ログがさまざまなクラウドサービス、サードパーティツール、または自己管理アプリケーションに散在している場合、統一された脅威検出とセキュリティ分析を実行することは困難です。Cloud Threat Detection and Response (CTDR) は、統合された統合センターを提供し、あらゆるソースからのログデータを一元的に収集、標準化、分析するのに役立ちます。これにより、技術環境全体に一貫した検出ルールを適用でき、包括的なセキュリティビューを提供し、効率的な脅威対応を可能にします。
仕組み
CTDR は、モジュラー構成システムを使用して、生ログの統合と標準化を自動化します。中心的な原則は、次の主要コンポーネントが連携して機能することに基づいています。
Data Source: Alibaba Cloud Simple Log Service (SLS) のプロジェクトや Logstore など、生ログのストレージ場所を指定します。
説明CTDR は、CTDR-Dedicated Channel、User Log Service、および Security Center Log Serviceをサポートしています。詳細については、「データソースタイプの比較」をご参照ください。
Standardized Rule:
Standardization Method: ログが標準化された後の処理およびアクセスするための技術的なパターンを指定します。
説明サポートされているメソッドは Real-time Consumption と Scan Query です。詳細については、「標準化メソッドの比較」をご参照ください。
Access Policy: ログ取り込みフローのコア構成です。Data Source、Standardization Method、および Standardized Rule の構成を関連付けて、ログの読み取り、解析、処理方法を指定します。これにより、自動的なログの取り込みと標準化が可能になります。
Alibaba Cloud プロダクトの統合
このプロセスは、Web Application Firewall (WAF)、Cloud Firewall (CFW)、ActionTrail など、すでに SLS Logstore にログを配信している Alibaba Cloud プロダクトに適用されます。
統合フローチャート
ステップ 1: プロダクトログ配信の有効化
ログを統合する前に、ターゲットのクラウドプロダクトのログ監査機能を有効にし、そのログを SLS に配信する必要があります。これにより、CTDR がデータを読み取ることができます。
中央の Logstore にある Alibaba Cloud セキュリティプロダクトからのアラートログの場合、データは自動的に CTDR に配信されます。クラウドプロダクトのログサービスを有効にすることなく、統合を完了できます。例としては、WAF アラートログや Cloud Firewall アラートログなどがあります。
WAF や CFW などのクラウドプロダクトのコンソールに移動し、ログ管理または Simple Log Service のエントリポイントを見つけます。詳細については、「Alibaba Cloud プロダクトログを SLS に統合するためのリファレンス」をご参照ください。
プロダクトのドキュメントに従って、ログ配信を有効にします。この操作により、通常、SLS にプロジェクトと 1 つ以上の Logstore が自動的に作成されます。
説明Simple Log Service コンソールにログインして、プロダクトによって配信されたログの Project と Logstore を表示できます。たとえば、WAF ログのプロジェクト名は通常
wafnew-logstoreです。
ステップ 2: 組み込みアクセスポリシーの有効化
自動でバッチ有効化
CTDR は、Alibaba Cloud プロダクトからのログのバッチ統合をサポートしています。この機能は、アクセスポリシーを自動的に有効にし、データソースを検出できます。手順は次のとおりです。
コンソールにログイン
Security Center コンソール - CTDR - 統合センターに移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese MainlandまたはOutside Chinese Mainland。
バッチ統合の構成
Batch Associate Settings をクリックし、指示に従って構成を完了します。
Access Settings:
Increment Access: 有効になっているすべてのアクセスポリシーを保持し、現在の構成からデータソースとポリシーのみを追加します。
Full Access: 既存のすべてのアクセス設定を上書きして置き換えます。現在の構成で選択されていないポリシーは無効になります。
警告これは上書き操作であり、実行中のポリシーを誤って無効にし、データ統合の中断につながる可能性があります。注意して進めてください。
Accessible Account: 現在のアカウントとそのメンバーアカウントを選択します。
Alibaba Cloud Services: 接続するクラウドプロダクトとそれに対応するデータソースを選択します。
説明構成を簡素化するために、CTDR には推奨されるアクセスポリシーが含まれています。Use Recommended Policy をクリックすると、システムはベストプラクティスに基づいて、選択したクラウドプロダクトに対して最も分析価値のあるデータソースを自動的に選択します。これにより、データ分析を迅速に有効にできます。
Auto-Add New Data Sources: このオプションを有効にすると、システムは新しい Logstore を現在のデータソースの収集範囲に自動的に含めます。手動で追加する必要はありません。
データ統合の確認と開始
構成が完了したら、OK をクリックします。システムは自動的に次の操作を実行します。
