Huawei Cloud ログデータのインポート - Security Center - Alibaba Cloud ドキュメントセンター

マルチクラウド環境では、セキュリティログはさまざまなクラウドプラットフォームに散在していることが多く、脅威の統一的な検出とインシデント対応が複雑になります。Security Center は、Cloud Threat Analysis and Response (CTDR) 機能を提供し、Web Application Firewall (WAF) や Cloud Firewall (CFW) などの Huawei Cloud プロダクトからセキュリティログを一元的にインポートして分析します。この機能は、マルチクラウド環境全体で統一されたセキュリティ管理を実現するのに役立ちます。

仕組み

ソースでのログ集約: WAF や CFW などの Huawei Cloud プロダクトからのログは、まず Huawei Cloud の Log Tank Service (LTS) に集約されます。
データのエクスポート: LTS を使用して、ログデータは Distributed Message Service (DMS) for Kafka または Object Storage Service (OBS) にエクスポートされ、クラウド間のデータ転送のリレーノードとして機能します。
クラウド間のデータインポート: CTDR プラットフォームはコンシューマーとして機能し、標準の Kafka または S3 プロトコルを使用して DMS for Kafka または OBS からログデータをサブスクライブしてプルします。その後、データは指定されたデータソースに取り込まれます。
取り込みと標準化: CTDR プラットフォーム内で、取り込みポリシーを作成し、標準化ルールを適用します。プラットフォームは、データウェアハウスに保存する前に、生のログを解析して正規化します。

サポートされているログ

このソリューションは、Huawei Cloud からの以下のログタイプのインポートをサポートしています。

Web Application Firewall (WAF) アラートログ
Cloud Firewall (CFW) アラートログ

LTS へのログ送信

ログをインポートする前に、Huawei Cloud からすべてのセキュリティプロダクトのログを LTS に送信する必要があります。

Web Application Firewall

説明

詳細な手順については、Huawei Cloud の公式ドキュメント：「LTS を使用した WAF ログの記録」をご参照ください。

コンソールへのログオン
Web Application Firewall コンソールにログオンします。左上の隅でリージョンまたはプロジェクトを選択し、左側のナビゲーションウィンドウで [イベント] をクリックします。
LTS の構成
[ログ設定] タブで、[LTS に接続] をクリックします。次のパラメーターを構成します:
重要
構成が有効になるまで約 10 分かかります。
- ログタイプ: WAF アクセスログと WAF 攻撃ログ。
- ロググループ: ログを保存するロググループを選択します。[ロググループの作成] をクリックして新しいロググループを作成できます。
- WAF アクセスログストリーム: [ログタイプ] で WAF アクセスログ を選択した場合、WAF アクセスログストリームを選択します。[ログストリームの作成] をクリックして新しいログストリームを作成することもできます。
- WAF 攻撃ログストリーム: [ログタイプ] で WAF 攻撃ログ を選択した場合、WAF 攻撃ログストリームを選択します。[ログストリームの作成] をクリックして新しいログストリームを作成することもできます。

Cloud Firewall

説明

詳細な手順については、Huawei Cloud の公式ドキュメント：「CFW ログの LTS への取り込み」をご参照ください。

ロググループとログストリームの作成
1. Log Service コンソールにログオンします。[ログの取り込み] ページで、[ロググループの作成] をクリックします。
2. [ロググループの作成] ページで、[ロググループ名] と [ログ保持期間 (日)] を構成します。
  説明
  識別しやすくするために、ロググループ名にサフィックス -cfw を追加することをお勧めします (例: mylog-cfw)。
3. ロググループが作成されたら、リストでそのロググループを見つけ、アイコンの下にある[ログストリームの作成]をクリックします。
4. [ログストリームの作成] ページで、[ログストリーム名] と [ログストレージ期間 (日)] を構成します。
  説明
  攻撃イベントログ、アクセス制御ログ、トラフィックログには、それぞれ -attack、-access、-flow のようなサフィックスを使用することをお勧めします。
  - 攻撃ログ: イベントタイプ、保護ルール、アクション、5 次元ルール、攻撃ペイロード、その他の詳細を含む攻撃アラートを記録します。
  - アクセスログ: ACL ポリシーに一致するトラフィック情報を記録します。これには、ヒット時間、5 次元ルール、応答アクション、アクセス制御ルール、その他の詳細が含まれます。
  - トラフィックログ: Cloud Firewall を通過するすべてのトラフィックを記録します。これには、開始時刻、終了時刻、5 次元ルール、バイト数、パケット数、その他の詳細が含まれます。
LTS 同期の設定
1. Cloud Firewall コンソールにログオンします。左上の隅で、リージョンとファイアウォールインスタンスを選択します。左側のナビゲーションウィンドウで、[ログ監査] > [ログ管理] を選択します。
2. [ログ管理] ページで、[LTS 同期の構成] をクリックします。[ロググループ] と [ログソース] を、前のステップで作成したロググループとログストリームに設定します。

