Tencent Cloud ログデータを Security Center にインポートします。CLS を使用して WAF と Cloud Firewall のログを統合し、統一されたマルチクラウドのセキュリティ分析を実現します。CKafka または COS を使用して、Alibaba Cloud にログを転送します。 - Security Center

マルチクラウド環境では、セキュリティログが分散しているため、統一された脅威検出とインシデント対応が複雑になります。Security Center の Cloud Threat Detection and Response (CTDR) は、Tencent Cloud Web Application Firewall (WAF) からのセキュリティログのインポートと分析を一元化し、クラウド環境全体で統一されたセキュリティ管理を実現します。

仕組み

ソースでのログ集約: WAF などの Tencent Cloud プロダクトからのログは、Tencent Cloud Log Service (CLS) に集約されます。
データエクスポート: ログは CLS から TDMQ for CKafka または Cloud Object Storage (COS) にエクスポートされます。これらはクラウド間のデータ転送の中継として機能します。
クラウド間のデータインポート: CTDR プラットフォームは、標準の Kafka または S3 プロトコルを使用してメッセージキューまたは COS からログデータをサブスクライブしてプルします。その後、指定されたデータソースにデータを送信します。
取り込みと正規化: CTDR プラットフォームで Ingestion Policy を作成し、Standardization Rule を適用します。このポリシーとルールは、データウェアハウスに保存する前に生ログを解析および正規化します。

サポートされるログ

このソリューションは、Tencent Cloud からの Web Application Firewall (WAF) アラートログ のみのインポートをサポートします。

CLS へのログ配布

まず、Tencent Cloud プロダクトのセキュリティログを CLS に集約します。

Web Application Firewall

説明

詳細な手順については、Tencent Cloud の公式ドキュメント：「ログ配布」をご参照ください。

ログサービスを承認して有効化する
1. またはにログオンします。[アクセスログ] > [ログ配布] ページまたは [攻撃ログ] > [ログ配布] ページに移動します。[設定] をクリックし、プロンプトに従って権限付与を完了します。
2. 権限が付与されたら、LogShipping ページで [作成] をクリックします。
  重要
  権限付与後、システムは自動的に waf_post_logset という名前の Logset を作成します。
ログ配布を有効にする
収集したいログのログ配信を有効にします。詳細については、「ログ配布を有効にする」をご参照ください。
- 攻撃ログ配布の有効化: WAF コンソール の左側のナビゲーションウィンドウで、[インスタンス管理] を選択します。インスタンス詳細ページで、[攻撃ログ配布] スイッチをオンにします。
- アクセスログ配布の有効化:
  1. WAF コンソール の左側のナビゲーションウィンドウで、[接続管理] > [ドメイン名] を選択します。ドメインの [操作] 列で、[その他] > [ログ配布] をクリックします。
  2. 詳細設定ウィンドウで、配信ターゲットを選択し、[保存] をクリックします。

インポート方法の選択

リアルタイム性能、コスト、設定の複雑さの違いを考慮して、ビジネスニーズに最も適した方法を選択してください。Tencent Cloud CLS ログを Security Center にインポートするには、Kafka プロトコル消費と COS のいずれかを選択できます。

項目	Kafka プロトコル消費	COS
リアルタイム性能	ほぼリアルタイム。	分レベルのレイテンシー。
設定の複雑さ	低。Kafka プロトコル消費の設定が必要です。	低。COS 配信タスクの設定が必要です。
コスト構造	Tencent Cloud: Log Service 料金。 Alibaba Cloud: CTDR ログ取り込みトラフィック料金。	Tencent Cloud: COS ストレージ料金。 Alibaba Cloud: CTDR ログ取り込みトラフィック料金。
ユースケース	ストリームベースのセキュリティコンピューティングや迅速なアラート対応など、ログ分析に対する高いリアルタイム要件。	コスト効率、ログのアーカイブ、またはバッチオフライン分析に重点を置いた、低いリアルタイム要件。