フル統合: 選択したアカウント内の選択したクラウドプロダクトデータソースに関連付けられている、有効になっているすべての Logstore を SLS 内で自動的に統合します。
ポリシーのアクティベーション: 選択したデータソースに対応するアクセスポリシーを自動的に有効にします。
重要新しいアクセスポリシーのデプロイと初期化には時間がかかる場合があります。プロセスが完了するまでお待ちください。
有効化ステータスの確認
アクセスリストに戻り、アクセスするプロダクトを選択し、[アクション] 列の アクセス設定 をクリックします。
説明メンバーアカウントの場合、Multi-account Access Settings の [アクセスポリシー] タブで、ターゲットデータソースの [アクション] 列にある Multi-account Access をクリックします。
アクセス状態は [アクセスポリシー] リストページで確認できます。状態が異常な場合は、データソースのステータスを確認してください。詳細については、「データソース接続ステータスの確認」をご参照ください。
手動で有効化
データソースの構成
CTDR には、主要な Alibaba Cloud プロダクト用の事前構成済みデータソースがあります。これらの構成を確認して、Logstore 情報と一致していることを確認する必要があります。
クラウドプロダクトの検索
Security Center コンソールにログインし、[CTDR] > [統合センター] に移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese MainlandまたはOutside Chinese Mainland。
プロダクトアクセス タブで、Service Provider フィルターを Alibaba Cloud に設定し、Web Application Firewall などの統合するプロダクトを選択して、[アクション] 列の アクセス設定 をクリックします。
データソースのステータスの確認
プロダクトに関連付けられているデータソースの名前をクリックします。ページが [データソース] タブにリダイレクトされます。
データソースを見つけて、その接続ステータスを確認します。
正常: CTDR が Logstore にアクセスできることを示します。次のステップに進むことができます。
異常: 構成が正しくないことを示します。データソースの アクション 列の 編集 をクリックし、次の情報を確認します。
インスタンス情報: ステップ 1 で記録したリージョン、プロジェクト、Logstore が完全に一致しているかどうかを確認します。
ソースログサービス: SLS Logstore サービスが実行中であることを確認します。たとえば、プロジェクトが無効になっておらず、ログがまだ書き込まれているなどです。
未接続: データソースが構成されていないことを示します。
データソースの アクション 列の 編集 をクリックします。
Create Instance をクリックし、ステップ 1 で自動的に作成された Logstore 情報 (Region ID、Project、Logstore) を選択します。
組み込みのアクセス ポリシーを有効にする
ログ処理パイプラインを開始して、CTDR がプロダクトログを自動的に分析できるようにします。
プロダクトアクセス タブに戻り、再度プロダクトの アクセス設定 ページに移動します。
標準化メソッドの変更 (オプション)
一部のプロダクトポリシーでは、編集ページで Standardization Method を変更できます。サポートされているメソッドは Real-time Consumption と Scan Query です。詳細については、「標準化メソッドの比較」をご参照ください。
重要データソースタイプが Security Center Log Service またはアラートログの場合、標準化メソッドは Real-time Consumption であり、変更できません。
Standardization Category or Structure に関連付けられているデータセット (StoreView) に、すでに「Scan Query」パターンの 5 つのアクセス ポリシーがアタッチされている場合、現在のポリシーに対して「Real-time Consumption」を選択する必要があります。そうしないと、アクセス ポリシーを有効にできません。
ログ標準化テスト
標準化メソッドを変更した場合は、ログ標準化テストを実行する必要があります。
警告Data Source の Logstore にデータが含まれていることを確認してください。Logstore が空の場合、ログ標準化テストは実行できません。
ボタンをクリックします。システムは SPL 構文を使用してログデータを解析し、結果を返します。結果のドロップダウンリストから項目を選択してテストデータとして使用し、次に Parse and Test をクリックします。
テストに合格したら、[完了] をクリックします。
説明テストが失敗した場合は、解決策について「ログ標準化テストが失敗した場合、またはデータを解析できない場合の対処方法」をご参照ください。
ポリシーを有効にする
ポリシーの Enabling Status 列にあるスイッチをオンにします。
重要CTDR の購入時に推奨アクセス ポリシーを有効にした場合、Security Center、WAF、Cloud Firewall、および ActionTrail の組み込みポリシーはデフォルトで有効になります。推奨アクセス ポリシーを有効にするには、「サブスクリプションのアクセス ポリシーを有効にする」および「従量課金のログアクセス ポリシーを有効にする」をご参照ください。
ステップ 3: 新しいアクセスポリシーの追加 (オプション)
一部のプロダクトはカスタムアクセスポリシーをサポートしています。カスタムアクセスポリシーを追加する手順は次のとおりです。
