Cloud Threat Detection and Response(CTDR)機能は、ログ管理機能を提供します。この機能を使用すると、機能に追加されたクラウドサービスのログを保存およびクエリできます。この機能は、アラートを正確に特定し、攻撃元を追跡して潜在的な脅威への対応効率を向上させ、環境全体のログ管理を簡素化し、防御システム全体を強化するのに役立ちます。この機能は、サイバーセキュリティ法および多層防御スキーム(MLPS)2.0 標準に準拠しています。このトピックでは、ログ管理機能の使用方法について説明します。
機能の仕組み
CTDR 機能と Simple Log Service は共同でログ管理機能を立ち上げ、さまざまなクラウドプラットフォーム、アカウント、およびクラウド サービスのログに対して一元化されたログ ストレージおよび分析機能を提供します。
CTDR 機能のログ ストレージ容量を購入すると、機能は自動的に aliyun-cloudsiem-data-Alibaba Cloud アカウント ID-リージョン ID という名前のプロジェクトと、Simple Log Service コンソールに cloud_siem という名前の専用ログストアを作成して、機能によって収集されたすべてのログを保存します。 CTDR 機能のログ ストレージ リージョンは、セキュリティセンター コンソールのトップ ナビゲーションバーで選択したデータ管理センターによって異なります。
中国 を選択した場合、ログは中国(上海)リージョンに保存されます。
全世界 (中国を除く) を選択した場合、ログはシンガポール リージョンに保存されます。
Simple Log Service コンソール にログインして、CTDR 機能専用のプロジェクトとログストアを表示できます。プロジェクトまたはログストアを削除しないでください。
誤ってログストアを削除した場合、cloud_siem ログストアが存在しないというメッセージが表示されます。ログストア内のすべてのログデータは失われます。この場合、チケット を送信して操作を元に戻してください。操作を元に戻した後、機能を引き続き使用するには、CTDR 機能を再度有効にする必要があります。削除されたログ データは復元できません。
特定タイプのログのデータ配信を有効にすると、CTDR 機能は自動的にログを cloud_siem ログストアに配信します。システムは、指定された保存期間が終了するまでログを保持します。期間が終了すると、システムは自動的にログを削除します。ログ ストレージ容量が使い果たされると、新しいログは保存のために配信されなくなります。ログのサイズが、機能用に購入したログ ストレージ容量の 80% を超えると、セキュリティセンターから通知が送信されます。通知設定の構成方法の詳細については、「通知設定の構成」をご参照ください。
課金
サブスクリプション課金方式がサポートされています。購入したログ ストレージ容量と保存期間に基づいて課金されます。セキュリティセンター コンソールでログをクエリおよびエクスポートする場合、料金は発生しません。
ログが専用のログストアに配信された後、Simple Log Service コンソールで実行する操作(ログの変換や転送など)に対して課金される場合があります。
ログストアが従量課金モードを使用している場合、ログを変換または転送すると課金されます。また、インターネット経由でストリームモードでログを読み取る場合は、インターネット経由の読み取りトラフィックに対して課金されます。料金は Simple Log Service の請求書に含まれています。詳細については、「従量課金の課金対象項目」をご参照ください。
ログストアが受信データ従量課金モードを使用している場合、データを変換または転送しても課金されません。インターネット経由の読み取りトラフィックに対してのみ課金されます。料金は Simple Log Service の請求書に含まれています。詳細については、「受信データ従量課金の課金対象項目」をご参照ください。
複数アカウント管理
複数アカウント管理機能を構成し、グローバル管理者アカウントを使用してセキュリティセンター コンソールにログインする場合は、ログ管理 ページでログを管理する前に、適切なビューを選択する必要があります。サポートされているビューを以下に示します。
現在のアカウントビュー:現在のアカウント内のログを表示および管理できます。
グローバルアカウントビュー:CTDR 機能によって管理されている Alibaba Cloud アカウント内のデータを表示および管理できます。
