すべてのプロダクト
Search
ドキュメントセンター

:クラウドサービスからのログの取り込み

最終更新日:Apr 21, 2026

これにより、リソース全体のアラートとログデータを一元的に監視および分析できます。ログが取り込まれると、Agentic SOC がデータを監視・分析して完全な攻撃チェーンを特定・構築し、詳細なセキュリティイベントを生成することで、アラートの分析と対応の効率を向上させます。

前提条件

  • Agentic SOC が有効化されていること。詳細については、「Agentic SOC (旧称: クラウド脅威検出と対応 (CTDR)) とは」をご参照ください。

  • ログを取り込みたいクラウドサービス (Security Center を除く) に対して Log Service が有効化されていること。詳細については、関連するクラウドサービスの公式ドキュメントをご参照ください。

    説明

    Security Center のログを取り込むために、Security Center のログ分析機能を有効にする必要はありません。

Alibaba Cloud サービスからのログの取り込み

  • 現在の Alibaba Cloud アカウント内のクラウドサービスからログを取り込むには、プロダクトアクセス ページでクラウドサービスとログタイプを直接選択します。

  • 複数の Alibaba Cloud アカウントのログ収集ポリシーを一元的に設定するには、まずマルチアカウント管理のセットアップを完了します。 次に、グローバル管理者としてコンソールにログインし、プロダクトアクセス ページで グローバルアカウントビュー に切り替え、以下のプロシージャに従います。 マルチアカウント管理の詳細については、「マルチアカウント管理」をご参照ください。

  1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。

  2. サービス統合リストで、目的のクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。

  3. サービス取り込み設定パネルで、目的のログタイプを探し、アクセス済みアカウント 列の番号をクリックします。

    一度に複数のアカウントを設定するには、複数のログタイプを選択し、リストの下部にある一括統合ボタンをクリックします。

  4. 取り込み設定パネルで、統合するアカウントを選択します。

    説明

    個人認証アカウントを使用している場合、[アカウント選択] パネルには現在のアカウントのみが表示されます。グローバル管理者のみが、グローバルアカウントビュー で Agentic SOC が管理するすべてのアカウントから選択できます。

    • Security Center のように、サービス定義の Logstore のみをサポートするクラウドサービスの場合、アカウントを選択するだけで済みます。Logstore を選択する必要はありません。Security Center は自動的にサービス定義の Logstore にログを取り込みます。

    • クラウドサービスがカスタム Logstore を使用する場合、アカウントを選択してから、[Logstore (フォーマット: regionId.project.logStore)] ドロップダウンリストから対応する Logstore を選択するか、カスタム Logstore 名を貼り付ける必要があります。Logstore 名は regionId.project.logStore というフォーマットである必要があります。

  5. 必要に応じて新規アカウントへの自動アクセスを有効にします。

    新規アカウントへの自動アクセス を有効にすると、新しい Alibaba Cloud アカウントが追加されるたびに、Agentic SOC は対応するログを自動的に取り込みます。

    説明

    グローバルアカウントビューでは、グローバル管理者のみが新規アカウントへの自動アクセスを設定できます。

サードパーティのクラウドサービスからのログの取り込み

ビジネスが Alibaba Cloud とサードパーティのクラウドプラットフォーム (現在は Huawei Cloud と Tencent Cloud をサポート) の両方で運用されており、これらの環境全体でセキュリティアラートを管理する必要がある場合、サードパーティのクラウドアカウントを Agentic SOC に接続できます。これにより、アラートの一元的な監視とセキュリティ運用管理が可能になります。

1. サードパーティアカウントの設定

Huawei Cloud サブアカウント

  1. siemBasePolicy と siemNormalPolicy の 2 つのカスタムポリシーを作成します。詳細については、Huawei Cloud ドキュメントの「カスタムポリシーの作成」をご参照ください。

    説明

    Huawei Cloud でカスタムポリシーを作成する際、グローバルレベルとプロジェクトレベルのクラウドサービスを同時に選択することはできません。そのため、最小権限の原則に従って権限を付与するには、2 つの別々のポリシーを作成する必要があります。