アクセスポリシーリストで、Create Access Policy をクリックします。
説明Create Access Policy ボタンが表示されない場合、そのプロダクトはこの機能をサポートしていません。
[アクセスポリシーの作成] ページで、Data Source、Standardized Rule、および Standardization Method を選択します。適切なデータソースまたは標準化ルールがない場合は、新しいデータソースとカスタム標準化ルールを作成できます。
重要現在のアカウントに属するデータソースのみを選択できます。メンバーアカウントのデータソースはサポートされていません。
Test Log Standardization を完了し、ポリシーを有効にします。
サードパーティログの統合
CTDR は、Fortinet、Chaitin、Microsoft、Sangfor、Tencent Cloud、Huawei Cloud、Hillstone Networks、Knownsec、Microsoft Cloud などのサードパーティクラウドからのログ、およびカスタムプロダクトアプリケーションからのログの統合をサポートしています。手順は次のとおりです。
サードパーティクラウドプロダクトからのログの統合
SLS にないログ
Tencent Cloud および Huawei Cloud の WAF および CFW プロダクトについては、CTDR はログの統合を支援するデータインポート機能を提供します。
範囲
クラウドプロバイダー | プロダクト | ログタイプ |
Tencent Cloud | Web Application Firewall (WAF) | 攻撃ログ、アクセスログ |
Cloud Firewall (CFW) | アラートログ | |
HUAWEI CLOUD | Web Application Firewall (WAF) | 攻撃ログ、アクセスログ |
Cloud Firewall (CFW) | アラートログ |
統合フローチャート
手順
データソースの作成
サードパーティのクラウドログデータ用に専用の CTDR データソースを作成します。すでに作成済みの場合は、このステップをスキップできます。
Security Center コンソール - 脅威分析とレスポンス - 統合センターに移動します。ページ左上で、保護したい資産のリージョンを選択します: Chinese MainlandまたはOutside Chinese Mainland。
Data Source タブで、Tencent Cloud のログを受信するためのデータソースを作成します。詳細については、「データソースの作成: SLS にないログ」をご参照ください。
Source Data Source Type: User Log Service または CTDR-Dedicated Channel を選択します。詳細については、「データソースタイプの比較」をご参照ください。
インスタンス接続: データを分離するために、新しい Logstore を作成することをお勧めします。
データのインポート
「Huawei Cloud ログデータのインポート」および「Tencent Cloud ログデータのインポート」を参照し、ステップ 1 で作成したデータソースにサードパーティのクラウドデータをインポートします。
アクセスポリシーの構成
プロダクトアクセス タブに戻り、Service Provider フィルターを Huawei Cloud などのサードパーティメーカーに設定します。
ターゲットプロダクトの [アクション] 列で、アクセス設定 をクリックします。アクセスポリシーの詳細ページで、Create Access Policy をクリックします。
以下のようにデータソースを構成します。
Data Source Name: ステップ 1 で作成したデータソースを選択します。
Standardized Rule: Huawei Cloud または Tencent Cloud と互換性のある、CTDR が提供する組み込みの標準化ルールを選択することをお勧めします。
説明「標準化ルールとデータセット」を参照して、カスタム標準化ルールを作成することもできます。
Standardization Method: Real-time Consumption のみがサポートされています。Scan Query はサポートされていません。
Test Log Standardization ページで、Parse and Test をクリックします。詳細については、「ログ標準化テスト」をご参照ください。
警告Data Source に対応する Logstore にデータが含まれていることを確認してください。そうでない場合、ログ標準化テストを実行できません。
テストに合格したら、[完了] をクリックします。その後、ポリシーを有効にします。
SLS 内のログ
Logtail や Syslog-ng などのメソッドを使用して、Fortinet、Chaitin、Sangfor などのサードパーティプロダクトからすでに SLS Logstore にログを収集している場合、取り込みフローは次のようになります。SLS にデータを取り込む方法については、「データ収集の概要」をご参照ください。
データソースの構成
統合プロダクトの検索
Security Center コンソール > CTDR > 統合センターに移動します。ページ左上で、保護したい資産が所在するリージョンを選択します: Chinese MainlandまたはOutside Chinese Mainland。
Service Provider フィルターをサードパーティベンダー (Huawei Cloud など) に設定します。統合するプロダクト (Web Application Firewall など) を選択し、右側の [統合設定] をクリックします。
データソースの変更