現在のアカウントビュー と グローバルアカウントビュー でログ配信を有効にした場合、グローバル管理者アカウントを使用して購入されたログ ストレージ容量が使用され、配信されたログデータはグローバル管理者アカウント内に保存されます。
Alibaba Cloud アカウントがグローバル管理者アカウントによって管理されており、アカウントを使用してログを管理する場合、CTDR 機能のログ ストレージ容量を個別に購入し、アカウントを使用してログ配信を有効にする必要があります。ログ配信を有効にするには、セキュリティセンター コンソールの ページに移動します。
前提条件
Simple Log Service がアクティブ化されていること。詳細については、「はじめに」をご参照ください。
クラウド サービスのログが CTDR 機能に追加されていること。詳細については、「クラウド サービスのログを追加する」をご参照ください。
ステップ 1: ログ配信を有効にする
セキュリティセンター コンソールにログインします。トップ ナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーション ウィンドウで、 を選択します。
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
表示されるパネルの [ログ配信管理] セクションで、保存のために配信するログのタイプを見つけ、[ホットデータへのログ配信/有効無効] 列のスイッチをオンにします。
複数のログタイプを選択し、[一括ログ配信] をクリックできます。
[ログ管理] ページに移動し、[すべてのデータソース] ドロップダウンリストから保存のために配信するログのタイプを見つけて、ログタイプの横にあるスイッチをオンにすることもできます。
オプション。 左側のナビゲーション ウィンドウで、 を選択します。 ログ管理 ページで、すべての配信 の横にあるスイッチをオンにして、追加されたデータソースに属するすべてのタイプのログのログ配信を有効にします。
クラウド サービスの特定タイプのログを保存したくない場合は、ログタイプのスイッチをオフにすることができます。新しいタイプのログは、ログ管理のために配信されなくなります。
手順 2:ログをクエリする
左側のナビゲーション ウィンドウで、 を選択します。
[ログ管理] ページの左上隅にある すべてのデータソース をクリックします。 すべてのデータソース ドロップダウンリストで、クラウド サービスとログタイプをログデータソースとして指定します。
クエリ時間範囲を指定し、クエリ文を使用してログをクエリおよび分析します。
セキュリティセンターのログ分析機能を使用するのと同じ方法で、CTDR のログ管理機能を使用できます。詳細については、「カスタムログクエリと分析を使用する」をご参照ください。
その他の操作
ログ保存期間の変更
デフォルトでは、保存のために配信するクラウド サービスのログは 180 日間保存されます。ビジネス要件に基づいて保存期間を変更できます。
左側のナビゲーション ウィンドウで、 を選択します。
プロダクトアクセス ページの右上隅にある ログ設定 をクリックします。
[ログ管理] パネルの 保存日数 列で [変更] をクリックして、保存期間を変更します。
ログ ストレージ容量の管理
ページで使用されているログ ストレージと購入した合計容量を表示できます。ビジネス要件に基づいて、現在のログ ストレージ容量を増やすか、ログ ストレージをクリアできます。
スケールアウト をクリックして、追加のログ ストレージ容量を購入します。
十分なログ ストレージ容量があることを確認してください。十分なログ ストレージ容量がない場合、新しいログは保存できません。
クリア をクリックして、ログ ストレージをクリアします。
警告ログ ストレージをクリアした後は、ログを復元できません。注意して進めてください。ログ ストレージをクリアする前に、ログをエクスポートしてオンプレミスのコンピューターに保存することをお勧めします。
参照資料
セキュリティセンター コンソール、Cloud Shell、または CLI を使用して、ログまたはクエリと分析結果をコンピューターにダウンロードできます。詳細については、「ログのエクスポート」をご参照ください。
保存されているログを OSS に配信して保存できます。詳細については、「OSS データ転送ジョブの作成(新バージョン)」をご参照ください。
十分なストレージ容量がない場合、新しいログは保存できません。ログ分析およびレスポンス機能のログ ストレージ容量が不足している場合の通知を有効にすることができます。ログ ストレージ容量不足の通知を受け取ったら、ログ ストレージ容量を増やすことができます。詳細については、「通知設定」をご参照ください。