インポート方法の選択

Huawei Cloud LTS ログは、Kafka 方式または OBS 方式のいずれかを使用して Security Center にインポートできます。各方式には、リアルタイム性能、コスト、構成の複雑さの点で異なるトレードオフがあります。ニーズに最も適した方法を選択してください。

側面	Kafka (DMS)	OBS
リアルタイム性能	ほぼリアルタイム (リアルタイム転送を構成可能)	分レベルのレイテンシー
構成の複雑さ	高い。Kafka インスタンス、Elastic IP Address (EIP)、セキュリティグループなどの構成が必要です。	低い。転送タスクの構成のみが必要です。
コスト構造	Huawei Cloud: Kafka インスタンス、EIP とトラフィック、および Log Service のコスト。 Alibaba Cloud: CTDR ログ取り込みトラフィック。	Huawei Cloud: OBS ストレージと Log Service のコスト。 Alibaba Cloud: CTDR ログ取り込みトラフィック。
最適なシナリオ	ストリームベースのセキュリティコンピューティングや迅速なアラート対応など、高度なリアルタイムログ分析を必要とするシナリオ。	リアルタイム性能が重要ではなく、コスト効率、ログのアーカイブ、またはバッチオフライン分析に重点を置くシナリオ。

データインポートの構成

Kafka (DMS) を使用したデータのインポート

ステップ 1: Huawei Cloud で Kafka データチャネルを準備する

Kafka インスタンスの構成

Kafka インスタンスの作成
説明
詳細については、Huawei Cloud の公式ドキュメント：「Kafka インスタンスの購入」をご参照ください。
1. インスタンスの仕様と Virtual Private Cloud (VPC) の構成: Kafka インスタンスの購入ページに移動します。[クイック構成] タブで、基本構成とネットワーク構成を完了します。
2. パブリックアクセスの構成: [アクセスモード] エリアで、パブリックネットワークアクセスを選択し、次のパラメーターを構成します:
  - パブリックネットワークアクセス: 暗号文アクセス。
  - パブリック IP アドレス: アクセス可能な Elastic IP Address (EIP) を選択します。十分な EIP がない場合は、以下の手順に従って購入してください。詳細については、Huawei Cloud のドキュメント：「EIP の申請」をご参照ください。
    - [Elastic IP の作成] をクリックして EIP 購入ページに移動します。
      重要
      少なくとも 3 つの EIP を購入する必要があります。
    - 購入が完了したら、アイコンを [Elastic IP アドレス] の横でクリックし、ドロップダウンリストから新しく購入した EIP を選択します。
  - Kafka セキュリティプロトコル:
    - SASL_SSL: 認証に SASL を使用し、データ暗号化に SSL 証明書を使用します。
    - SASL_PLAINTEXT: 認証に SASL を使用し、パフォーマンス向上のためにデータをプレーンテキストで送信します。
  - SASL PLAIN メカニズム: [Kafka セキュリティプロトコル] を SASL_PLAINTEXT に設定した場合、CRAM-SHA-512 メカニズムを選択することをお勧めします。
  - ユーザー名/パスワード: クライアントが Kafka インスタンスに接続するためのユーザー名とパスワード。暗号化アクセスが有効になった後、ユーザー名は変更できません。
    重要
    ユーザー名とパスワードは安全に保管してください。後で Security Center に Kafka へのアクセスを許可する際に必要になります。
Topic の作成
1. Huawei Cloud - Kafka 管理ページに移動します。左上の隅で、Kafka インスタンスが配置されているリージョンを選択します。
2. 左側のナビゲーションウィンドウで、[Kafka インスタンス] をクリックします。対象のインスタンスの名前をクリックして詳細ページに移動し、[Topic 管理] をクリックします。
3. Topic リストページで、[Topic の作成] をクリックし、ビジネスニーズに基づいてパラメーターを構成します。特別な要件がない場合は、デフォルト設定を使用できます。
  説明
  詳細については、Huawei Cloud の公式ドキュメント：「Topic パラメーターの説明」をご参照ください。
セキュリティルールの構成
パブリックアクセスを有効にした後、Kafka への接続を許可するためにセキュリティグループルールを構成する必要があります。
1. Kafka インスタンス詳細ページの左側のナビゲーションウィンドウで、[概要] をクリックします。[概要] ページの [ネットワーク] セクションで、[セキュリティグループ] の横にあるアイコンをクリックします。
2. ポリシー構成ページで、[インバウンドルール] タブに移動し、[ルールの追加] をクリックして、次のようにパラメーターを構成します:
  1. ポリシー: 許可
  2. タイプ: IPv4
  3. プロトコル: カスタム TCP
  4. ポート: 9095
  5. ソース: 0.0.0.0/0
Kafka 接続パラメーターの取得
Kafka インスタンスの [概要] ページで、[アドレス (パブリックネットワーク、暗号文)]、有効な [セキュリティプロトコル]、および [SASL PLAIN メカニズム] を記録します。