プロダクトに関連付けられているデータソースの名前をクリックします。[データソース] タブにリダイレクトされます。次に、データソースの アクション 列の 編集 をクリックします。
Create Instance をクリックし、サードパーティプロダクトのログが保存されている Region ID、Project、および Logstore を選択します。
説明Simple Log Service コンソールにログインして、クラウドプロダクトの Logstore 情報を表示できます。
組み込みアクセスポリシーの有効化
プロダクトアクセス タブに戻り、プロダクトの アクセス設定 ページに再度移動します。
ターゲットの組み込みアクセスポリシーの [アクション] 列にある [編集] ボタンをクリックします。Test Log Standardization ページで、Parse and Test をクリックします。詳細については、「ログ標準化テスト」をご参照ください。
テストに合格したら、[完了] をクリックします。その後、ポリシーを有効にします。
カスタムプロダクトアプリケーションからのログの統合
統合フローチャート
プロダクトの追加
Security Center コンソール - CTDR - 統合センターに移動します。ページ左上で、資産が所在するリージョンを選択します: Chinese MainlandまたはOutside Chinese Mainland。
プロダクトアクセス タブの Multi-cloud Service Access エリアで、Add Service をクリックし、Vendor Name と Service Name を入力します。
データソースの追加
Data Source タブで、Add Data Source をクリックします。詳細については、「データソース」をご参照ください。次のパラメーターを構成します。
プロダクトログがすでに SLS に収集されている場合は、Data Source Type を User Log Service に設定し、対応する Logstore を選択します。
説明Simple Log Service コンソールにログインして、プロダクトの Logstore 情報を表示できます。
プロダクトログが SLS に収集されていない場合:
Data Source Type を CTDR Dedicated Channel に設定すると、CTDR は SLS に専用のプロジェクト (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) と専用の Logstore を作成します。
CTDR は SLS に専用のプロジェクト (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) と専用の Logstore を作成します。
Data Source Type を User Log Service に設定した場合は、まず Simple Log Service コンソールに移動して、対応する Logstore を作成する必要があります。
重要データソースが構成された後、「データ収集の概要」を参照するか、SLS ヘルプデスクに連絡してプロダクトログを収集し、対応する SLS Logstore に送信してください。
標準化ルールの追加
Standardized Rule タブで、Create Custom Rule をクリックします。詳細については、「カスタム標準化ルールの作成」をご参照ください。
説明ベンダーとプロダクトがステップ 1 で追加したプロダクトと一致していることを確認してください。
アクセスポリシーの追加と有効化
プロダクトアクセス タブに戻り、ステップ 1 で追加したプロダクトを見つけて、[アクション] 列の アクセス設定 をクリックします。
[取り込み設定] ページで、Create Access Policy をクリックします。[取り込みポリシーの作成] ページで、Data Source と Standardized Log の次のパラメーターを構成します。
Data Source: ステップ 2 で構成したデータソースを選択します。
Standardized Rule: ステップ 3 で構成したルールを選択します。
Standardization Method: サポートされているメソッドは Real-time Consumption と Scan Query です。詳細については、「標準化メソッドの比較」をご参照ください。
重要データソースタイプが CTDR Dedicated Channel の場合は、Real-time Consumption を選択します。
Test Log Standardization ページで、Parse and Test をクリックします。詳細については、「ログ標準化テスト」をご参照ください。
警告Data Source の対応する Logstore にデータがあることを確認してください。Logstore が空の場合、ログ標準化テストは実行できません。
テストに合格したら、[完了] をクリックします。その後、ポリシーを有効にします。
統合データの分析
プロダクトログが統合された後、脅威検出ルールを構成してログを分析し、アラートとセキュリティイベントを生成し、クラウドセキュリティリスクへの対応と処理を支援する必要があります。詳細については、「脅威検知ルールの構成」をご参照ください。
クォータと制限
スキャンクエリモードの制限: データセット (Standardized Rule に関連付けられている) は、「Scan Query」モードで最大 5 つのアクセスポリシーにアタッチできます。
マルチアカウント統合の制限:
メンバーアカウントからのログは、Real-time Consumption モードを使用してのみ取り込むことができます。Scan Query はサポートされていません。詳細については、「マルチアカウント管理機能」をご参照ください。