    • siemBasePolicy:グローバルレベルのクラウドサービスの権限に対応します。ポリシーの内容は次のとおりです。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:roles:listRoles",
                      "iam:roles:getRole",
                      "iam:groups:listGroupsForUser",
                      "iam:groups:listGroups",
                      "iam:users:getUser",
                      "iam:groups:getGroup"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "rms:resources:list",
                      "rms:resources:summarize"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "obs:object:GetObject",
                      "obs:bucket:GetBucketLocation",
                      "obs:bucket:HeadBucket",
                      "obs:object:GetObjectVersionAcl",
                      "obs:bucket:ListAllMyBuckets",
                      "obs:bucket:ListBucket",
                      "obs:object:GetObjectVersion",
                      "obs:object:GetObjectAcl"
                  ]
              }
          ]
      }
    • siemNormalPolicy:プロジェクトレベルのクラウドサービスの権限に対応します。ポリシーの内容は次のとおりです。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "cfw:ipGroup:list",
                      "cfw:acl:list",
                      "cfw:ipMember:put",
                      "cfw:ipMember:create",
                      "cfw:ipGroup:create",
                      "cfw:instance:get",
                      "cfw:ipGroup:put",
                      "cfw:ipMember:list",
                      "cfw:ipGroup:get",
                      "cfw:ipMember:delete"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "waf:whiteBlackIpRule:list",
                      "waf:whiteBlackIpRule:put",
                      "waf:ipgroup:get",
                      "waf:whiteBlackIpRule:get",
                      "waf:ipgroup:list",
                      "waf:whiteBlackIpRule:create",
                      "waf:whiteBlackIpRule:delete"
                  ]
              }
          ]
      }
  2. siemUser と readonlyuser の 2 つのユーザーグループを作成し、以下の表に示す必要な権限を付与します。詳細については、Huawei Cloud ドキュメントの「ユーザーグループの作成と権限の付与」をご参照ください。

    ユーザーグループ

    必要な権限

    siemUser

    カスタムポリシー権限:siemBasePolicy、siemNormalPolicy

    readonlyuser

    • LTS ReadOnlyAccess:Log Tank Service (LTS) の読み取り専用権限を提供します。

    • OBS OperateAccess:Object Storage Service (OBS) の基本的な操作権限を提供します。たとえば、バケットリストの表示、バケットメタデータの取得、オブジェクトのリスト表示、バケットの場所のクエリ、オブジェクトのアップロード、オブジェクトの取得、オブジェクトの削除、オブジェクト ACL の取得などです。

    • OBS ReadOnlyAccess:Object Storage Service (OBS) の読み取り専用権限を提供します。これには、バケットリストの表示、バケットメタデータの取得、オブジェクトのリスト表示、バケットの場所のクエリが含まれます。他の権限は付与されません。