LTS から Kafka への転送タスクの作成

説明

詳細な手順については、Huawei Cloud の公式ドキュメント：「DMS へのログ転送」をご参照ください。

Log Service コンソールにログオンします。左側のナビゲーションウィンドウで、[ログ転送] を選択し、右上の隅にある [ログ転送の構成] をクリックします。
以下のようにログ転送パラメーターを構成します。
- 転送モード: 定期的な転送。
- 転送先: DMS。
- ロググループ名/ログストリーム名: LTS へのログ送信のステップで構成したロググループ/ログストリームを選択します (例: WAF 攻撃ログ)。
- Kafka インスタンス: Kafka インスタンスの構成のステップで構成したインスタンスを選択します。
- Topic: Topic の作成のステップで構成した Topic を選択します。
- 転送間隔: リアルタイム。
- フォーマット: [生ログフォーマット] または [JSON] を選択できます。

ステップ 2: Alibaba Cloud で Kafka ログのインポートを構成する

Security Center に Kafka へのアクセスを許可する

Security Center コンソール > CTDR > 統合センターに移動します。左上の隅で、アセットリージョンを選択します: Outside Chinese Mainland または Outside Chinese Mainland。
マルチクラウドの設定と管理 タブで、マルチクラウドアセット を選択し、権限の新規付与 をクリックし、ドロップダウンリストから IDC を選択します。表示されるパネルで、次のパラメーターを構成します:
- ベンダー: Apache を選択します。
- 接続タイプ: Kafka を選択します。
- エンドポイント: Huawei Cloud から取得した Kafka の IPv4 暗号化されたパブリックエンドポイントを入力します。
- ユーザー名/パスワード: Huawei Cloud で Kafka 用に構成したユーザー名とパスワードを入力します。
- 通信プロトコル: Huawei Cloud で Kafka 用に構成した有効なセキュリティプロトコルを入力します。
- SASL 認証メカニズム: Huawei Cloud で Kafka 用に構成したSASL PLAIN メカニズムを入力します。
同期ポリシーの構成
AK サービスのステータスチェック: Security Center が Huawei Cloud アクセスキーの有効性を自動的にチェックする間隔を設定します。「無効」を選択してこのチェックをオフにすることができます。

データインポートタスクの作成

データソースの作成
Huawei Cloud ログデータ専用の CTDR データソースを作成します。すでに作成済みの場合は、このステップをスキップしてください。
1. Security Center コンソール > CTDR > 統合センターに移動します。左上の隅で、アセットリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
2. Data Source タブで、Huawei Cloud ログ用のデータソースを作成します。詳細な手順については、「データソースの作成: ログは Simple Log Service (SLS) に取り込まれません」をご参照ください。
  - Source Data Source Type: User Log Service または CTDR-Dedicated Channel を選択できます。
  - インスタンス接続: データを分離するために、新しい Logstore を作成することをお勧めします。
Data Import タブで、Add Data をクリックします。表示されるパネルで、次のパラメーターを構成します:
- エンドポイント: Huawei Cloud から取得した Kafka の IPv4 暗号化されたパブリックエンドポイントを入力します。
- Topics: Huawei Cloud で作成したTopic を選択します。
- 値のタイプ: LTS ログに設定した転送フォーマットに基づいて値を選択します。マッピングは次のとおりです:
  転送フォーマット
  値のタイプ
  JSON フォーマット
  json
  生ログフォーマット
  text
宛先データソースの構成
- データソース名: ステップ 1 で作成したデータソースを選択します。
- 宛先 Logstore: 選択したデータソースの下にある Logstore が自動的にロードされます。
OK をクリックして構成を保存します。インポートが構成されると、Security Center は自動的に Huawei Cloud からログをプルします。

