全部产品
Search
文档中心

云安全中心:接入云产品日志

更新时间:Sep 18, 2024

开通威胁分析与响应后,您可以接入同账号、跨账号和第三方云账号的云产品日志,实现跨资源告警和日志数据的统一监管与分析。接入日志后,威胁分析与响应会监控和分析采集到的日志,识别并构建出完整的攻击链路,从而形成详细的安全事件,提升您的告警分析和处理效率。

前提条件

  • 已开通威胁分析与响应服务。具体操作,请参见购买及开通威胁分析与响应

  • 需要接入威胁分析与响应的云产品(不包括云安全中心)已开通日志服务。具体操作,请参见云产品对应的官网文档

    说明

    接入云安全中心日志时,无需开通云安全中心日志分析服务。

接入阿里云云产品日志

  • 需要接入当前阿里云账号下的云产品日志时,您可以直接在产品接入页面选择需要接入的云产品和日志类型。

  • 需要统一配置多个阿里云账号下的日志接入策略时,您需要完成多账号体系设置,并使用全局账号管理员登录控制台,在产品接入页面切换到全局账号视图下,参考下述操作进行接入设置。多账号统一管理的具体操作,请参见多账号统一管理

  1. 在左侧导航栏,选择威胁分析与响应 > 产品接入

  2. 在产品接入列表,找到需要接入的云产品,在操作列单击接入设置

  3. 在云产品接入设置面板,找到需要接入的日志类型,单击已接入账号列下的数字。

    选中多个日志类型,单击列表下方的批量接入按钮,可以批量设置需接入的账号。

  4. 在接入设置面板,选择需要接入的账号。

    说明

    如果您使用的是个人实名认证账号,则选择账号面板仅显示您当前的账号。仅全局账号管理员在全局账号视图下,可以选择接入威胁分析管控的账号。

    • 如果云产品只支持使用产品定义的LogStore(例如云安全中心),您只需选中账号,无需选择LogStore,云安全中心会自动接入产品定义的LogStore。

    • 如果云产品接入了自定义的Logstore,您需要在选中账号后,在LogStore(格式:regionId.project.logStore)下拉列表选择对应的LogStore或将自定义的LogStore名称复制到此处。LogStore的填写格式为regionId.project.logStore

  5. 根据实际需要选择是否开启自动接入新增账号

    您可以选择是否开启自动接入新增账号。开启该功能后,如果有新接入管控的阿里云账号,威胁分析与响应会自动接入新增账号对应的云产品日志。

    说明

    仅支持全局账号管理员在全局账号视图下设置自动接入新增账号

接入第三方云产品日志

如果您的业务同时部署在阿里云和第三方云厂商(当前支持华为云和腾讯云),并且您需要跨多个云环境统一管理安全告警,您可以将第三方云账号接入到威胁分析与响应服务,实现一站式的告警监控与运营管理。

1. 配置第三方云平台账号

华为云子账号配置

  1. 创建两个自定义策略siemBasePolicy和siemNormalPolicy。具体操作,请参见创建自定义策略

    说明

    华为云创建自定义策略时,暂不支持同时选择全局级云服务和项目级云服务,因此需要拆分为两条策略,便于授权时设置最小授权范围。

    • siemBasePolicy:对应全局级云服务权限。策略配置内容如下:

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:roles:listRoles",
                      "iam:roles:getRole",
                      "iam:groups:listGroupsForUser",
                      "iam:groups:listGroups",
                      "iam:users:getUser",
                      "iam:groups:getGroup"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "rms:resources:list",
                      "rms:resources:summarize"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "obs:object:GetObject",
                      "obs:bucket:GetBucketLocation",
                      "obs:bucket:HeadBucket",
                      "obs:object:GetObjectVersionAcl",
                      "obs:bucket:ListAllMyBuckets",
                      "obs:bucket:ListBucket",
                      "obs:object:GetObjectVersion",
                      "obs:object:GetObjectAcl"
                  ]
              }
          ]
      }
    • siemNormalPolicy:对应项目级云服务权限。策略配置内容如下:

