接入同帳號、跨帳號和第三方雲帳號的產品日誌 - Security Center

開通威脅分析與響應後，您可以接入同帳號、跨帳號和第三方雲帳號的雲產品日誌，實現跨資源警示和日誌資料的統一監管與分析。接入日誌後，威脅分析與響應會監控和分析採集到的日誌，識別並構建出完整的攻擊鏈路，從而形成詳細的安全事件，提升您的警示分析和處理效率。

前提條件

已開通威脅分析與響應服務。具體操作，請參見購買及開通威脅分析與響應。
需要接入威脅分析與響應的雲產品（不包括Security Center）已開通Log Service。具體操作，請參見雲產品對應的官網文檔。
說明
接入Security Center日誌時，無需開通Security Center日誌分析服務。

接入阿里雲雲產品日誌

需要接入當前阿里雲帳號下的雲產品日誌時，您可以直接在產品接入頁面選擇需要接入的雲產品和日誌類型。
需要統一配置多個阿里雲帳號下的日誌接入策略時，您需要完成多帳號體系設定，並使用全域帳號管理員登入控制台，在產品接入頁面切換到全域帳號視圖下，參考下述操作進行接入設定。多帳號統一管理的具體操作，請參見多帳號統一管理。

在左側導覽列，選擇威脅分析與響應 > 產品接入。
在產品接入列表，找到需要接入的雲產品，在操作列單擊接入設定。
在雲產品接入設定面板，找到需要接入的日誌類型，單擊已接入帳號列下的數字。
選中多個日誌類型，單擊列表下方的批量接入按鈕，可以大量設定需接入的帳號。
在接入設定面板，選擇需要接入的帳號。
說明
如果您使用的是個人實名認證帳號，則选择账号面板僅顯示您當前的帳號。僅全域帳號管理員在全域帳號視圖下，可以選擇接入威脅分析管控的帳號。
- 如果雲產品只支援使用產品定義的LogStore（例如Security Center），您只需選中帳號，無需選擇LogStore，Security Center會自動接入產品定義的LogStore。
- 如果雲產品接入了自訂的Logstore，您需要在選中帳號後，在LogStore（格式：regionId.project.logStore）下拉式清單選擇對應的LogStore或將自訂的LogStore名稱複製到此處。LogStore的填寫格式為regionId.project.logStore。
根據實際需要選擇是否開啟自動接入新增帳號。
您可以選擇是否開啟自動接入新增帳號。開啟該功能後，如果有新接入管控的阿里雲帳號，威脅分析與響應會自動接入新增帳號對應的雲產品日誌。
說明
僅支援全域帳號管理員在全域帳號視圖下設定自動接入新增帳號。

接入第三方雲產品日誌

如果您的業務同時部署在阿里雲和第三方雲廠商（當前支援華為雲和騰訊雲），並且您需要跨多個雲環境統一管理安全警示，您可以將第三方雲帳號接入到威脅分析與響應服務，實現一站式的警示監控與營運管理。

1. 配置第三方雲平台帳號

華為雲子帳號配置

建立兩個自訂策略siemBasePolicy和siemNormalPolicy。具體操作，請參見建立自訂策略。

說明

華為雲建立自訂策略時，暫不支援同時選擇全域級雲端服務和專案級雲端服務，因此需要拆分為兩條策略，便於授權時設定最小授權範圍。

siemBasePolicy：對應全域級雲端服務許可權。策略配置內容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy：對應專案級雲端服務許可權。策略配置內容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

建立使用者組siemUser和readonlyuser，並為使用者組授予需要的許可權（如下表所示）。具體操作，請參見建立使用者組並授權。

使用者組	需要授與權限
siemUser	自訂策略許可權：siemBasePolicy、siemNormalPolicy
readonlyuser	LTS ReadOnlyAccess：雲Log Service唯讀許可權。 OBS OperateAccess：具有Object Storage Service服務（OBS）查看桶列表、擷取桶中繼資料、列舉桶內對象、查詢桶位置、上傳對象、擷取對象、刪除對象、擷取對象ACL等對象基本操作許可權。 OBS ReadOnlyAccess：只有Object Storage Service服務（OBS）查看桶列表、擷取桶中繼資料、列舉桶內對象、查詢桶位置許可權，無其他許可權。 CFW ReadOnlyAccess：Cloud Firewall服務唯讀許可權。 WAF ReadOnlyAccess：Web Application Firewall唯讀許可權。

建立一個IAM使用者，並將IAM使用者關聯到siemUser使用者組。具體操作，請參見建立IAM使用者。
為IAM使用者建立存取金鑰。具體操作，請參見建立IAM使用者存取金鑰。

騰訊雲子帳號配置

通過策略文法建立一個自訂策略siemPolicy。

siemPolicy策略配置內容如下：

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

建立一個子帳號。具體操作，請參見建立子帳號。
為建立的子帳號關聯siemPolicy策略。具體操作，請參見授權管理。
為子帳號建立存取金鑰。具體操作，請參見子帳號存取金鑰管理。

2. 將待接入的日誌轉儲到指定雲產品

為了實現威脅分析與響應功能，您必須將來自雲產品的日誌資料轉送到對應的雲端服務商提供的儲存或訊息傳遞服務中，例如Object Storage Service服務（OBS, Object Storage Service）和訊息佇列服務（CKafka）。威脅分析與響應能夠從OBS或CKafka等源頭高效地擷取並分析這些日誌。根據日誌的具體類型，對應日誌應被正確分流至相應的儲存類別中，具體操作指南如下：

