同一アカウント、他アカウント、およびサードパーティのクラウドアカウントからクラウドサービスログを収集 -

Agentic SOC を有効化すると、ご利用の Alibaba Cloud アカウント、他の Alibaba Cloud アカウント、およびサードパーティのクラウドプロバイダーからクラウドサービスログを収集できます。これにより、すべてのリソースにわたるセキュリティアラートおよびログを一元的にモニタリングおよび分析できます。ログを収集した後、Agentic SOC は収集されたデータをモニタリングおよび分析し、完全な攻撃チェーンを特定・構築して、詳細なセキュリティイベントを生成します。これにより、アラートの分析および応答効率が向上します。

前提条件

Agentic SOC が有効化されています。詳細については、「Agentic SOC とは？」をご参照ください。
収集対象のクラウドサービスで Simple Log Service が有効化されています。ただし、Security Center はこの要件の対象外です。詳細については、該当するクラウドサービスの公式ドキュメントをご参照ください。
説明
Security Center のログを収集する場合、ログ分析機能を有効化する必要はありません。

Alibaba Cloud サービスからのログ収集

現在の Alibaba Cloud アカウント内のクラウドサービスからログを収集するには、プロダクトアクセスページで、直接対象のクラウドサービスおよびログタイプを選択します。
複数の Alibaba Cloud アカウントに対して統一的なログ収集ポリシーを設定するには、まずマルチアカウント構造を設定する必要があります。その後、グローバルアカウント管理者としてコンソールにログインし、プロダクトアクセスページの グローバルアカウントビューに切り替え、以下の手順に従います。マルチアカウント管理の詳細については、「マルチアカウント管理」をご参照ください。

左側ナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、ご利用のリソースが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
サービス統合リストで、統合対象のクラウドサービスを見つけ、操作する列の アクセス設定 をクリックします。
サービス収集設定パネルで、収集対象のログタイプを見つけ、アクセス済みアカウント列の数字をクリックします。
また、複数のログタイプを選択して、リスト下部の一括収集ボタンをクリックすることで、収集対象アカウントを一括で設定することもできます。
収集設定パネルで、ログを収集するアカウントを選択します。
説明
個人実名登録済みアカウントを使用している場合、アカウントの選択パネルには現在のアカウントのみが表示されます。グローバルアカウントビューを使用するグローバルアカウント管理者のみが、Agentic SOC によって管理されるすべてのアカウントから選択できます。
- Security Center などのクラウドサービスで、製品定義のログストアのみがサポートされている場合は、アカウントを選択するだけで十分です。Security Center は自動的に定義済みログストアにログを収集します。
- カスタムログストアを使用するクラウドサービスでは、アカウントを選択した後、ログストア（形式：regionId.project.logstore）のドロップダウンリストから対応するログストアを選択するか、カスタムログストアの名前を貼り付けます。ログストア名は regionId.project.logstore の形式である必要があります。
必要に応じて、新規アカウントへの自動アクセスを有効化します。
新規アカウントへの自動アクセスを有効化するかどうかを選択できます。この機能を有効化すると、脅威分析および応答が新たに管理対象となった Alibaba Cloud アカウントのクラウドサービスログを自動的に収集します。
説明
グローバルアカウントビューを使用するグローバルアカウント管理者のみが、新規アカウントへの自動アクセスオプションを設定できます。

サードパーティのクラウドサービスからのログ収集

ビジネスが Alibaba Cloud と Huawei Cloud や Tencent Cloud などの他のプラットフォームで運用されている場合、サードパーティのクラウドアカウントを Agentic SOC と統合することで、すべての環境にわたるセキュリティアラートを一元的に管理できます。これにより、アラートモニタリングおよびセキュリティ運用のための統合ソリューションが提供されます。

1. サードパーティのクラウドプラットフォームアカウントの構成

Huawei Cloud サブアカウント

2 つのカスタムポリシー：siemBasePolicy および siemNormalPolicy を作成します。詳細については、Huawei Cloud のカスタムポリシーの作成に関するドキュメントをご参照ください。

説明

Huawei Cloud でカスタムポリシーを作成する際、グローバルレベルおよびプロジェクトレベルのクラウドサービスを同時に選択することはできません。そのため、権限付与時に最小権限の原則を適用するために、2 つの別個のポリシーを作成する必要があります。

siemBasePolicy：グローバルレベルのクラウドサービスに対する権限を付与します。ポリシーの内容は以下のとおりです：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy：プロジェクトレベルのクラウドサービスに対する権限を付与します。ポリシーの内容は以下のとおりです：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

