Security Center への Huawei Cloud アセットの追加 - Security Center

Security Center は、Huawei Cloud IAM ユーザーの AccessKey ペアを使用して Huawei Cloud API にアクセスし、アセット情報を取得し、ホストアセットおよびクラウドプロダクトを保護対象としてプロビジョニングします。本トピックでは、手動構成とクイック構成の 2 つの方法による権限付与手順について説明します。

重要

本トピックに記載されている Huawei Cloud コンソールの操作手順は参考情報です。詳細な手順については、リンク先の Huawei Cloud ドキュメントをご参照ください。

前提条件

作業を開始する前に、以下の要件を満たしていることを確認してください。

Security Center コンソールSecurity Center コンソールにアクセス可能な Alibaba Cloud アカウント
IAM ユーザーおよびユーザーグループを作成できる権限を持つ Huawei Cloud アカウント
(Agentic SOC の場合) Huawei Cloud でカスタム IAM ポリシーを作成する権限

構成方法の選択

方法	サポートされる機能	使用タイミング
手動構成	ホストアセット、Cloud Security Posture Management (CSPM)、Agentic SOC (1.0 のみ)	CSPM または Agentic SOC を使用する場合、またはセキュリティポリシーにより最小限の権限を持つ専用 IAM ユーザーが必要な場合に使用します。
クイック構成	ホストアセットのみ	ホストアセット保護のみが必要な場合の迅速なセットアップに使用します。Security Center が自動的に IAM ユーザーを作成します。

Agentic SOC のサポートは Agentic SOC 1.0 アーキテクチャにのみ適用され、2.0 には適用されません。

手動構成

手動構成では、専用の Huawei Cloud IAM ユーザーを作成し、必要な権限を付与したうえで、その IAM ユーザーの AccessKey ペアを Security Center に提出する必要があります。

ステップ 1：ユーザーグループの作成と権限の付与

詳細については、Huawei Cloud ドキュメントの「ユーザーグループの作成と権限の付与」をご参照ください。

Huawei Cloud コンソールにログインし、ユーザーグループユーザーグループページに移動します。右上隅の ユーザーグループの作成 をクリックします。
ユーザーグループ名と説明を入力し、OK をクリックします。
ユーザーグループ ページで、新しく作成したユーザーグループの [操作] 列にある 権限付与 をクリックします。

Security Center の必要な機能に基づいて権限を付与し、次へをクリックします。

ホストアセット：

ECS ReadOnlyAccess — Elastic Cloud Server への読み取り専用アクセス
IAM ReadOnlyAccess — Identity and Access Management (IAM) への読み取り専用アクセス

Cloud Security Posture Management：

Tenant Guest — IAM を除くすべてのクラウドサービスへの読み取り専用アクセス
IAM ReadOnlyAccess — IAM への読み取り専用アクセス

Agentic SOC： ポリシーの作成 をクリックして、siemBasePolicy および siemNormalPolicy という名前の 2 つのカスタムポリシーを作成し、両方のポリシーをユーザーグループに付与します。詳細については、Huawei Cloud ドキュメントの「カスタムポリシーの作成」をご参照ください。

siemBasePolicy (グローバルレベル)：

Huawei Cloud では、Agentic SOC 用にグローバルレベルのポリシーとプロジェクトレベルのポリシーという 2 つの別個のカスタムポリシーが必要です。これにより、最小限の権限が保証されます。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy (プロジェクトレベル)：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

権限付与範囲の選択 セクションで、すべてのリソース を選択し、OK をクリックします。

ステップ 2：IAM ユーザーの作成と AccessKey ペアの取得

詳細については、Huawei Cloud ドキュメントの「IAM ユーザーの作成」をご参照ください。

Huawei Cloud コンソールで、ユーザーページに移動し、右上隅の ユーザーの作成 をクリックします。
ユーザー名を入力し、アクセスタイプ を プログラムによるアクセス に設定し、次へをクリックします。
グループに追加 (オプション) ページで、前ステップで作成したユーザーグループを選択し、ユーザーの作成 をクリックします。
アクセスキーのダウンロード ダイアログボックスで、OK をクリックします。ダウンロードされた credentials ファイルから AccessKey ID および AccessKey Secret を取得します。