    • CFW ReadOnlyAccess:Cloud Firewall の読み取り専用権限を提供します。

    • WAF ReadOnlyAccess:Web Application Firewall (WAF) の読み取り専用権限を提供します。

  3. IAM ユーザーを作成し、siemUser ユーザーグループに追加します。詳細については、Huawei Cloud ドキュメントの「IAM ユーザーの作成」をご参照ください。

  4. IAM ユーザーの AccessKey ペアを作成します。詳細については、Huawei Cloud ドキュメントの「IAM ユーザーのアクセスキーの作成」をご参照ください。

Tencent Cloud サブアカウント

  1. ポリシー構文を使用して、siemPolicy という名前のカスタムポリシーを作成します。

    siemPolicy のポリシー内容は次のとおりです。

    {
        "statement": [
            {
                "action": [
                    "cfw:DescribeAclApiDispatch",
                    "cfw:DescribeBorderACLList",
                    "cfw:CreateAcRules"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "waf:DescribeDomains",
                    "waf:DescribeIpAccessControl",
                    "waf:DeleteIpAccessControl",
                    "waf:UpsertIpAccessControl",
                    "waf:PostAttackDownloadTask"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "ckafka:DescribeDatahubGroupOffsets",
                    "ckafka:DescribeGroup",
                    "ckafka:DescribeGroupInfo",
                    "ckafka:DescribeGroupOffsets",
                    "ckafka:CreateDatahubGroup",
                    "ckafka:ModifyDatahubGroupOffsets",
                    "ckafka:ListConsumerGroup"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            },
            {
                "action": [
                    "cam:GetUser",
                    "cam:CheckSubAccountName",
                    "cam:CheckUserPolicyAttachment",
                    "cam:GetAccountSummary",
                    "cam:GetPolicy",
                    "cam:GetPolicyVersion",
                    "cam:ListAllGroupsPolicies",
                    "cam:ListAttachedGroupPolicies",
                    "cam:ListAttachedRolePolicies",
                    "cam:ListAttachedUserAllPolicies",
                    "cam:ListAttachedUserPolicies",
                    "cam:ListGroupsPolicies",
                    "cam:ListPolicies",
                    "cam:ListUsers"
                ],
                "effect": "allow",
                "resource": [
                    "*"
                ]
            }
        ],
        "version": "2.0"
    }
  2. サブアカウントを作成します。詳細については、Tencent Cloud ドキュメントの「サブアカウントの作成」をご参照ください。

  3. 作成したサブアカウントに siemPolicy ポリシーをアタッチします。詳細については、Tencent Cloud ドキュメントの「権限管理」をご参照ください。

  4. サブアカウントの AccessKey ペアを作成します。詳細については、Tencent Cloud ドキュメントの「サブアカウントのアクセスキー管理」をご参照ください。

2. ログをクラウドサービスに転送

脅威の分析と対応を有効にするには、クラウドサービスからベンダーのストレージまたはメッセージングサービス (Object Storage Service (OBS) や CKafka など) にログを転送する必要があります。これにより、Agentic SOC はこれらのログを効率的に取得して分析できます。

クラウドプロバイダー

クラウドサービスログ

宛先サービス

転送設定

データ収集の遅延

Huawei Cloud

  • Cloud Firewall アラートログ

  • Web Application Firewall (WAF) アラートログ

OBS

Log Tank Service (LTS) に保存されているログを Object Storage Service (OBS) に転送する必要があります。詳細については、Huawei Cloud ドキュメントの「OBS へのログの転送」をご参照ください。

主要なパラメーターを次のように設定します。

  • カスタム転送パス:このオプションを有効にし、パスを分単位の粒度で設定します。例:/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M

  • 転送期間:2 分に設定します。

重要
  • これらのパラメーターは、説明どおりに正確に設定する必要があります。Agentic SOC は、ファイルディレクトリ構造に基づいて OBS からデータを収集します。収集周波数とディレクトリ構造が一致しない場合、Agentic SOC が重複データをプルする可能性があります。

  • Agentic SOC は暗号化されたバケットからデータを取り込むことはできないため、ログを暗号化されたバケットに転送しないでください。

OBS から収集されたデータはオフラインであり、多少の遅延が発生します。システムは、データ収集が現在時刻から指定された収集間隔の 3 回分遅れるように設計されています。

たとえば、収集期間が 2 分に設定され、収集タスクが 2024 年 9 月 10 日 17:58 に開始された場合、システムは /2024/09/10/17/52 ディレクトリからデータを取得します。このデータは 6 分前のものであり、3 間隔前のものです。

この設計により、データの整合性が保証されます。3 間隔の遅延は、特に大量のデータが書き込まれるシナリオで、未完了の書き込み操作による不完全なデータやデータ損失を防ぐのに役立ちます。

Tencent Cloud

Cloud Firewall アラートログ (侵入防止ログのみサポート)

CKafka

侵入防止ログを CKafka トピックに配布する必要があります。詳細については、Tencent Cloud ドキュメントの「ログ配布」をご参照ください。

遅延のないリアルタイム収集。

Web Application Firewall (WAF) アラートログ

なし

Agentic SOC は、10 分ごとに WAF API を呼び出してこれらのログを収集します。転送設定は不要です。

データ収集には 10 分以上の遅延があります。

3. サードパーティの AccessKey の追加

サードパーティのクラウドアカウントの AccessKey ペアを Agentic SOC に追加して、サードパーティのクラウドアセットからのアラートログにアクセスできるようにします。