OBS を使用したデータのインポート

ステップ 1: Huawei Cloud で OBS データを準備し、アクセスキーを取得する

LTS から OBS へのログ転送を構成する

転送タスクの作成
説明
詳細な手順については、Huawei Cloud の公式ドキュメント：「OBS へのログ転送」をご参照ください。
1. Log Service コンソールにログオンします。左側のナビゲーションウィンドウで、[ログ転送] を選択し、右上の隅にある [ログ転送の構成] をクリックします。
2. 以下のようにログ転送パラメーターを構成します。
  - 転送モード: 定期的な転送。
  - 転送先: OBS バケット。
  - ロググループ名/ログストリーム名: LTS へのログ送信のステップで構成したロググループ/ログストリームを選択します (例: WAF アクセスログストリーム)。
  - OBS バケット: 既存の OBS バケットを選択するか、Huawei Cloud - バケットリストページで新しいバケットを作成します。
    説明
    LTS は、標準または復元済みアーカイブストレージタイプを使用する OBS バケットにログを転送できます。
  - カスタムログ転送パス:
    - 有効: カスタムパスを設定できます。フォーマットは /LogTanks/RegionName/%GroupName/%StreamName/<custom_transfer_path> です。デフォルトのカスタムパスは lts/%Y/%m/%d です。
    - 無効: ログはデフォルトのシステムパス (LogTanks/RegionName/2019/01/01/<Log_Group>/<Log_Stream>/<log_file_name>) に転送されます。
  - 圧縮フォーマット: uncompressed、gzip、または zip を選択します。
    警告
    警告
    Security Center は現在、snappy 形式で圧縮されたログファイルの解析をサポートしていません。
OBS バケットエンドポイントの取得
1. Huawei Cloud - バケットリストページに移動し、前のステップで構成した LTS ログ転送 OBS バケットを見つけます。バケットの詳細ページの左側のナビゲーションウィンドウで、[概要] をクリックします。
2. [ドメイン名] エリアで、[エンドポイント] を表示します。フォーマットは obs.${region}.myhuaweicloud.com です。

アクセスキーの作成

またはHuawei Cloud - マイ認証情報ページに移動し、左側のナビゲーションウィンドウで [アクセスキー] を選択します。
[アクセスキーの作成] をクリックします。[CSV ファイルのダウンロード] をクリックするか、アクセスキー ID と シークレットアクセスキー をローカルファイルにコピーして安全に保管します。詳細については、「」または「アクセスキー」をご参照ください。

ステップ 2: Alibaba Cloud で OBS ログのインポートを構成する

Security Center に Huawei Cloud OBS へのアクセスを許可する

Security Center コンソール > CTDR > 統合センターに移動します。左上の隅で、アセットリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
マルチクラウドの設定と管理 タブで、マルチクラウドアセット を選択し、権限の新規付与 をクリックし、ドロップダウンリストから IDC を選択します。表示されるパネルで、次のパラメーターを構成します:
- ベンダー: [AWS-S3] を選択します。
- 接続タイプ: [S3] を選択します。
- エンドポイント: OBS バケットのエンドポイントを入力します。
- アクセスキー ID/シークレットアクセスキー: Huawei Cloud で作成したアクセスキーを入力します。
同期ポリシーの構成
AK サービスのステータスチェック: Security Center が Huawei Cloud アクセスキーの有効性を自動的にチェックする間隔を設定します。「無効」を選択してこのチェックをオフにすることができます。

データインポートタスクの作成

Security Center コンソール > CTDR > 統合センターに移動します。左上の隅で、アセットリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
Data Import タブで、Add Data をクリックします。表示されるパネルで、次のパラメーターを構成します:
- エンドポイント: OBS バケットのエンドポイントを入力します。
- OBS バケット: LTS がログを転送する OBS バケット。
宛先データソースの構成
- データソース名: 通常のステータスのカスタムデータソース (Custom Log Capability または CTDR Dedicated Channel) を選択します。適切なデータソースがない場合は、「データソース」の手順に従って作成します。
- 宛先 Logstore: 選択したデータソースの下にある Logstore が自動的にロードされます。
OK をクリックして構成を保存します。インポートが構成されると、Security Center は自動的に Huawei Cloud からログをプルします。