データインポートの設定

Kafka プロトコル消費を使用したデータのインポート

ステップ 1: Tencent Cloud で Kafka プロトコル消費を設定し、AccessKey ペアを取得する

Kafka プロトコル消費を介して CLS からデータを配布するタスクを作成する

説明

詳細な手順については、Tencent Cloud の公式ドキュメント：「Kafka 経由でのログ消費」をご参照ください。

Kafka プロトコル消費を有効にする
1. Tencent Cloud - Log Topic ページに移動し、左上隅で適切なログストレージ リージョン を選択します。
2. ターゲットの [Log Topic] の名前をクリックして、詳細ページに移動します。
  - Web Application Firewall: 通常、plain Logset の下にあります。詳細については、「CLS へのログ配布」をご参照ください。
3. 左側のナビゲーションウィンドウで、[Kafka 経由での消費] をクリックします。[基本情報] タブで、右側の [編集] をクリックし、[現在のステータス] スイッチをオンにします。以下のように設定を構成し、[OK] をクリックします。
  - タイムスタンプ範囲: 履歴 + 最新。
  - コンシューマーデータフォーマット: JSON ([エスケープを無効にする] を選択) または Raw Content。
  - データ圧縮フォーマット: 圧縮なし。
  - パブリックアクセス: 有効。
  - サービスログ: 有効。

Kafka サービスへの接続に必要な情報を取得する

設定が完了したら、コンシューマーパラメーターを表示して、必要な設定情報 (CLS パブリック サービスアドレス (エンドポイント)、ユーザー名、および コンシューマートピック) を取得します。この情報は、Security Center に COS へのアクセスを承認するとデータインポートタスクを作成するときに使用するためにメモしておきます。

パラメーター	説明
パブリックエンドポイント	フォーマット: `kafkaconsumer-${region}.cls.tencentcs.com:9096`。
topic	Kafka の Topic。
ユーザー名	Logset ID である `${LogSetID}` に設定します。
パスワード	`${SecretId}#${SecretKey}` に設定します。

AccessKey ペアを設定する

メインアカウントキーを使用する: Tencent Cloud - API キー管理ページに移動し、[キーの作成] をクリックします。[CSV ファイルのダウンロード] をクリックするか、ローカルファイルにコピーして、生成された SecretId と SecretKey を安全に保存します。詳細については、「メインアカウントのアクセスキーの管理」をご参照ください。
説明
API キーまたはプロジェクトキーのいずれかを使用できます。
サブアカウントキーを使用する:
1. CAM コンソールの Tencent Cloud - ポリシーページで、キーのセキュリティを確保するために最小限の権限を持つポリシーを作成します。詳細については、「Kafka プロトコル消費の承認」および「ポリシー構文によるカスタムポリシーの作成」をご参照ください。
```
{
    "version": "2.0",
    "statement": [{
        "action": [
            "cls:PreviewKafkaRecharge",
            "cls:CreateKafkaRecharge",
            "cls:ModifyKafkaRecharge"
        ],
        "resource": "*",
        "effect": "allow"
    }]
}
```
2. Tencent Cloud - ユーザーリストページに移動し、既存の サブアカウント を選択するか、新しいアカウントを作成します。
  - 前のステップで作成したアクセスポリシーをアタッチします。
  - [ユーザー詳細] ページで、[API キー] タブに移動し、[キーの作成] をクリックします。[CSV ファイルのダウンロード] をクリックするか、ローカルファイルにコピーして、生成された SecretId と SecretKey を安全に保存します。詳細については、「サブアカウントのアクセスキーの管理」をご参照ください。

ステップ 2: Alibaba Cloud で Kafka ログのインポートを設定する

Security Center に Kafka へのアクセスを承認する

Security Center コンソール > システム設定 > 機能設定に移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
マルチクラウドの設定と管理 タブで マルチクラウドアセット を選択し、権限の新規付与 をクリックします。開いたパネルで、次のパラメーターを設定します:
- ベンダー: Apache を選択します。
- 接続タイプ: Kafka を選択します。
- エンドポイント: Tencent Cloud からの Kafka プロトコル消費のパブリックアクセスアドレスを入力します。
- ユーザー名: Tencent Cloud からの Kafka プロトコル消費のユーザー名を入力します。
- パスワード: 「AccessKey ペアを設定する」からの連結されたアカウントキー情報 (SecretId#SecretKey)。
- 通信プロトコル: sasl_plaintext。
- SASL 認証メカニズム: plain。
同期ポリシーの設定
AK サービスのステータスチェック: Security Center が Tencent Cloud アカウントの AccessKey ペア の有効性を自動的にチェックする間隔を設定します。[無効] を選択してこのチェックをオフにすることができます。

