Agentic SOC のためのマルチアカウント集中管理 - - Alibaba Cloud ドキュメントセンター

Security Center のサービスである Agentic SOC を利用することで、マルチクラウド環境、複数アカウント、および多様な製品から得られるアラートやログデータを一元的に処理し、セキュリティ運用の効率を向上させることができます。Resource Management の Resource Directory (RD)、Security Center のマルチアカウントセキュリティ管理機能、および Agentic SOC を使用して、企業全体の複数のアカウントとリソースを集中管理できます。このトピックでは、Agentic SOC のマルチアカウント構造を設定する方法について説明します。

基本概念

Agentic SOC を使用して複数のアカウントとリソースを集中管理する前に、以下の概念を理解してください。

概念	説明	プロダクト
管理アカウント	管理アカウント (MA) は、企業実名検証を完了した Alibaba Cloud アカウントです。管理アカウントを使用してリソースディレクトリを有効化できます。リソースディレクトリを有効化すると、管理アカウントはそのスーパー管理者となり、リソースディレクトリ、フォルダ、およびメンバーに対する完全な制御権を持ちます。各リソースディレクトリには、管理アカウントが 1 つだけ存在します。	Resource Management
メンバー	メンバーは、リソースディレクトリ内に作成されたリソースアカウントです。このアカウントは、Alibaba Cloud 上で特定のプロジェクトやアプリケーションをホストするために使用されます。既存の Alibaba Cloud アカウントがある場合は、そのアカウントをクラウドアカウントタイプのメンバーとしてリソースディレクトリに招待することもできます。
委任された管理者	リソースディレクトリの管理アカウントは、信頼できるサービスの委任された管理者としてメンバーを指定できます。指定されると、委任された管理者は管理アカウントから権限付与を受けます。この権限付与により、委任された管理者は、その信頼できるサービスのためにリソースディレクトリ内の組織およびメンバー情報にアクセスし、組織全体のサービスオペレーションを管理できます。
グローバル管理者	コンソールで Agentic SOC を使用する際、グローバル管理者はグローバルアカウントビューに切り替えることができます。このビューでは、Agentic SOC によって管理されるすべての Alibaba Cloud アカウントに対して、クラウドサービスログの収集ポリシーや脅威検知ルールを設定し、セキュリティイベントを処理できます。	Security Center

マルチアカウント構造

Agentic SOC を使用して複数の Alibaba Cloud アカウントのデータを管理する場合、以下の一般的なシナリオを考慮してください。この例と図を参考にして、マルチアカウント構造を構築してください。

典型的なシナリオ： Alibaba Cloud アカウント A、B、C、D、E は同じリソースディレクトリに属しています。アカウント A はリソースディレクトリの管理アカウントであり、アカウント B、C、D、E はメンバーです。アカウント A は、アカウント B を信頼できるサービスである Security Center-Threat Analysis の委任された管理者として指定します。この指定により、アカウント B は Agentic SOC でアカウント B、C、D、E のログ収集、脅威検知設定、イベント応答を集中管理できるようになります。

ステップ 1： Agentic SOC の購入

Agentic SOC にログを収集する必要がある各 Alibaba Cloud アカウントは、ログ収集トラフィックを購入する必要があります。グローバル管理者は、Agentic SOC のログ収集トラフィックを購入した Alibaba Cloud アカウントのみを集中管理できます。詳細については、「Agentic SOC (旧脅威分析と応答) とは」をご参照ください。

重要

お使いの Alibaba Cloud アカウントが Agentic SOC の課金項目調整前にサービスを購入した場合、そのリソースディレクトリ内のメンバーアカウントは Agentic SOC を購入する必要はありません。詳細については、「[お知らせ] Agentic SOC の課金変更について」をご参照ください。

ステップ 2：マルチアカウント構造の構築

同じ企業実名検証を共有する Alibaba Cloud アカウントのみが、同じリソースディレクトリに追加できます。Resource Directory サービスを有効にし、Agentic SOC を購入した Alibaba Cloud アカウントを委任された管理者として指定します。

管理アカウントを使用して Resource Management コンソールにログインします。
初めて Resource Directory を使用する場合は、左側のナビゲーションウィンドウで リソースディレクトリ > 概要を選択し、リソースディレクトリの有効化 をクリックします。画面の指示に従ってプロセスを完了します。詳細については、「リソースディレクトリの有効化」をご参照ください。
リソースディレクトリのメンバーを作成するか、他の Alibaba Cloud アカウントを招待して参加させます。
- メンバーを作成するには、左側のナビゲーションウィンドウでリソースディレクトリ > 新しい会員アカウントを選択してリソースアカウントを作成します。詳細については、「メンバーの作成」をご参照ください。
- メンバーを招待するには、リソースディレクトリ > メンバーの招待 を選択し、別の Alibaba Cloud アカウントをリソースディレクトリに追加します。詳細については、「Alibaba Cloud アカウントをリソースディレクトリに招待する」をご参照ください。
Agentic SOC を購入した Alibaba Cloud アカウントを委任された管理者として指定します。
左側のナビゲーションウィンドウで、リソースディレクトリ > 信頼できるサービス を選択します。操作列で [Security Center] と Security Center - 脅威の分析 の両方について、管理をクリックします。Agentic SOC を購入した Alibaba Cloud アカウントを、これら 2 つの信頼できるサービスの委任された管理者として追加します。詳細については、「委任された管理者アカウントの追加」をご参照ください。