インポートされたデータの分析

データが正常に取り込まれた後、Security Center がログを分析できるように、解析および検出ルールを構成する必要があります。

新しい取り込みポリシーの作成
「CTDR 2.0 へのプロダクト接続」の手順に従って、次の設定で新しい取り込みポリシーを作成します:
- Data Source: データインポートタスクで構成した宛先データソースを選択します。
- Standardized Rule: CTDR は、直接選択できる Huawei Cloud プロダクト用の組み込み標準化ルールを提供します。
- Standardization Method: アラートログを取り込んでいるため、これはデフォルトで Real-time Consumption に設定されており、変更できません。
脅威検出ルールの構成
セキュリティ要件に基づいて、ルール管理でログ検出ルールを有効にするか作成して、ログを分析し、アラートを生成し、セキュリティイベントを作成します。詳細な手順については、「脅威検出ルールの構成」をご参照ください。

課金

このソリューションでは、以下のサービスからコストが発生します。続行する前に、各プロダクトの課金ドキュメントを注意深く読んでコストを見積もってください:

Huawei Cloud 側: コストは主にデータ転送とストレージに関するものです:

サービス	課金項目	課金ドキュメント
LTS	ログストレージ、読み取り/書き込み操作など。	Huawei Cloud LTS - 課金の概要。
DMS for Kafka	インスタンスの仕様、パブリックネットワークトラフィックなど。	Huawei Cloud Kafka - 課金の概要。
OBS	ストレージ容量、リクエスト数、パブリックネットワークトラフィックなど。	Huawei Cloud OBS - 課金の概要。

Alibaba Cloud 側: コストは選択したデータストレージ方法によって異なります。

説明

CTDR の課金の詳細については、「脅威分析と対応」および「脅威分析と対応の従量課金」をご参照ください。

Simple Log Service (SLS) の課金の詳細については、「SLS 課金の概要」をご参照ください。

データソースタイプ	CTDR 課金項目	SLS 課金項目	注
CTDR-Dedicated Channel	ログ取り込み料金。ログストレージおよび書き込み料金。説明両方の項目でログアクセストラフィックが消費されます。	ログストレージと書き込み以外の項目 (パブリックネットワークトラフィックなど) の料金。	CTDR は SLS リソースを作成および管理します。したがって、Logstore のストレージおよび書き込み料金は CTDR を通じて請求されます。
User Log Service	ログ取り込み料金。ログアクセストラフィックを消費します。	すべてのログ関連料金 (ストレージ、書き込み、パブリックネットワークトラフィックなど)。	すべてのログリソースは Simple Log Service (SLS) によって管理されます。したがって、すべてのログ関連料金は SLS を通じて請求されます。

よくある質問

データインポートタスクを作成した後、SLS にログデータが表示されない場合はどうすればよいですか？
1. サードパーティクラウド側の確認: Huawei Cloud コンソールにログオンし、ログが生成され、構成された LTS、Kafka Topic、または OBS バケットに配信または転送されていることを確認します。
2. 認証情報の確認: Security Center で、[マルチクラウド資産] ページに移動し、権限付与ステータスが正常であることを確認します。アクセスキーが有効で、パスワードが正しいことを確認します。
3. ネットワーク接続の確認: Kafka 方式を使用している場合は、サードパーティクラウドで Kafka サービスのパブリックアクセスが有効になっており、セキュリティグループまたはファイアウォールルールが Security Center のサービス IP アドレスからのトラフィックを正しく許可していることを確認します。
4. データインポートタスクの確認: Security Center で、[データインポート] ページに移動してタスクのステータスとエラーログを表示します。提供された情報に基づいて修正を行います。
権限を付与する際に、Huawei Cloud の代わりに Apache または AWS-S3 を選択するのはなぜですか？
これは、ログインポート機能がベンダー固有の API ではなく、標準で互換性のあるプロトコルを使用するためです。
- IDC はプロトコルベンダーを表します。Apache は Kafka を表し、AWS-S3 はオブジェクトストレージを表します。
- Huawei Cloud の権限付与は、CTDR の脅威検出ルールを使用して Huawei Cloud とのセキュリティイベント対応 (IP アドレスのブロックなど) を調整するためのものであり、ログのインポートを有効にするものではありません。

転送フォーマット	値のタイプ
JSON フォーマット	json
生ログフォーマット	text