これにより、リソース全体のアラートとログデータを一元的に監視および分析できます。ログが取り込まれると、Agentic SOC がデータを監視・分析して完全な攻撃チェーンを特定・構築し、詳細なセキュリティイベントを生成することで、アラートの分析と対応の効率を向上させます。
前提条件
-
Agentic SOC が有効化されていること。詳細については、「Agentic SOC (旧称: クラウド脅威検出と対応 (CTDR)) とは」をご参照ください。
-
ログを取り込みたいクラウドサービス (Security Center を除く) に対して Log Service が有効化されていること。詳細については、関連するクラウドサービスの公式ドキュメントをご参照ください。
説明Security Center のログを取り込むために、Security Center のログ分析機能を有効にする必要はありません。
Alibaba Cloud サービスからのログの取り込み
-
現在の Alibaba Cloud アカウント内のクラウドサービスからログを取り込むには、プロダクトアクセス ページでクラウドサービスとログタイプを直接選択します。
-
複数の Alibaba Cloud アカウントのログ収集ポリシーを一元的に設定するには、まずマルチアカウント管理のセットアップを完了します。 次に、グローバル管理者としてコンソールにログインし、プロダクトアクセス ページで グローバルアカウントビュー に切り替え、以下のプロシージャに従います。 マルチアカウント管理の詳細については、「マルチアカウント管理」をご参照ください。
-
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
サービス統合リストで、目的のクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
-
サービス取り込み設定パネルで、目的のログタイプを探し、アクセス済みアカウント 列の番号をクリックします。
一度に複数のアカウントを設定するには、複数のログタイプを選択し、リストの下部にある一括統合ボタンをクリックします。
-
取り込み設定パネルで、統合するアカウントを選択します。
説明個人認証アカウントを使用している場合、[アカウント選択] パネルには現在のアカウントのみが表示されます。グローバル管理者のみが、グローバルアカウントビュー で Agentic SOC が管理するすべてのアカウントから選択できます。
-
Security Center のように、サービス定義の Logstore のみをサポートするクラウドサービスの場合、アカウントを選択するだけで済みます。Logstore を選択する必要はありません。Security Center は自動的にサービス定義の Logstore にログを取り込みます。
-
クラウドサービスがカスタム Logstore を使用する場合、アカウントを選択してから、[Logstore (フォーマット: regionId.project.logStore)] ドロップダウンリストから対応する Logstore を選択するか、カスタム Logstore 名を貼り付ける必要があります。Logstore 名は
regionId.project.logStoreというフォーマットである必要があります。
-
-
必要に応じて新規アカウントへの自動アクセスを有効にします。
新規アカウントへの自動アクセス を有効にすると、新しい Alibaba Cloud アカウントが追加されるたびに、Agentic SOC は対応するログを自動的に取り込みます。
説明グローバルアカウントビューでは、グローバル管理者のみが新規アカウントへの自動アクセスを設定できます。
サードパーティのクラウドサービスからのログの取り込み
ビジネスが Alibaba Cloud とサードパーティのクラウドプラットフォーム (現在は Huawei Cloud と Tencent Cloud をサポート) の両方で運用されており、これらの環境全体でセキュリティアラートを管理する必要がある場合、サードパーティのクラウドアカウントを Agentic SOC に接続できます。これにより、アラートの一元的な監視とセキュリティ運用管理が可能になります。
1. サードパーティアカウントの設定
Huawei Cloud サブアカウント
Tencent Cloud サブアカウント
2. ログをクラウドサービスに転送
脅威の分析と対応を有効にするには、クラウドサービスからベンダーのストレージまたはメッセージングサービス (Object Storage Service (OBS) や CKafka など) にログを転送する必要があります。これにより、Agentic SOC はこれらのログを効率的に取得して分析できます。
|
クラウドプロバイダー |
クラウドサービスログ |
宛先サービス |
転送設定 |
データ収集の遅延 |
|
Huawei Cloud |
|
OBS |
Log Tank Service (LTS) に保存されているログを Object Storage Service (OBS) に転送する必要があります。詳細については、Huawei Cloud ドキュメントの「OBS へのログの転送」をご参照ください。 主要なパラメーターを次のように設定します。
重要
|
OBS から収集されたデータはオフラインであり、多少の遅延が発生します。システムは、データ収集が現在時刻から指定された収集間隔の 3 回分遅れるように設計されています。 たとえば、収集期間が 2 分に設定され、収集タスクが 2024 年 9 月 10 日 17:58 に開始された場合、システムは /2024/09/10/17/52 ディレクトリからデータを取得します。このデータは 6 分前のものであり、3 間隔前のものです。 この設計により、データの整合性が保証されます。3 間隔の遅延は、特に大量のデータが書き込まれるシナリオで、未完了の書き込み操作による不完全なデータやデータ損失を防ぐのに役立ちます。 |
|
Tencent Cloud |
Cloud Firewall アラートログ (侵入防止ログのみサポート) |
CKafka |
侵入防止ログを CKafka トピックに配布する必要があります。詳細については、Tencent Cloud ドキュメントの「ログ配布」をご参照ください。 |
遅延のないリアルタイム収集。 |
|
Web Application Firewall (WAF) アラートログ |
なし |
Agentic SOC は、10 分ごとに WAF API を呼び出してこれらのログを収集します。転送設定は不要です。 |
データ収集には 10 分以上の遅延があります。 |
3. サードパーティの AccessKey の追加