データインポートタスクの作成

データソースの作成
Tencent Cloud ログデータ専用の CTDR データソースを作成します。すでに作成済みの場合は、このステップをスキップしてください。
1. Security Center コンソール > CTDR > 統合センターに移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
2. Data Source タブで、Tencent Cloud からログを受信するためのデータソースを作成します。具体的な手順については、「データソースの作成: ログが Log Service (SLS) に接続されていないデータソース」をご参照ください。
  - Source Data Source Type: User Log Service または CTDR-Dedicated Channel を選択できます。
  - インスタンス接続: データを分離するために、新しい Logstore を作成することをお勧めします。
Data Import タブで、Add Data をクリックします。開いたパネルで、次のパラメーターを設定します:
- エンドポイント: Tencent Cloud からの Kafka プロトコル消費のパブリックアクセスアドレスを選択します。
- Topics: Tencent Cloud からの Kafka プロトコル消費のコンシューマートピックを選択します。
- 値のタイプ: これは、CLS データ配布タスク用に設定したコンシューマーデータフォーマットに対応します。
  配布フォーマット
  値のタイプ
  JSON
  json
  Raw Content
  text
ターゲットデータソースの設定
- データソース名: ステップ 1 で作成したデータソースを選択します。
- ターゲット Logstore: システムは、選択したデータソースの下にある Logstore を自動的にフェッチします。
[OK] をクリックして設定を保存します。インポート設定が完了すると、Security Center は Tencent Cloud からログを自動的にプルします。

COS を使用したデータのインポート

ステップ 1: Tencent Cloud で COS データウェアハウスを準備し、AccessKey ペアを取得する

CLS から COS にデータを配布するタスクを作成する

説明

詳細な手順については、Tencent Cloud の公式ドキュメント：「COS への配布タスクの作成」をご参照ください。

COS 配信タスクの作成:
1. Tencent Cloud - Log Topic ページに移動し、左上隅で適切なログストレージ リージョン を選択します。
2. ターゲットの [Log Topic] の名前をクリックして、詳細ページに移動します。
  - Web Application Firewall: 通常、waf_post_logset Logset の下にあります。詳細については、「CLS へのログ配布」をご参照ください。
3. 左側のナビゲーションウィンドウで [COS への配布] を選択し、[配布設定の追加] をクリックします。以下のようにパラメーターを設定します:
  説明
  ログアーカイブの確認ページが表示された場合は、[それでも COS に配布] をクリックして続行します。
  - 基本設定:
    - [時間範囲]: データ分析をサポートするため、終了時刻は設定しないでください。
    - [ファイルサイズ]: ログ配信のトリガー値を設定します。蓄積されたログサイズがこの値に達すると、ログは COS に配信されます。
    - [配布間隔]: ログ配信の時間間隔を設定します。各間隔内に生成されたログは圧縮されて COS に配信されます。
    重要
    ファイルサイズと配布間隔の条件は論理 OR 関係にあります。いずれかの条件が満たされると、ログ配信がトリガーされます。
  - バケット設定:
    - [COS バケット]: WAF や CFW などの Tencent Cloud プロダクトからのログを保存するための バケット を選択または作成します。
    - [ファイル命名]: データを簡単に区別するために、[配信時間命名] を選択することをお勧めします。
    - [ファイル圧縮]: [gzip] または [圧縮なし] を選択します。
      警告
      Security Center は、lzop または snappy 圧縮のログファイルの解析をサポートしていません。
    - [COS ストレージクラス]: [標準] を選択します。詳細については、「ストレージクラスの概要」をご参照ください。
  - 詳細設定:
    - コンシューマーデータフォーマット: JSON を選択します。
    - JSON: [エスケープを無効にする] を選択します。
COS バケットのアクセスドメイン名 (エンドポイント) を取得する。
Tencent Cloud - バケットリストページに移動し、前のステップで設定した [COS バケット] を見つけます。バケット詳細ページに移動し、[ドメイン情報] セクションからドメイン名を取得します。
重要
- ドメイン名にバケット名が含まれていないことを確認してください。フォーマットは cos.${region}.myqcloud.com です。
- この情報は、Security Center に COS へのアクセスを承認するとデータインポートタスクを作成するときに使用するためにメモしておきます。