2 つのユーザーグループ：siemUser および readonlyuser を作成し、下記の表に示す必要な権限を付与します。詳細については、Huawei Cloud のユーザーグループの作成および権限の付与に関するドキュメントをご参照ください。

ユーザーグループ	必要な権限
`siemUser`	カスタムポリシー権限：`siemBasePolicy`、`siemNormalPolicy`
`readonlyuser`	LTS ReadOnlyAccess：Log Tank Service (LTS) への読み取り専用アクセス。 OBS OperateAccess：Object Storage Service (OBS) に対する基本的な運用権限（バケット一覧の表示、バケットメタデータの取得、バケット内のオブジェクト一覧の表示、バケットの場所の照会、オブジェクトのアップロード、オブジェクトの取得、オブジェクトの削除、オブジェクト ACL の取得など）。 OBS ReadOnlyAccess：Object Storage Service (OBS) への読み取り専用アクセス（バケット一覧の表示、バケットメタデータの取得、バケット内のオブジェクト一覧の表示、およびバケットの場所の照会に限定）。 CFW ReadOnlyAccess：Cloud Firewall への読み取り専用アクセス。 WAF ReadOnlyAccess：Web Application Firewall (WAF) への読み取り専用アクセス。

IAM ユーザーを作成し、siemUser ユーザーグループに追加します。詳細については、Huawei Cloud のIAM ユーザーの作成に関するドキュメントをご参照ください。
IAM ユーザーのアクセスキーを作成します。詳細については、Huawei Cloud のIAM ユーザーのアクセスキーの作成に関するドキュメントをご参照ください。

Tencent Cloud サブアカウント

ポリシーシンタックスを使用して、siemPolicy という名前のカスタムポリシーを作成します。

ポリシーの内容は以下のとおりです：

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

サブアカウントを作成します。詳細については、Tencent Cloud のサブアカウントの作成に関するドキュメントをご参照ください。
作成したサブアカウントに siemPolicy ポリシーをアタッチします。詳細については、Tencent Cloud の権限管理に関するドキュメントをご参照ください。
サブアカウントのアクセスキーを作成します。詳細については、Tencent Cloud のサブアカウントのアクセスキーの管理に関するドキュメントをご参照ください。

2. ログを指定されたクラウドサービスへ転送

脅威分析および応答を有効化するには、クラウドサービスのログを、クラウドベンダーが提供する指定されたストレージまたはメッセージングサービス（例：Object Storage Service (OBS) や Ckafka）へ転送する必要があります。Agentic SOC は、そのソースからこれらのログを効率的に取得および分析できます。ログは、そのタイプに応じて適切なストレージにルーティングする必要があります。以下のガイドラインに従ってください。

クラウドプロバイダー	ログタイプ	宛先サービス	構成手順	データ収集遅延
Huawei Cloud	Cloud Firewall のアラートログ Web Application Firewall (WAF) のアラートログ	OBS	Log Tank Service (LTS) に保存されたログを OBS へ転送します。詳細については、「OBS へのログ転送」をご参照ください。以下のキーパラメーターを構成します：カスタム転送パス：このオプションを有効化し、分単位の粒度でパスを構成します。例：`/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M`。転送期間：2 分に設定します。重要これらのパラメーターを正確に上記の通り構成してください。Agentic SOC は、ファイルディレクトリ構造に基づいて OBS からデータを収集します。収集頻度とディレクトリ構造が一致しない場合、重複したデータ収集が発生する可能性があります。暗号化されたバケット内のデータは収集できません。ログを暗号化されたバケットへ転送しないでください。	Agentic SOC は OBS からオフラインでデータを収集するため、若干の遅延が発生します。システムは、現在時刻より3 回分の収集サイクル前のデータを収集するように設計されています。たとえば、収集サイクルが 2 分であり、タスクが 2024 年 9 月 10 日 17:58 に開始された場合、システムは /2024/09/10/17/52 ディレクトリからデータを取得します。これは 6 分前（3 サイクル前）のデータです。この設計により、書き込み操作が完了するのに十分な時間が確保され、データ整合性が保証されます。特に大量のデータを扱うシナリオにおいて、不完全なデータ収集を防ぐことができます。
Tencent Cloud	Cloud Firewall のアラートログ（侵入防止ログのみ対応）	Ckafka	侵入防止ログを Ckafka のトピックへ送信します。詳細については、「ログ送信」をご参照ください。	リアルタイム収集で遅延はありません。
Tencent Cloud	Web Application Firewall (WAF) のアラートログ	なし	Agentic SOC は、Web Application Firewall (WAF) API を 10 分ごとに呼び出してこれらのログを収集します。転送構成は不要です。	データ収集には 10 分以上の遅延があります。

