが配置されているリージョンとして、中国または 全世界 (中国を除く) を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。
マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックします。ドロップダウンリストで、オンボードするマルチクラウドサービスプロバイダー (Microsoft Azure) を選択します。

Add Assets Outside Cloud パネルで、指示に従って、対応するクラウドサービスプロバイダー (CSP) の RAM アカウントを作成し、サードパーティのクラウドサーバーと Security Center 間の接続を確立します。

サードパーティのクラウドサービスプロバイダーの RAM アカウントを作成します。
コンソールの指示に従います。サードパーティのクラウドサービスプロバイダーのプラットフォームにログインし、Security Center 用の Microsoft Azure アカウントを手動で作成し、操作コマンドの実行結果から appId、displayName、name、password、tenant の情報を取得する必要があります。
重要
作成した RAM アカウントには、Microsoft.Compute 権限リソースに対する読み取り専用権限を付与する必要があります。
SubscriptionId ウィザードページで、前のステップで取得した Enter an AppID、Enter a password、tenant、および [ドメイン] を入力し、オンボードする資産タイプを選択して、次へをクリックします。
統合でサポートされているアセットタイプである[ホストアセット]とは、Security Center のサードパーティクラウドプラットフォームアカウントでElastic Compute Serviceの読み取り権限を付与することです。
監査ログの設定 ページで、サードパーティのアセットのログデータを設定し、[次へ] をクリックします。監査ログを追加する必要がない場合は、[スキップ] をクリックします。
重要
- ログ監査の設定は、CSPM の CIEM (Cloud Infrastructure Entitlement Management) のチェック項目のデータを取得するために不可欠です。これを設定しないと、Security Center はサードパーティ資産の CIEM 関連のチェック項目を検出できません。
- この設定項目は、Tencent Cloud および AWS 資産でのみサポートされています。Huawei Cloud 資産ではこの設定は不要です。
  - Tencent Cloud 資産のログ監査を設定する前に、Tencent Cloud コンソールでログトピックを作成し、カスタム権限設定を完了する必要があります。詳細については、「構成チェックのためにクラウドアセットを追加する」をご参照ください。
  - AWS 資産のログ監査を設定する前に、AWS コンソールで SQS キューを作成し、カスタム権限ポリシー設定を完了する必要があります。詳細については、「構成チェックのためにクラウドアセットを追加する」をご参照ください。
- Tencent Cloud のサブアカウントを追加する際は、取得した Kafka トピック名、Kafka パブリックエンドポイント、およびログトピックの logset ID を順番に入力します。
- AWS のサブアカウントを追加する際は、取得したリージョン ID と SQS キューの名前を順番に入力します。

[ポリシー設定] ページで、サードパーティのアセットがデプロイされているリージョンとデータ同期の頻度を設定し、OK をクリックします。

パラメーター	説明
リージョン選択	追加する資産が存在するリージョンを選択します。 Security Center は、コンソールの左上隅で選択したデータ管理センターに基づいて、サードパーティアカウント内の資産のデータを、対応する管理センター (中国または全世界 (中国を除く)) に追加します。
リージョン管理	このオプションを選択すると、Security Center は、指定されたリージョンで新しく作成された資産のデータを、現在のデータ管理センターに自動的に同期します。このオプションを選択しない場合、新しく作成されたリージョンは自動的に Security Center に追加されて保護されることはありません。
Host Asset Synchronization Frequency	Security Center がサードパーティのクラウドサーバーのデータを自動的に同期する間隔を選択します。[無効化] を選択すると、データは同期されません。説明 [ホスト] を [権限の説明] で選択した場合、このパラメーターを設定する必要があります。
クラウドプロダクトの同期頻度	Security Center がサードパーティのクラウドサービスのデータを自動的に同期する間隔を選択します。[無効] を選択した場合、データは同期されません。説明 [権限の説明]で [CSPM] を選択した場合、このパラメーターを設定する必要があります。
AK サービスのステータスチェック	Security Center がサードパーティアカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。[無効] を選択した場合、有効性はチェックされません。

結果の確認

サードパーティ資産を Security Center にオンボードした後、アセットセンター ページで資産を表示できます。

ホスト資産タイプに基づいてオンボードされた資産の表示
アセットセンター > ホストアセット ページで、Security Center に追加されたサードパーティのクラウドサーバーを表示できます。詳細については、「サーバー資産」をご参照ください。
クラウド製品設定チェックタイプに基づいてオンボードされた資産の表示
アセットセンター > クラウドプロダクト ページで、クラウドプロダクト構成チェックタイプに基づいて Security Center に追加されたサードパーティのアセットを表示できます。
アセットを見つけ、「操作」列の表示をクリックして、アセットの基本情報と構成チェック結果を表示できます。詳細については、「クラウドサービスに関する情報の表示」および「CSPM の概要」をご参照ください。

次のステップ

資産を管理する権限を持つ RAM アカウントの AccessKey ペアを使用してサードパーティ資産を Security Center にオンボードした場合、資産に Security Center エージェントをインストールする必要があります。これにより、Security Center の保護機能を使用できるようになります。

Security Center:サードパーティ資産の Security Center へのオンボード