Security Center:Huawei Cloud アセットのプロビジョニングガイド

1. ユーザーグループの作成と権限の付与

詳細については、「ユーザーグループの作成と権限の付与」をご参照ください。

1. Huawei Cloud コンソールにログインし、 [ユーザーグループ] ページに移動します。[ユーザーグループ] ページの右上隅にある [ユーザーグループの作成] をクリックします。

2. [ユーザーグループの作成] ページで、ユーザーグループ名と説明を入力し、[OK] をクリックします。

3. [ユーザーグループ] ページで、新しいユーザーグループの [アクション] 列にある [権限付与] をクリックします。

4. 必要な機能に必要な権限を設定し、[次へ] をクリックします。

   • ホストアセット:

     • ECS ReadOnlyAccess: Elastic Cloud Server の読み取り専用アクセス権限を付与します。

     • IAM ReadOnlyAccess: Identity and Access Management (IAM) の読み取り専用権限を付与します。

   • クラウドセキュリティポスチャ管理:

     • Tenant Guest: IAM を除くすべてのクラウドサービスの読み取り専用権限を付与します。

     • IAM ReadOnlyAccess: IAM の読み取り専用権限を付与します。

   • 脅威分析とレスポンス: [ポリシーの作成] をクリックして、siemBasePolicy と siemNormalPolicy という名前の 2 つのカスタムポリシーを作成します。次に、現在のユーザーグループにポリシーを付与します。詳細については、「カスタムポリシーの作成」をご参照ください。

     説明

     Huawei Cloud でカスタムポリシーを作成する場合、グローバルレベルのポリシーとプロジェクトレベルのポリシーを作成する必要があります。これにより、最小限の必要な権限を付与できます。

     • siemBasePolicy は、グローバルレベルのクラウドサービスの権限に対応します。ポリシーの内容は次のとおりです。

       {
           "Version": "1.1",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "iam:roles:listRoles",
                       "iam:roles:getRole",
                       "iam:groups:listGroupsForUser",
                       "iam:groups:listGroups",
                       "iam:users:getUser",
                       "iam:groups:getGroup"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "rms:resources:list",
                       "rms:resources:summarize"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "obs:object:GetObject",
                       "obs:bucket:GetBucketLocation",
                       "obs:bucket:HeadBucket",
                       "obs:object:GetObjectVersionAcl",
                       "obs:bucket:ListAllMyBuckets",
                       "obs:bucket:ListBucket",
                       "obs:object:GetObjectVersion",
                       "obs:object:GetObjectAcl"
                   ]
               }
           ]
       }

     • siemNormalPolicy は、プロジェクトレベルのクラウドサービスの権限ポリシーです。ポリシーは次のとおりです。

       {
           "Version": "1.1",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "cfw:ipGroup:list",
                       "cfw:acl:list",
                       "cfw:ipMember:put",
                       "cfw:ipMember:create",
                       "cfw:ipGroup:create",
                       "cfw:instance:get",
                       "cfw:ipGroup:put",
                       "cfw:ipMember:list",
                       "cfw:ipGroup:get",
                       "cfw:ipMember:delete"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "waf:whiteBlackIpRule:list",
                       "waf:whiteBlackIpRule:put",
                       "waf:ipgroup:get",
                       "waf:whiteBlackIpRule:get",
                       "waf:ipgroup:list",
                       "waf:whiteBlackIpRule:create",
                       "waf:whiteBlackIpRule:delete"
                   ]
               }
           ]
       }

5. [権限付与スコープの選択] セクションで、[すべてのリソース] を選択し、[OK] をクリックします。

2. IAM ユーザーの作成と AccessKey ペアの取得

詳細については、「IAM ユーザーの作成」をご参照ください。

1. Huawei Cloud コンソールで、[ユーザー] ページに移動します。[ユーザー] ページで、右上隅にある [ユーザーの作成] をクリックします。

2. ユーザー作成ページで、ユーザー名を入力し、[アクセスタイプ] を [プログラマティックアクセス] に設定し、[次へ] をクリックします。

   