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "cfw:ipGroup:list",
                      "cfw:acl:list",
                      "cfw:ipMember:put",
                      "cfw:ipMember:create",
                      "cfw:ipGroup:create",
                      "cfw:instance:get",
                      "cfw:ipGroup:put",
                      "cfw:ipMember:list",
                      "cfw:ipGroup:get",
                      "cfw:ipMember:delete"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "waf:whiteBlackIpRule:list",
                      "waf:whiteBlackIpRule:put",
                      "waf:ipgroup:get",
                      "waf:whiteBlackIpRule:get",
                      "waf:ipgroup:list",
                      "waf:whiteBlackIpRule:create",
                      "waf:whiteBlackIpRule:delete"
                  ]
              }
          ]
      }
  2. 创建用户组siemUser和readonlyuser,并为用户组授予需要的权限(如下表所示)。具体操作,请参见创建用户组并授权

    用户组

    需要授予的权限

    siemUser

    自定义策略权限:siemBasePolicy、siemNormalPolicy

    readonlyuser

    • LTS ReadOnlyAccess:云日志服务只读权限。

    • OBS OperateAccess:具有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限。

    • OBS ReadOnlyAccess:只有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限,无其他权限。

    • CFW ReadOnlyAccess:云防火墙服务只读权限。

    • WAF ReadOnlyAccess:Web应用防火墙只读权限。

  3. 创建一个IAM用户,并将IAM用户关联到siemUser用户组。具体操作,请参见创建IAM用户

  4. 为IAM用户创建访问密钥。具体操作,请参见创建IAM用户访问密钥

腾讯云子账号配置

  1. 通过策略语法创建一个自定义策略siemPolicy。

    siemPolicy策略配置内容如下:

    {
        "statement": [
            {
                "action": [
                    "cfw:DescribeAclApiDispatch",
                    "cfw:DescribeBorderACLList",
                    "cfw:CreateAcRules"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "waf:DescribeDomains",
                    "waf:DescribeIpAccessControl",
                    "waf:DeleteIpAccessControl",
                    "waf:UpsertIpAccessControl",
                    "waf:PostAttackDownloadTask"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "ckafka:DescribeDatahubGroupOffsets",
                    "ckafka:DescribeGroup",
                    "ckafka:DescribeGroupInfo",
                    "ckafka:DescribeGroupOffsets",
                    "ckafka:CreateDatahubGroup",
                    "ckafka:ModifyDatahubGroupOffsets",
                    "ckafka:ListConsumerGroup"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "cam:GetUser",
                    "cam:CheckSubAccountName",
                    "cam:CheckUserPolicyAttachment",
                    "cam:GetAccountSummary",
                    "cam:GetPolicy",
                    "cam:GetPolicyVersion",
                    "cam:ListAllGroupsPolicies",
                    "cam:ListAttachedGroupPolicies",
                    "cam:ListAttachedRolePolicies",
                    "cam:ListAttachedUserAllPolicies",
                    "cam:ListAttachedUserPolicies",
                    "cam:ListGroupsPolicies",
                    "cam:ListPolicies",
                    "cam:ListUsers"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            }
        ],
        "version": "2.0"
    }
  2. 创建一个子账号。具体操作,请参见新建子账号

  3. 为创建的子账号关联siemPolicy策略。具体操作,请参见授权管理

  4. 为子账号创建访问密钥。具体操作,请参见子账号访问密钥管理

2. 将待接入的日志转储到指定云产品

为了实现威胁分析与响应功能,您必须将来自云产品的日志数据传输到对应的云服务商提供的存储或消息传递服务中,例如对象存储服务(OBS, Object Storage Service)和消息队列服务(CKafka)。威胁分析与响应能够从OBS或CKafka等源头高效地获取并分析这些日志。根据日志的具体类型,对应日志应被正确分流至相应的存储类别中,具体操作指南如下:

云厂商

待接入的云产品日志

转储目标服务

转储配置说明

数据采集延迟说明

华为云

  • 云防火墙告警日志

  • Web应用防火墙告警日志

obs

您需要将存储在日志服务(Log Tank Service,简称LTS)中的日志转储到OBS中,具体操作,请参见日志转储至OBS

请按如下说明配置关键参数:

  • 自定义转储路径:开启该配置,并将自定义转储路径配置为分钟级。例如:/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M

  • 转储周期:配置为2分钟。

重要
  • 请严格按照上述说明配置相关参数。威胁分析与响应会在OBS中按照文件目录结构来采集数据,如果配置的采集频率和目录结构不一致,可能会导致多次拉取重复的数据。