3. サードパーティのクラウドアカウント AK を脅威分析および応答に追加

サードパーティのクラウドアカウントのアクセスキーを Agentic SOC に追加します。これにより、Agentic SOC がサードパーティのクラウド資産からアラートログを取得できるようになります。

Security Center コンソールにログインします。
サードパーティのクラウドアカウントへのアクセス権限を付与します。
Security Center は、サードパーティアカウントのアクセスキーを使用して読み取り権限を取得し、サードパーティのクラウドから資産情報を同期します。
1. 左側ナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、ご利用のリソースが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
2. Multi-cloud Service Accessセクションで、統合対象のサードパーティクラウドプロバイダーのアイコンにマウスを合わせ、Grant Permission をクリックします。
3. マルチクラウド設定の編集パネルで、手動設定プラン を選択します。権限についてセクションで、脅威の分析と応答 を選択し、次へをクリックします。
4. SubscriptionIdページで、サブアカウントの AccessKey 情報を入力し、次へをクリックします。
5. ポリシーの設定ページで、AK サービスのステータスチェックの期間を選択し、OK をクリックします。
サードパーティのクラウドアカウントをバインドします。
1. 左側ナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、ご利用のリソースが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
2. Multi-cloud Service Accessセクションで、バインド対象のサードパーティクラウドプロバイダーのアイコンにマウスを合わせ、アカウントの関連付け をクリックします。
3. アカウントの関連付けパネルで、新規追加 をクリックします。
4. アカウント関連付け設定パネルで、サードパーティクラウドプロバイダーのメインアカウント名および ID を入力し、承認済みサブアカウントのアクセスキーを選択して、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。
5. データソース設定パネルで、統合対象のクラウドサービスのデータソースを構成します。
  - Huawei Cloud：単一のデータソースは 1 つの OBS バケットからのデータ収集のみをサポートします。複数の OBS バケットからデータを収集する必要がある場合は、複数のデータソースを作成する必要があります。それ以外の場合は、単一のデータソースで十分です。
    1. Huawei Cloudパネルで、Access Method、データソース名、リージョン、および バケット名 を入力し、Save Data Source をクリックします。
    2. ログタイプの追加 をクリックし、収集対象の ログタイプ を選択し、OBS ファイルパス を指定して、Save Log Type をクリックします。
      OBS ファイルパス 内のカスタム転送パスは、分単位の粒度で構成する必要があります。例：/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M。
      ログタイプを保存した後、Cloud Firewall および Web Application Firewall (WAF) のログが同じ OBS バケットに保存されている場合は、もう一度 ログタイプの追加 をクリックして、別のログタイプの構成を作成する必要があります。
  - Tencent Cloud：Cloud Firewall および Web Application Firewall (WAF) のアラートログは異なる収集方法を使用するため、両方のログタイプを収集したい場合は、それぞれに個別のデータソースを作成する必要があります。以下は Cloud Firewall のアラートログの例です。Web Application Firewall (WAF) のログを収集する場合は、コンソール内の手順に従ってください。
    1. データソース設定 - Tencent Cloudパネルで、Access Method、データソース名、インターネット URL、Username、および パスワード を入力し、Save Data Source をクリックします。
    2. ログタイプの追加 をクリックし、ログトピック および コンシューマーグループ名 を入力し、ログタイプ を選択して、Save Log Type をクリックします。

4. サードパーティのクラウドサービスからのログ収集

左側ナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、ご利用のリソースが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
サービス統合リストで、統合対象のサードパーティのクラウドサービスを見つけ、操作する列の アクセス設定 をクリックします。
収集設定パネルで、収集対象のログタイプを見つけ、アクセス済みアカウント列の数字をクリックします。
収集設定ダイアログボックスで、収集元のアカウントを選択し、OK をクリックします。
必要に応じて、新規アカウントへの自動アクセス を有効化します。
新規アカウントへの自動アクセス を有効化するかどうかを選択できます。この機能を有効化すると、脅威分析および応答が新規のサードパーティクラウドアカウントのクラウドサービスログを自動的に統合します。
説明
グローバルアカウントビューを使用するグローバルアカウント管理者のみが、新規アカウントへの自動アクセスオプションを設定できます。

:クラウドサービスログの収集