3. [グループに追加 (オプション)] ウィザードページで、前のステップで作成したユーザーグループを選択し、[ユーザーの作成] をクリックします。

4. [アクセスキーのダウンロード] ダイアログボックスで、[OK] をクリックします。

   [credentials] ファイルから Access Key ID と Secret Access Key を取得します。

3. 権限の説明を選択し、IAM ユーザーの AccessKey ペアを送信する

1. Security Center コンソールにログインします。

2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護するアセットが配置されているリージョンを選択します: 中国 または 全世界 (中国を除く)。

3. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、ドロップダウンリストから [Huawei Cloud] を選択します。

   また、次のエントリポイントから [Alibaba Cloud 外部のアセットのプロビジョニング] パネルを開くこともできます。

   • [アセットセンター] > [ホストアセット] ページで、[マルチクラウド資産アクセス] エリアの [HUAWEI CLOUD] の下にある アイコンにカーソルを合わせ、[接続] をクリックします。

   • [脅威管理] > [クラウドセキュリティポスチャ管理] ページの [クラウド製品設定リスク] タブで、[マルチクラウド製品アクセス] エリアの アイコンにポインターを合わせ、[Huawei Cloud] の [アクセス] をクリックします。

   • [脅威分析とレスポンス] > [製品アクセス] ページの [マルチクラウド製品アクセス] エリアで、 アイコンにカーソルを合わせ、[HUAWEI CLOUD] の下にある [アクセス権限付与] をクリックします。

4. [Alibaba Cloud 外部のアセットのプロビジョニング] パネルで、[手動設定] を選択したままにします。[権限の説明] セクションで、使用する Security Center の機能を選択し、[次へ] をクリックします。

   • [ホストアセット]: この設定項目を選択すると、Security Center が Huawei Cloud のホストアセットを自動的に同期できるようになります。この項目を選択すると、次のステップで IAM ユーザーにクラウドサーバーの読み取り権限を付与する必要があります。

   • [クラウドセキュリティポスチャ管理]: この設定項目を選択すると、Huawei Cloud 製品の設定をスキャンし、設定リスクを管理できます。

   • [脅威分析とレスポンス]: この設定項目を選択すると、悪意のある IP アドレスをブロックし、Huawei Cloud アセットで他のレスポンス操作を実行できます。

5. SubscriptionId ウィザードで、IAM ユーザーの AccessKey ID と AccessKey Secret を入力し、次へ をクリックします。

   アカウント名は、同じクラウドサービスプロバイダーの異なるアカウントのアセットを区別します。アカウントの目的に基づいて、わかりやすい名前を指定してください。

   重要

   IAM ユーザーまたはその AccessKey ペアを削除したり無効にしたりしないでください。これにより、プロビジョニングプロセスが中断されないようにします。

4. プロビジョニングポリシー設定の完了

1. Security Center コンソールの [Alibaba Cloud 外部のアセットのプロビジョニング] パネルの [ポリシー設定] ウィザードで、Huawei Cloud アセットのリージョンやデータ同期の頻度などのパラメーターを設定し、[OK] をクリックします。

   設定項目	説明
   リージョン選択	プロビジョニングするアセットが存在するリージョンを選択します。Security Center は、コンソールの左上隅で選択したデータセンター (中国 または 全世界 (中国を除く)) に基づいて、現在のアカウントのアセットデータを対応するデータセンターにプロビジョニングします。
   リージョン管理	このオプションを選択し、現在の Huawei Cloud アカウントに新しいリージョンが追加された場合、Security Center はデフォルトで新しいリージョンのアセットデータを現在のデータセンターにプロビジョニングします。 このオプションを選択しない場合、新しいリージョンは Security Center にプロビジョニングされません。
   Host Asset Synchronization Frequency	Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を選択します。同期を無効にするには [無効化] を選択します。 説明 [権限の説明] で [ホストアセット] を選択した場合は、このパラメーターを設定する必要があります。
   クラウドプロダクトの同期頻度	Security Center が Huawei Cloud クラウド製品を自動的に同期する間隔を選択します。同期を無効にするには [無効化] を選択します。 説明 [権限の説明] で [クラウドセキュリティポスチャ管理] を選択した場合は、このパラメーターを設定する必要があります。
   AK サービスのステータスチェック	Security Center が Huawei Cloud アカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。チェックを無効にするには [無効化] を選択します。