サードパーティのクラウドアカウントの AccessKey ペアを Agentic SOC に追加して、サードパーティのクラウドアセットからのアラートログにアクセスできるようにします。
-
Security Center コンソールにログインします。
-
サードパーティのクラウドプロバイダーアカウントを承認します。
Security Center は、サードパーティアカウントの AccessKey ペアを使用して読み取り権限を取得し、サードパーティクラウドからアセット情報を同期します。
-
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
Multi-cloud Service Access セクションで、目的のサードパーティクラウドプロバイダーのアイコンにカーソルを合わせ、Grant Permission をクリックします。
-
マルチクラウド設定の編集 パネルで、手動設定プラン を選択します。権限について セクションで、脅威の分析と応答 を選択し、次へ をクリックします。
-
SubscriptionId ページで、サブアカウントの AccessKey ペア情報を入力し、次へ をクリックします。
-
ポリシーの設定 ページで、AK サービスのステータスチェック の期間を選択し、OK をクリックします。
-
-
サードパーティのクラウドプロバイダーアカウントを追加します。
-
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
Multi-cloud Service Access セクションで、追加するサードパーティのクラウドプロバイダーのアイコンにカーソルを合わせ、アカウントの関連付け をクリックします。
-
アカウントの関連付け パネルで、新規追加 をクリックします。
-
[アカウント関連付け設定] パネルで、サードパーティクラウドプロバイダーのメインアカウント名と ID を入力し、承認されたサブアカウントの AccessKey ペアを選択し、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。
-
[データソース設定] パネルで、取り込みたいクラウドサービスのデータソースを設定します。
-
Huawei Cloud:1 つのデータソースで 1 つの OBS バケットからデータを取り込むことができます。複数の OBS バケットからデータを取り込むには、複数のデータソースを作成する必要があります。それ以外の場合は、1 つのデータソースを作成するだけで済みます。
-
Huawei Cloud パネルで、Access Method、[データソース名]、リージョン、および [OBS バケット名] の各フィールドに入力し、Save Data Source をクリックします。
-
[ログタイプの追加] をクリックし、取り込む [ログタイプ] を選択し、[OBS ファイルパス] を入力し、Save Log Type をクリックします。
[OBS ファイルパス] フィールドのカスタム転送パスは、分単位の粒度で設定する必要があります。例:
/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%Mログタイプを保存した後、Cloud Firewall と Web Application Firewall の両方のログが同じ OBS バケットに転送される場合は、再度 [ログタイプの追加] をクリックして、もう一方のログタイプの設定を作成する必要があります。
-
-
Tencent Cloud:Cloud Firewall と Web Application Firewall (WAF) のアラートログは、異なる取り込み方法を使用します。両方のログタイプを取り込みたい場合は、それぞれに個別のデータソースを作成する必要があります。以下の手順では、Cloud Firewall のアラートログを例として説明します。WAF のアラートログについては、コンソールのプロンプトに従ってください。
-
データソース設定 - Tencent Cloud パネルで、Access Method、[データソース名]、[パブリックエンドポイント]、Username、および [パスワード] を入力し、Save Data Source をクリックします。
-
[ログタイプの追加] をクリックし、[ログトピック] と [コンシューマーグループ名] フィールドに入力し、[ログタイプ] を選択し、Save Log Type をクリックします。
-
-
-
4. サードパーティのクラウドサービスからのログの取り込み
-
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
サービス統合リストで、統合したいサードパーティのクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。
-
「取り込み設定」パネルで、取り込むログタイプを見つけ、アクセス済みアカウント 列の数字をクリックします。
-
表示されるダイアログボックスで、統合するアカウントを選択し、OK をクリックします。
-
必要に応じて、新規アカウントへの自動アクセス を有効にします。
新規アカウントへの自動アクセス を有効にすると、Agentic SOC は、新しいサードパーティのクラウドアカウントが追加されるたびに、対応するログを自動的に取り込みます。
説明グローバルアカウントビュー で 新規アカウントへの自動アクセス を設定できるのは、グローバル管理者のみです。
リファレンス
-
ログを取り込んだ後、検知ルールを設定して、複数の関連するセキュリティアラートを完全な攻撃チェーンを持つ単一のセキュリティイベントに相関させることができます。これにより、アラートの数が減り、アラートの分析と対応の効率が向上します。詳細については、「脅威検知ルールの設定」をご参照ください。
-
Agentic SOC ダッシュボードを使用して、プラットフォーム、アカウント、サービス全体のセキュリティ体制をデータビジュアライゼーションで一元的に監視し、セキュリティ運用の有効性を評価します。詳細については、「ダッシュボード」をご参照ください。
-
Agentic SOC のログ管理機能を使用して、収集されたすべてのログデータを迅速に参照およびクエリでき、マルチリソース環境でのログ管理を簡素化します。詳細については、「ログ管理」をご参照ください。
-
ログの取り込みに関連する API オペレーションを呼び出して、サービスまたはログ統合のバッチジョブを送信したり、リンクされたクラウドアカウントを表示したりできます。API オペレーションのリストについては、「ログの取り込み」をご参照ください。