AccessKey ペアを設定する

メインアカウントキーを使用する: Tencent Cloud - API キー管理ページに移動し、[キーの作成] をクリックします。[CSV ファイルのダウンロード] をクリックするか、ローカルファイルにコピーして、生成された SecretId と SecretKey を安全に保存します。詳細については、「メインアカウントのアクセスキーの管理」をご参照ください。
説明
API キーまたはプロジェクトキーのいずれかを使用できます。

サブアカウントキーを使用する:

CAM コンソールの Tencent Cloud - ポリシーページで、キーのセキュリティを確保するために最小限の権限を持つポリシーを作成します。詳細については、「COS への配布の承認」および「ポリシー構文によるカスタムポリシーの作成」をご参照ください。

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:DescribeTopics",
                "cls:DescribeLogsets",
                "cls:DescribeIndex",
                "cls:CreateShipper"
            ],
            "resource": "*"
        },
        {
            "effect": "allow",
            "action": [
                "tag:DescribeResourceTagsByResourceIds",
                "tag:DescribeTagKeys",
                "tag:DescribeTagValues", 
                "cls:ModifyShipper",
                "cls:DescribeShippers",
                "cls:DeleteShipper",
                "cls:DescribeShipperTasks",
                "cls:RetryShipperTask",
                "cls:DescribeShipperPreview",
                "cos:GetService",
                "cam:ListAttachedRolePolicies",
                "cam:AttachRolePolicy",
                "cam:CreateRole",
                "cam:DescribeRoleList"
            ],
            "resource": "*"
        }
    ]
}

Tencent Cloud - ユーザーリストページに移動し、既存の サブアカウント を選択するか、新しいアカウントを作成します。
- 前のステップで作成したアクセスポリシーをアタッチします。
- [ユーザー詳細] ページで、[API キー] タブに移動し、[キーの作成] をクリックします。生成された SecretId と SecretKey を [CSV ファイルのダウンロード] をクリックするか、ローカルファイルにコピーして安全に保存します。詳細については、「サブアカウントのアクセスキーの管理」をご参照ください。

ステップ 2: Alibaba Cloud で COS ログのインポートを設定する

Security Center に COS へのアクセスを承認する

Security Center コンソール > システム設定 > 機能設定に移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
マルチクラウドの設定と管理 タブで マルチクラウドアセット を選択し、権限の新規付与 をクリックし、ドロップダウンから IDC を選択します。開いたパネルで、次のパラメーターを設定します:
- ベンダー: [AWS-S3] を選択します。
- 接続タイプ: [S3] を選択します。
- エンドポイント: COS バケットのアクセスドメイン名 (エンドポイント) を取得する。
- アクセスキー ID/シークレットアクセスキー: 「AccessKey ペアを設定する」からのキー。
同期ポリシーの設定
AK サービスのステータスチェック: Security Center が Tencent Cloud アカウントの AccessKey ペア の有効性を自動的にチェックする間隔を設定します。[無効] を選択してこのチェックをオフにすることができます。

データインポートタスクの作成

Security Center コンソール > CTDR > 統合センターに移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese Mainland または Chinese Mainland。
Data Import タブで、Add Data をクリックします。開いたパネルで、次のパラメーターを設定します:
- エンドポイント: COS バケットのアクセスドメイン名 (エンドポイント) を取得する。
- バケット: COS バケット
ターゲットデータソースの設定
- データソース名: 通常のステータスのカスタムデータソース (Custom Log Capability/CTDR Dedicated Channel) を選択します。適切なデータソースが存在しない場合は、「データソースの設定」をご参照ください。新しいものを作成します。
- ターゲット Logstore: システムは、選択したデータソースの下にある Logstore を自動的にフェッチします。
[OK] をクリックして設定を保存します。インポート設定が完了すると、Security Center は Tencent Cloud からログを自動的にプルします。