2. 最新のアセットの同期 をクリックして、Huawei Cloud アカウントから Security Center にすべてのアセットを同期します。

1. ルートアカウントの AccessKey ペアの作成

詳細については、「アクセスキーの作成」をご参照ください。

1. Huawei Cloud コンソールにログインし、 [アクセスキー] ページに移動します。

2. [アクセスキーの追加] をクリックします。ダイアログボックスで、[アカウントのアクセスキーを作成するリスクを認識しています] を選択し、[作成を続行] をクリックします。

   

3. [作成成功] ダイアログボックスで [今すぐダウンロード] をクリックします。

   [credentials] ファイルから Access Key ID と Secret Access Key を取得します。

2. ルートアカウントの AccessKey ペアの送信

1. Security Center コンソールにログインします。

2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護するアセットが配置されているリージョンを選択します: 中国 または 全世界 (中国を除く)。

3. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、ドロップダウンリストから [Huawei Cloud] を選択します。

   また、次のエントリポイントから [Alibaba Cloud 外部のアセットのプロビジョニング] パネルを開くこともできます。

   • [アセットセンター] > [ホストアセット] ページで、[マルチクラウド資産アクセス] エリアの [HUAWEI CLOUD] の下にある アイコンにカーソルを合わせ、[接続] をクリックします。

   • [脅威管理] > [クラウドセキュリティポスチャ管理] ページの [クラウド製品設定リスク] タブで、[マルチクラウド製品アクセス] エリアの アイコンにカーソルを合わせ、[Huawei Cloud] の下にある [アクセス] をクリックします。

   • [脅威分析とレスポンス] > [製品アクセス] ページの [マルチクラウド製品アクセス] エリアで、 アイコンにカーソルを合わせ、[HUAWEI CLOUD] の下にある [アクセス権限付与] をクリックします。

4. [Alibaba Cloud 外部のアセットのプロビジョニング] パネルで、[クイック設定] を選択し、[次へ] をクリックします。

5. SubscriptionId ウィザードで、AccessKey ID、AccessKey Secret、アカウント名を入力し、次へ をクリックします。

   アカウント名は、同じクラウドサービスプロバイダーの異なるアカウントのアセットを区別します。アカウントの目的に基づいて、わかりやすい名前を指定してください。

これらの手順を完了すると、Security Center は Huawei Cloud コンソールにプレフィックス AlibabaCloudGroup_ を持つユーザーとユーザーグループを自動的に作成します。このユーザーとユーザーグループは、Security Center にアセットのプロビジョニングを許可するために使用されます。Huawei Cloud アセットのプロビジョニングが中断されないように、ユーザーまたはその AccessKey ペアを削除したり無効にしたりしないでください。

3. プロビジョニングポリシー設定の完了

1. Security Center コンソールの [Alibaba Cloud 外部のアセットのプロビジョニング] パネルの [ポリシー設定] ウィザードで、Huawei Cloud アセットのリージョンやデータ同期の頻度などのパラメーターを設定し、[OK] をクリックします。