  • 不支持接入加密桶中的数据,请勿将日志转储到加密桶中。

威胁分析与响应从OBS中采集的数据是离线数据,因此存在一定的延迟。目前系统内部的工作机制是,数据采集会滞后于当前时间三个指定的时间周期

假定用户配置的采集周期为2分钟,当采集任务在2024年9月10日17:58启动时,实际获取的是归属于“/2024/09/10/17/52”目录下的数据,这些数据实际上是3个周期,即6分钟之前的数据。

采用这种设计策略的主要目的是为了确保数据的完整性。通过等待三个周期的时间,可以有效避免因数据写入操作未完成而导致的不完整或丢失问题,尤其是在处理大量数据写入的场景下。

腾讯云

云防火墙告警日志(仅支持入侵防御日志)

ckafka

您需要将入侵防御日志投递到Ckafka topic中。具体操作,请参见日志投递

实时采集,无延迟。

Web应用防火墙告警日志

威胁分析与响应服务可通过定时(每10分钟)调用Web应用防火墙API的方式采集对应的日志,无需进行转储操作。

数据采集存在10分钟以上的延迟。

3. 将第三方云账号AK接入威胁分析与响应

您需要将第三方云账号AK接入到威胁分析与响应,以便威胁分析与响应可以获取第三方云资产的告警日志。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 新增第三方云厂商账号授权。

    云安全中心通过第三方云厂商的账号AK,获取第三方云资产的读取权限,并同步第三方云资产信息。

    1. 在左侧导航栏,选择威胁分析与响应 > 产品接入

    2. 多云产品接入区域,移动鼠标到需要绑定的第三方云厂商图标,然后单击接入授权

      image

    3. 编辑多云配置面板,选择手动配置方案,然后在权限说明区域选择威胁分析,单击下一步

    4. 提交AK向导页面,输入子账号AK信息,然后单击下一步

    5. 策略配置向导页面,选择AK服务状态检查的周期,然后单击确定

  3. 绑定第三方云厂商账号。

    1. 在左侧导航栏,选择威胁分析与响应 > 产品接入

    2. 多云产品接入区域,移动鼠标到需要绑定的第三方云厂商图标,然后单击账号绑定

      image

    3. 账号绑定面板,单击新增

    4. 账号绑定设置面板,输入第三方云厂商的主账号名、主账号ID,并选择授权的子账号AK,然后单击绑定账号,并前往绑定数据源

    5. 数据源设置面板,设置不同云产品需要接入的数据源。

      • 华为云:一个数据源可接入一个OBS桶中的数据,如需接入多个OBS桶的数据,您需要创建多个数据源。否则,仅需要创建一个数据源。

        1. 数据源设置-华为云面板,填写接入方式数据源名称所在区域OBS桶名称等信息,单击保存数据源

          image

        2. 单击新增日志类型,选择需接入的日志类型并填写OBS文件路径,然后单击保存日志类型

          OBS文件路径中的自定义转储路径需要配置为分钟级。例如:/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M

          在完成一个日志类型的保存后,如果需接入的云防火墙和Web应用防火墙日志均转储在当前设置的OBS桶内,您需要单击新增日志类型,创建另一个日志类型的配置。

          image

      • 腾讯云:由于云防火墙告警日志和Web应用防火墙告警日志支持的接入方式不同,需同时接入两种日志时,您需要为两种日志分别创建一个数据源。下文以为云防火墙告警日志创建数据源为例介绍操作步骤,需接入Web应用防火墙告警日志时,请参考控制台提示配置。

        1. 数据源设置-腾讯云面板,填写接入方式数据源名称公网链接用户名密码等信息,单击保存数据源

          image

        2. 单击新增日志类型,填写日志主题消费组名称并选择日志类型,然后单击保存日志类型

          image

4. 接入第三方云产品的日志

  1. 在左侧导航栏,选择威胁分析与响应 > 产品接入

  2. 在产品接入列表,找到需要接入的第三方云产品,在操作列单击接入设置

  3. 在接入设置面板,找到需要接入的日志类型,在已接入账号列单击对应的数值。

  4. 在接入设置对话框,选择需要接入的账号,然后单击确定

  5. 根据实际需要选择是否开启自动接入新增账号

    您可以选择是否开启自动接入新增账号。开启该功能后,如果有新增接入的第三方云账号,威胁分析与响应会自动接入新增账号对应的云产品日志。

    说明

    仅全局账号管理员在全局账号视图下支持设置自动接入新增账号

相关文档