  1. Security Center コンソールにログインします。

  2. サードパーティのクラウドプロバイダーアカウントを承認します。

    Security Center は、サードパーティアカウントの AccessKey ペアを使用して読み取り権限を取得し、サードパーティクラウドからアセット情報を同期します。

    1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。

    2. Multi-cloud Service Access セクションで、目的のサードパーティクラウドプロバイダーのアイコンにカーソルを合わせ、Grant Permission をクリックします。

    3. マルチクラウド設定の編集 パネルで、手動設定プラン を選択します。権限について セクションで、脅威の分析と応答 を選択し、次へ をクリックします。

    4. SubscriptionId ページで、サブアカウントの AccessKey ペア情報を入力し、次へ をクリックします。

    5. ポリシーの設定 ページで、AK サービスのステータスチェック の期間を選択し、OK をクリックします。

  3. サードパーティのクラウドプロバイダーアカウントを追加します。

    1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。

    2. Multi-cloud Service Access セクションで、追加するサードパーティのクラウドプロバイダーのアイコンにカーソルを合わせ、アカウントの関連付け をクリックします。

    3. アカウントの関連付け パネルで、新規追加 をクリックします。

    4. [アカウント関連付け設定] パネルで、サードパーティクラウドプロバイダーのメインアカウント名と ID を入力し、承認されたサブアカウントの AccessKey ペアを選択し、アカウントを関連付け、[データソースの関連付け] に移動します をクリックします。

    5. [データソース設定] パネルで、取り込みたいクラウドサービスのデータソースを設定します。

      • Huawei Cloud:1 つのデータソースで 1 つの OBS バケットからデータを取り込むことができます。複数の OBS バケットからデータを取り込むには、複数のデータソースを作成する必要があります。それ以外の場合は、1 つのデータソースを作成するだけで済みます。

        1. Huawei Cloud パネルで、Access Method[データソース名]リージョン、および [OBS バケット名] の各フィールドに入力し、Save Data Source をクリックします。

        2. [ログタイプの追加] をクリックし、取り込む [ログタイプ] を選択し、[OBS ファイルパス] を入力し、Save Log Type をクリックします。

          [OBS ファイルパス] フィールドのカスタム転送パスは、分単位の粒度で設定する必要があります。例:/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M

          ログタイプを保存した後、Cloud Firewall と Web Application Firewall の両方のログが同じ OBS バケットに転送される場合は、再度 [ログタイプの追加] をクリックして、もう一方のログタイプの設定を作成する必要があります。

      • Tencent Cloud:Cloud Firewall と Web Application Firewall (WAF) のアラートログは、異なる取り込み方法を使用します。両方のログタイプを取り込みたい場合は、それぞれに個別のデータソースを作成する必要があります。以下の手順では、Cloud Firewall のアラートログを例として説明します。WAF のアラートログについては、コンソールのプロンプトに従ってください。

        1. データソース設定 - Tencent Cloud パネルで、Access Method[データソース名][パブリックエンドポイント]Username、および [パスワード] を入力し、Save Data Source をクリックします。

        2. [ログタイプの追加] をクリックし、[ログトピック][コンシューマーグループ名] フィールドに入力し、[ログタイプ] を選択し、Save Log Type をクリックします。

4. サードパーティのクラウドサービスからのログの取り込み

  1. 左側のナビゲーションウィンドウで、脅威の分析と応答 > 管理 > Integration Settings を選択します。コンソールの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。

  2. サービス統合リストで、統合したいサードパーティのクラウドサービスを見つけ、操作する 列の アクセス設定 をクリックします。

  3. 「取り込み設定」パネルで、取り込むログタイプを見つけ、アクセス済みアカウント 列の数字をクリックします。

  4. 表示されるダイアログボックスで、統合するアカウントを選択し、OK をクリックします。

  5. 必要に応じて、新規アカウントへの自動アクセス を有効にします。

    新規アカウントへの自動アクセス を有効にすると、Agentic SOC は、新しいサードパーティのクラウドアカウントが追加されるたびに、対応するログを自動的に取り込みます。

    説明

    グローバルアカウントビュー新規アカウントへの自動アクセス を設定できるのは、グローバル管理者のみです。

リファレンス