   設定項目	説明
   リージョン選択	プロビジョニングするアセットが存在するリージョンを選択します。Security Center は、コンソールの左上隅で選択したデータセンター (中国 または 全世界 (中国を除く)) に基づいて、現在のアカウントのアセットデータを対応するデータセンターにプロビジョニングします。
   リージョン管理	このオプションを選択し、現在の Huawei Cloud アカウントに新しいリージョンが追加された場合、Security Center はデフォルトで新しいリージョンのアセットデータを現在のデータセンターにプロビジョニングします。 このオプションを選択しない場合、新しいリージョンは Security Center にプロビジョニングされません。
   Host Asset Synchronization Frequency	Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を選択します。同期を無効にするには [無効化] を選択します。
   AK サービスのステータスチェック	Security Center が Huawei Cloud IAM ユーザーの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。チェックを無効にするには [無効化] を選択します。

2. 最新のアセットの同期 をクリックして、Huawei Cloud アカウントから Security Center にすべてのホストアセットを同期します。

4. ルートアカウントの AccessKey ペアの削除

詳細については、「アクセスキーの削除」をご参照ください。

1. Huawei Cloud コンソールにログインし、 [アクセスキー] ページに移動します。

2. AccessKey ペアの [アクション] 列にある [無効化] をクリックします。表示されるダイアログボックスで、[OK] をクリックします。

3. AccessKey ペアの [アクション] 列にある [削除] をクリックします。表示されるダイアログボックスで、[OK] をクリックします。

ホストアセット

Security Center コンソールで、アセットセンター > ホストアセット ページに移動します。[マルチクラウド資産プロビジョニング] セクションで、 アイコンをクリックして、プロビジョニングされた Huawei Cloud ホストを表示します。詳細については、「ホストアセット」をご参照ください。

クラウドセキュリティポスチャ管理

Security Center コンソールで、アセットセンター > クラウドプロダクト ページに移動して、IAM ユーザーを使用してプロビジョニングされた Huawei Cloud 製品のリストを表示します。詳細については、「クラウド製品に関する情報の表示」をご参照ください。

脅威分析とレスポンス

Security Center コンソールで、[システム設定] > [機能設定] ページに移動し、[マルチクラウド設定管理] タブをクリックして、脅威分析とレスポンスのサービスステータスを表示します。サービスステータスが [正常] の場合、プロビジョニングは成功です。

ホストアセットへのエージェントのインストールとライセンスのバインド

1. Huawei Cloud アセットに Security Center エージェントをインストールします。詳細については、「エージェントのインストール」をご参照ください。

   重要

   エージェントのインストールコマンドを実行するときは、サービスプロバイダー を [Huawei Cloud] に設定する必要があります。

2. Free Edition は基本的な脅威検出のみを提供し、セキュリティ保護は提供しません。Security Center が提供するセキュリティ保護機能を使用するには、ウイルス対策、プレミアム、エンタープライズ、またはアルティメットエディションなどの Security Center の有料エディションを、プロビジョニングされた Huawei Cloud サーバーにバインドできます。詳細については、「ホストとコンテナーのライセンス管理」をご参照ください。

クラウドセキュリティポスチャ管理のチェックの実行

1. Huawei Cloud 製品の設定リスクをチェックするために、クラウドプラットフォーム設定リスクのチェックポリシーを設定して実行できます。

2. クラウドプラットフォーム設定リスクの失敗したチェック項目を表示して処理できます。

脅威分析とレスポンスへのログの取り込み

脅威の検出やセキュリティイベントの処理など、脅威分析とレスポンスの機能を使用するには、Huawei Cloud Web Application Firewall と Cloud Firewall のログを取り込む必要があります。次の手順では、ログを取り込む方法について説明します。

1. Huawei Cloud のログを脅威分析とレスポンスに取り込みます。

   1. 取り込みたいログを指定したクラウド製品にダンプできます。

   2. サードパーティのクラウドアカウントをバインドしてデータソースを設定できます。

   3. サードパーティのクラウド製品のログを取り込むことができます。

2. 脅威の検出やセキュリティイベントの処理など、脅威分析とレスポンスの機能を使用できます。