ステップ 3：IAM ユーザーの AccessKey ペアを Security Center に提出

Security Center コンソールSecurity Center コンソールにログインします。 Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能設定 を選択します。左上隅で、ご利用のアセットが存在するデータセンター (中国本土 または 中国本土以外) を選択します。
マルチクラウド構成管理 > マルチクラウドアセット タブで、権限付与 をクリックし、ドロップダウンリストから Huawei Cloud を選択します。または、以下のいずれかの場所から Alibaba Cloud 以外のアセットのプロビジョニング パネルを開きます。
- [アセット] > [ホスト] ページ： [マルチクラウドアセットの追加] エリアで、[Huawei Cloud] の下にあるアイコンにマウスを上に置き、[追加] をクリックします。
- [リスクガバナンス] > [CSPM] ページ: [クラウドサービス設定リスク] タブで、[マルチクラウドサービス統合] エリアのアイコンにカーソルを合わせ、[Huawei Cloud] の下にある [追加] をクリックします。
- Agentic SOC > インテグレーションセンター ページ：マルチクラウドサービスアクセス エリアで、アイコンにカーソルを合わせ、Huawei Cloud の下にある追加をクリックします。

クラウド外アセットの追加 パネルで、手動構成 を選択したままにします。権限の説明 セクションで、有効化する機能を選択し、次へをクリックします。

機能	有効化される内容
ホストアセット	Security Center が Huawei Cloud のホストアセットを自動的に同期します。IAM ユーザーにクラウドサーバーへの読み取り権限が必要です。
CSPM	Security Center が Huawei Cloud プロダクトの構成をスキャンし、構成リスクを特定します。
Agentic SOC	Security Center が悪意のある IP アドレスをブロックし、ご利用の Huawei Cloud アセットに対して応答操作を実行できます。

AccessKey ペアの提出 ウィザードで、IAM ユーザーの AccessKey ID および AccessKey Secret を入力し、アカウント名を指定して、次へをクリックします。アカウント名は、同一クラウドプロバイダーの異なるアカウントに由来するアセットを区別するために使用されます。アカウントの目的に基づいたわかりやすい名前を使用してください。
重要
IAM ユーザーまたはその AccessKey ペアを削除または無効化しないでください。そうすると、プロビジョニングプロセスが中断されます。

ステップ 4：プロビジョニングポリシーの構成

ポリシー構成 ウィザードで、以下のパラメーターを構成し、OK をクリックします。

パラメーター	説明
リージョンの選択	ご利用のアセットが存在する Huawei Cloud リージョンを選択します。Security Center は、コンソール左上隅で選択したデータセンター (中国本土または中国本土以外) にアセットデータをプロビジョニングします。
リージョン管理	有効にすると、Security Center がご利用のアカウントに追加された新しい Huawei Cloud リージョンから自動的にアセットデータをプロビジョニングします。無効にすると、新しいリージョンはプロビジョニングされません。
ホストアセット同期頻度	Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を設定します。無効を選択すると、同期がオフになります。[権限の説明] でホストアセットを選択した場合は必須です。
クラウドサービス同期頻度	Security Center が Huawei Cloud プロダクトを自動的に同期する間隔を設定します。無効を選択すると、同期がオフになります。[権限の説明] で CSPM を選択した場合は必須です。
AK サービスステータスチェック	Security Center が AccessKey ペアの有効性をチェックする間隔を設定します。無効を選択すると、チェックがオフになります。

アセットの同期 をクリックして、ご利用の Huawei Cloud アカウントから Security Center にすべてのアセットを即時同期します。

クイック構成

クイック構成はホストアセットのみに対応しています。Huawei Cloud のルートアカウントの AccessKey ペアを提出すると、Security Center が自動的に必要な権限を持つ専用 IAM ユーザーを作成します。

ステップ 1：ルートアカウントの AccessKey ペアの作成

詳細については、Huawei Cloud ドキュメントの「アクセスキーの作成」をご参照ください。

Huawei Cloud コンソールにログインし、アクセスキー ページに移動します。アクセスキーアクセスキー
アクセスキーの追加 をクリックします。ダイアログボックスで、リスクを理解した上で、引き続きアカウントのアクセスキーを作成します。 を選択し、作成をクリックします。
作成成功 ダイアログボックスで、今すぐダウンロード をクリックします。ダウンロードされた credentials ファイルから AccessKey ID および AccessKey Secret を取得します。