雲廠商	待接入的雲產品日誌	轉儲目標服務	轉儲配置說明	資料擷取延遲說明
華為雲	Cloud Firewall警示日誌 Web Application Firewall警示日誌	obs	您需要將儲存在Log Service（Log Tank Service，簡稱LTS）中的日誌轉儲到OBS中，具體操作，請參見日誌轉儲至OBS。請按如下說明配置關鍵參數：自訂轉儲路徑：開啟該配置，並將自訂轉儲路徑配置為分鐘級。例如：`/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M` 。轉儲周期：配置為2分鐘。重要請嚴格按照上述說明配置相關參數。威脅分析與響應會在OBS中按照檔案目錄結構來採集資料，如果配置的採集頻率和目錄結構不一致，可能會導致多次拉取重複的資料。不支援接入加密桶中的資料，請勿將日誌轉儲到加密桶中。	威脅分析與響應從OBS中採集的資料是離線資料，因此存在一定的延遲。目前系統內部的工作機制是，資料擷取會滯後於目前時間三個指定的時間周期。假定使用者配置的採集周期為2分鐘，當採集任務在2024年9月10日17:58啟動時，實際擷取的是歸屬於“/2024/09/10/17/52”目錄下的資料，這些資料實際上是3個周期，即6分鐘之前的資料。採用這種設計策略的主要目的是為了確保資料的完整性。通過等待三個周期的時間，可以有效避免因資料寫入操作未完成而導致的不完整或丟失問題，尤其是在處理大量資料寫入的情境下。
騰訊雲	Cloud Firewall警示日誌（僅支援入侵防禦日誌）	ckafka	您需要將入侵防禦日誌投遞到Ckafka topic中。具體操作，請參見日誌投遞。	即時採集，無延遲。
騰訊雲	Web Application Firewall警示日誌	無	威脅分析與響應服務可通過定時（每10分鐘）調用Web Application FirewallAPI的方式採集對應的日誌，無需進行轉儲操作。	資料擷取存在10分鐘以上的延遲。

3. 將第三方雲帳號AK接入威脅分析與響應

您需要將第三方雲帳號AK接入到威脅分析與響應，以便威脅分析與響應可以擷取第三方雲資產的警示日誌。

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
新增第三方雲廠商帳號授權。
Security Center通過第三方雲廠商的帳號AK，擷取第三方雲資產的讀取許可權，並同步第三方雲資產資訊。
1. 在左側導覽列，選擇威脅分析與響應 > 產品接入。
2. 在多雲產品接入地區，移動滑鼠到需要綁定的第三方雲廠商表徵圖，然後單擊接入授權。
3. 在编辑多云配置面板，選擇手动配置方案，然後在权限说明地區選取項目威脅分析，單擊下一步。
4. 在提交AK嚮導頁面，輸入子帳號AK資訊，然後單擊下一步。
5. 在策略配置嚮導頁面，選擇AK服務狀態檢查的周期，然後單擊確定。
綁定第三方雲廠商帳號。
1. 在左側導覽列，選擇威脅分析與響應 > 產品接入。
2. 在多雲產品接入地區，移動滑鼠到需要綁定的第三方雲廠商表徵圖，然後單擊帳號綁定。
3. 在帳號綁定面板，單擊新增。
4. 在帳號綁定設定面板，輸入第三方雲廠商的主帳號名、主帳號ID，並選擇授權的子帳號AK，然後單擊綁定帳號，並前往綁定資料來源。
5. 在資料來源設定面板，設定不同雲產品需要接入的資料來源。
  - 華為云：一個資料來源可接入一個OBS桶中的資料，如需接入多個OBS桶的資料，您需要建立多個資料來源。否則，僅需要建立一個資料來源。
    1. 在資料來源設定-華為雲面板，填寫接入方式、資料來源名稱、所在地區、OBS桶名稱等資訊，單擊儲存資料來源。
    2. 單擊新增日誌類型，選擇需接入的日誌類型並填寫OBS檔案路徑，然後單擊儲存日誌類型。
      OBS檔案路徑中的自訂轉儲路徑需要配置為分鐘級。例如：/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M 。
      在完成一個日誌類型的儲存後，如果需接入的Cloud Firewall和Web Application Firewall日誌均轉儲在當前設定的OBS桶內，您需要單擊新增日誌類型，建立另一個日誌類型的配置。
  - 騰訊云：由於Cloud Firewall警示日誌和Web Application Firewall警示日誌支援的接入方式不同，需同時接入兩種日誌時，您需要為兩種日誌分別建立一個資料來源。下文以為Cloud Firewall警示日誌建立資料來源為例介紹操作步驟，需接入Web Application Firewall警示日誌時，請參考控制台提示配置。
    1. 在資料來源設定-騰訊雲面板，填寫接入方式、資料來源名稱、公網連結、使用者名稱、密碼等資訊，單擊儲存資料來源。
    2. 單擊新增日誌類型，填寫日誌主題、消費組名稱並選擇日誌類型，然後單擊儲存日誌類型。

4. 接入第三方雲產品的日誌

在左側導覽列，選擇威脅分析與響應 > 產品接入。
在產品接入列表，找到需要接入的第三方雲產品，在操作列單擊接入設定。
在接入設定面板，找到需要接入的日誌類型，在已接入帳號列單擊對應的數值。
在接入設定對話方塊，選擇需要接入的帳號，然後單擊確定。
根據實際需要選擇是否開啟自動接入新增帳號。
您可以選擇是否開啟自動接入新增帳號。開啟該功能後，如果有新增接入的第三方雲帳號，威脅分析與響應會自動接入新增帳號對應的雲產品日誌。
說明
僅全域帳號管理員在全域帳號視圖下支援設定自動接入新增帳號。

Security Center：接入雲產品日誌