ステップ 3： Agentic SOC へのアカウントのオンボーディング

Agentic SOC を購入した Alibaba Cloud アカウントを使用して、Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理 を選択します。コンソールの左上隅で、アセットが配置されているリージョン Chinese Mainland または Outside Chinese Mainland を選択します。
初めてマルチアカウントセキュリティ管理機能を使用する場合は、Security Center 管理の有効化 をクリックします。
この機能を有効にすると、システムはメンバーアカウントに AliyunServiceRoleForSasRd サービスリンクロールを自動的に作成します。マルチアカウント設定では、このロールにより、Security Center の委任された管理者がメンバーアカウントの Security Center コンソールにアクセスできるようになります。その後、すべてのメンバーアカウントにわたってセキュリティ保護を一元的に設定し、セキュリティリスクをリアルタイムで監視できます。
マルチアカウントのセキュリティ管理 > Configureに移動し、脅威分析と監視アカウント サブタブをクリックします。
コンソールに Configure タブが表示されない場合は、直接 脅威分析と監視アカウント タブをクリックします。
監視アカウントの合計数 セクションで、アカウント管理 をクリックします。
マルチアカウント管理の設定 パネルで、Agentic SOC に追加するリソースディレクトリのメンバーを選択し、OK をクリックします。
メンバーアカウントに AliyunServiceRoleForSasRd および AliyunServiceRoleForSasCloudSiem サービスリンクロールが存在しない場合、この操作によってそれらが作成されます。これらのロールは、対応する機能を有効にするために必要です。詳細については、「Security Center のサービスリンクロール」をご参照ください。

ステップ 4：グローバル管理者の設定

グローバル管理者は、Agentic SOC でグローバルアカウントビューと現在のアカウントビューを切り替えることができます。グローバルアカウントビューでは、管理対象のすべての Alibaba Cloud アカウントに対して、クラウドサービスログの収集ポリシー、脅威検知ルールを設定し、セキュリティイベントを処理できます。現在のアカウントビューでは、現在のアカウントのみのポリシーを設定できます。以下の手順に従って、Agentic SOC を購入した Alibaba Cloud アカウントをグローバル管理者として設定します。

重要

Security Center の Agentic SOC のグローバル管理者として設定できるのは、リソースディレクトリごとに 1 つのアカウントのみです。
グローバル管理者の指定は変更できません。慎重に操作してください。

脅威分析と監視アカウント タブの グローバルアカウント管理者 セクションで、設定をクリックします。
グローバルアカウント管理者の設定 ダイアログボックスで、グローバル管理者として指定する Alibaba Cloud アカウントを選択し、OK をクリックします。
グローバル管理者として指定されるアカウントは、Resource Management コンソール上で [Security Center-Threat Analysis] 信頼できるサービスの管理アカウントまたは委任された管理者のいずれかである必要があります。また、そのアカウントは Agentic SOC を購入済みである必要があります。

ステップ 5：クラウドサービスログの収集

グローバル管理者は、現在のアカウント、管理対象アカウント、およびサードパーティクラウドのアカウントからクラウドサービスログを収集できます。これにより、すべてのアカウントにわたるアラートとログデータの統一されたモニタリングと分析が可能になります。

Alibaba Cloud サービスからログを収集するには、「Alibaba Cloud サービスからのログ収集」をご参照ください。
サードパーティのクラウドサービスからログを収集するには、「サードパーティのクラウドサービスからのログ収集」をご参照ください。

ステップ 6： Agentic SOC の使用

上記の手順を完了すると、イベント分析や応答オーケストレーションなどの Agentic SOC 機能を使用できます。グローバル管理者は、コンソールで現在のアカウントビューとグローバルアカウントビューを切り替えることで、現在のアカウントとすべての管理対象アカウントの両方を管理できます。

Agentic SOC の機能と使用方法の詳細については、次のトピックをご参照ください：

脅威検知ルールの設定：イベントを検出するための事前定義ルールとカスタムルールを設定します。
セキュリティイベント：セキュリティイベントを処理して、クラウドシステムのセキュリティを強化します。
応答ルール：さまざまなシステムやサービスをオーケストレーションして接続し、セキュリティ操作を自動化して迅速な応答を可能にします。
ログ管理：クラウドサービスからの標準化されたログを保存およびクエリして、さまざまなアラートを正確に特定し、攻撃元を追跡し、潜在的な脅威への対応を迅速化し、複数のリソースにわたるログ管理を簡素化します。

参考資料

Security Center は、マルチアカウントのセキュリティ管理をサポートしています。Security Center と Agentic SOC のマルチアカウント設定の詳細については、「マルチアカウントセキュリティ管理」をご参照ください。
Resource Directory の詳細については、「Resource Directory とは」をご参照ください。