インポートされたデータの分析

データを SLS にインポートした後、取り込みルールと検出ルールを設定して、Security Center でのログ分析を有効にします。

新しい取り込みポリシーの作成
「CTDR 2.0 にプロダクトを追加する」をご参照ください。次の設定で新しい取り込みポリシーを作成します。
- Data Source: データインポートタスクで設定した ターゲットデータソース を選択します。
- Standardized Rule: CTDR は Tencent Cloud ログ用の組み込み標準化ルールを提供します。「標準化されたログアクセスルール」をご参照ください。カスタムルールを作成することもできます。
- Standardization Method: デフォルトは Real-time Consumption で、変更できません。
脅威検出ルールの設定
セキュリティニーズに基づいて、ルール管理でログ検出ルールを有効化または作成します。これにより、システムはログを分析し、アラートを生成し、セキュリティイベントを作成できます。具体的な手順については、「脅威検出ルールの設定」をご参照ください。

課金

このソリューションには、以下のサービスからの料金が含まれます。実装前に、各プロダクトの課金ドキュメントを注意深く確認してコストを見積もってください。

Tencent Cloud:

サービス名	料金項目	課金ドキュメント
CLS	ログストレージ、読み取り/書き込み操作など。	Tencent Cloud Log Service - 課金概要。
COS	ストレージ容量、リクエスト、パブリックネットワークトラフィックなど。	Tencent Cloud COS - 課金概要。

Alibaba Cloud:

Alibaba Cloud 側では、コストは選択した データストレージ方法 によって異なります。

説明

CTDR の課金については、「CTDR サブスクリプション」および「CTDR 従量課金」をご参照ください。

Simple Log Service (SLS) の課金については、「SLS 課金概要」をご参照ください。

データソースタイプ	CTDR 料金項目	SLS 料金項目	詳細
CTDR-Dedicated Channel	ログ取り込み料金。ログストレージおよび書き込み料金。説明両方ともログアクセストラフィックを消費します。	ストレージと書き込み以外の料金 (パブリックネットワークトラフィックなど)。	CTDR は SLS リソースを作成および管理します。したがって、Logstore のストレージおよび書き込み操作は CTDR に課金されます。
User Log Service	ログ取り込み料金。ログアクセストラフィックを消費します。	すべてのログ関連料金 (ストレージ、書き込み、パブリックネットワークトラフィックなど)。	ログリソースは SLS によって完全に管理されます。したがって、すべてのログ関連料金は SLS によって課金されます。

よくある質問

データインポートタスクを作成した後、SLS にログデータが表示されない場合はどうすればよいですか？
1. サードパーティクラウドの確認: Tencent Cloud コンソールにログオンして、ログが正常に生成され、設定した CLS、Kafka Topic、または Object Storage バケットに配信または配布されていることを確認します。
2. 権限付与資格情報の確認: Security Center の [マルチクラウド資産] ページで、権限付与ステータスが正常かどうかを確認します。AccessKey ペア が有効で、パスワードが正しいこと、特に Tencent Cloud Kafka の Id#Key 連結形式が正しいことを確認します。
3. ネットワーク接続の確認: Kafka 方式を使用している場合は、サードパーティクラウドの Kafka サービスでパブリックアクセスが有効になっていることを確認します。また、セキュリティグループまたはファイアウォールルールが Security Center のサービス IP からのアクセスを許可していることを確認します。
4. データインポートタスクの確認: Security Center の [データインポート] ページで、タスクのステータスとエラーログを確認します。提供された情報に基づいて修正します。
権限を付与する際に、Tencent Cloud ではなく Apache または AWS-S3 を選択するのはなぜですか？
これは、ログのインポートがベンダー固有の API ではなく、標準の互換性のあるプロトコルを使用するためです。
- IDC はプロトコルベンダーを表し、Apache は Kafka を、AWS-S3 はオブジェクトストレージを表します。
- Tencent Cloud の権限付は、CTDR の脅威検出ルールを Tencent Cloud と統合してセキュリティイベントの連携 (IP のブロックなど) を行う場合にのみ使用されます。このタイプの権限付与はログのインポートには使用できません。

配布フォーマット	値のタイプ
JSON	`json`
Raw Content	`text`