ステップ 2：ルートアカウントの AccessKey ペアの提出

Security Center コンソールSecurity Center コンソールにログインします。 Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、システム設定 > 機能設定 を選択します。左上隅で、ご利用のアセットが存在するデータセンター (中国または 中国以外) を選択します。
マルチクラウド構成管理 > マルチクラウドアセット タブで、権限付与 をクリックし、ドロップダウンリストから Huawei Cloud を選択します。または、以下のいずれかの場所からパネルを開きます。
- [資産] > [ホスト] ページ：[マルチクラウド資産の追加] エリアで、[Huawei Cloud] の下にあるアイコンにカーソルを合わせ、[追加] をクリックします。
- [リスクガバナンス] > [CSPM] ページの [クラウドサービス設定リスク] タブで、[マルチクラウドサービス統合] エリアのアイコンにポインターを合わせ、[Huawei Cloud] の下にある [追加] をクリックします。
- Agentic SOC > インテグレーションセンター ページ：マルチクラウドサービスアクセス エリアで、アイコンにカーソルを合わせ、Huawei Cloud の下にある追加をクリックします。
Alibaba Cloud 以外のアセットのプロビジョニング パネルで、クイック構成 を選択し、次へをクリックします。
AccessKey ペアの提出 ウィザードで、AccessKey ID、AccessKey Secret、およびアカウント名を入力し、次へをクリックします。アカウント名は、同一クラウドプロバイダーの異なるアカウントに由来するアセットを区別するために使用されます。

以上の手順を完了すると、Security Center が Huawei Cloud コンソールに AlibabaCloudGroup_ というプレフィックスを持つユーザーおよびユーザーグループを自動的に作成します。このユーザーまたはその AccessKey ペアを削除または無効化しないでください。そうすると、プロビジョニングが中断されます。

ステップ 3：プロビジョニングポリシーの構成

ポリシー構成 ウィザードで、以下のパラメーターを構成し、OK をクリックします。

パラメーター	説明
リージョンの選択	ご利用のアセットが存在する Huawei Cloud リージョンを選択します。Security Center は、コンソール左上隅で選択したデータセンター (中国本土または中国本土以外) にアセットデータをプロビジョニングします。
リージョン管理	有効にすると、Security Center がご利用のアカウントに追加された新しい Huawei Cloud リージョンから自動的にアセットデータをプロビジョニングします。無効にすると、新しいリージョンはプロビジョニングされません。
ホストアセット同期頻度	Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を設定します。無効を選択すると、同期がオフになります。
AK サービスステータスチェック	Security Center が Huawei Cloud IAM ユーザーの AccessKey ペアの有効性をチェックする間隔を設定します。無効を選択すると、チェックがオフになります。

アセットの同期 をクリックして、ご利用の Huawei Cloud アカウントから Security Center にすべてのホストアセットを即時同期します。

ステップ 4：ルートアカウントの AccessKey ペアの削除

詳細については、Huawei Cloud ドキュメントの「アクセスキーの削除」をご参照ください。

Huawei Cloud コンソールにログインし、アクセスキー ページに移動します。
AccessKey ペアの [操作] 列で無効をクリックします。はいをクリックして確認します。
[操作] 列で削除をクリックします。はいをクリックして確認します。

結果の確認

ホストアセット

Security Center コンソールで アセット > ホスト に移動します。マルチクラウドアセットプロビジョニング セクションで、アイコンをクリックしてプロビジョニングされた Huawei Cloud ホストを表示します。詳細については、「ホストアセット」をご参照ください。

Cloud Security Posture Management

Security Center コンソールで アセット > クラウドプロダクト に移動し、IAM ユーザーを使用してプロビジョニングされた Huawei Cloud プロダクトの一覧を表示します。詳細については、「クラウドプロダクトに関する情報の表示」をご参照ください。

Agentic SOC

Security Center コンソールで システム設定 > 機能設定 に移動し、マルチクラウド構成管理 タブをクリックします。Agentic SOC サービスステータスが Normal と表示されていれば、プロビジョニングは成功しています。

次のステップ

ホストアセットへのエージェントのインストール

Huawei Cloud ホストに Security Center エージェントをインストールします。詳細については、「エージェントのインストール」をご参照ください。
重要
エージェントインストールコマンドを実行する際は、サービスプロバイダー を Huawei Cloud に設定してください。
保護機能を利用するには、プロビジョニング済みの Huawei Cloud ホストに有料の Security Center エディション (ウイルス対策版、プレミアム版、Enterprise、Ultimate) をバインドします。無料版では基本的な脅威検知機能のみが提供されます。詳細については、「ホストおよびコンテナのライセンス管理」をご参照ください。

CSPM チェックの実行

クラウドプラットフォーム構成リスクのチェックポリシーの構成と実行を実施して、ご利用の Huawei Cloud プロダクトをスキャンします。
失敗した確認項目の表示と対処を参照して、構成リスクを修正します。

Agentic SOC へのログ取り込み

脅威検知やセキュリティイベントハンドリングなどの Agentic SOC 機能を使用するには、Huawei Cloud Web Application Firewall (WAF) および Cloud Firewall からログを取り込みます。