メンバーアカウントに属するデータソースに対してカスタムアクセスポリシーを追加することはできません。
標準化メソッドの制限: データソースタイプが CTDR-Dedicated Channel であるか、取り込まれたログタイプが「アラートログ」である場合、Real-time Consumption のみがサポートされます。
課金情報
CTDR を使用してログを統合すると、選択したデータソースタイプに応じて、次の料金が発生する場合があります。
CTDR サブスクリプションおよびCTDR 従量課金の課金。
データソースタイプ | CTDR 課金項目 | SLS 課金項目 | 注意 |
CTDR-Dedicated Channel |
説明 これらの項目は ログアクセストラフィック を消費します。 | インターネットトラフィックなど、ログストレージと書き込み以外のサービスの料金。 | CTDR は SLS リソースを作成および管理します。したがって、Logstore のストレージおよび書き込み料金は CTDR によって請求されます。 |
User Log Service | ログの取り込みには料金が発生し、ログアクセストラフィック を消費します。 | ストレージ、書き込み、データ転送を含む、ログのすべてのコスト。 | SLS はすべてのログリソースを管理します。SLS はこれらのリソースのすべての料金を請求します。 |
Security Center Log Service | ログの取り込みは ログアクセストラフィック を消費します。 | なし | これは内部の Security Center ログです。SLS 料金は適用されません。 |
リファレンス
Standardization Method の比較
比較ディメンション | Real-time Consumption | Scan Query |
仕組み | 書き込み時標準化: CTDR はデータソースからログを消費し、ログを標準化してから CTDR ログスペースに保存します。 | スキーマオンリード: レプリカを保存せずに、データソースインスタンスから直接ログを読み取ります。 |
主な利点 | 高いクエリパフォーマンスと高速な分析。 | 軽量なデプロイメントと低コスト。 |
ログストレージと料金 | Log Storage Capacity を購入すると、標準化されたログは自動的に CTDR のログ管理に配信されます。この配信は CTDR の Log Storage Capacity を消費し、無効にすることはできません。 | ログレプリカは保存されません。SLS などのソースが、生ログストレージに対して課金されます。 |
適用可能なデータソースタイプ |
| User Log Service (アラートログを除く) |
パフォーマンスとクォータ | アクセスポリシーの数に制限はありません。 |
|
マルチアカウントアクセス | サポートされています。 | サポートされていません。 |
シナリオの制限 | データソースが CTDR 専用データ収集チャネルであるか、ログタイプがアラートログである場合は、このパターンを選択する必要があります。 | なし |
Data Source タイプの比較
比較ディメンション | User Log Service | CTDR-Dedicated Channel | Security Center Log Service |
ログストレージと管理 | 独自の SLS プロジェクトと Logstore を管理します。 | CTDR は専用の SLS プロジェクトと Logstore を自動的に作成および管理します。 | Security Center は、その内部ログを SLS に保存しません。 |
サポートされている標準化メソッド | Real-time Consumption、Scan Query (アラートログを除く) | Real-time Consumption | Real-time Consumption |
ユースケース |
|
| Security Center の内部ログを分析します。 |
Alibaba Cloud プロダクトログを SLS に統合するためのリファレンス
Web Application Firewall: WAF 3.0 ログ。
Cloud Firewall: Cloud Firewall ログ。
Bastionhost: 監査ログを Simple Log Service にアーカイブする。
ActionTrail: プラットフォーム操作ログ。
Anti-DDoS: 完全なログ分析の開始。
DCDN: Global Accelerator アクセスログ。
API Gateway: API Gateway アクセスログ。
Container Service for Kubernetes: ログ管理。
PolarDB: ログ分析。
ApsaraDB for MongoDB: MongoDB ログ。
Server Load Balancer (SLB): ALB アクセスログ、アクセスログ、Classic Load Balancer (CLB) のレイヤー 7 アクセスログ、およびClassic Load Balancer (CLB) の第 2 レベルのレイヤー 4 監視メトリック。
Object Storage Service: OSS アクセスログ。
File Storage NAS: SLS に基づくログ分析。
CloudConfig: 構成監査ログ。
よくある質問
データソースの接続ステータスが「異常」または「未接続」と表示されるのはなぜですか?
次の項目を順番に確認してください。
RAM 権限: CTDR のサービスリンクロール
AliyunServiceRoleForSasが SLS Logstore にアクセスする権限 (少なくともAliyunLogReadOnlyAccess) を持っているかどうかを確認します。これが最も一般的な原因です。構成情報: CTDR のデータソース編集ページで、SLS のリージョン、プロジェクト、Logstore の名前が正しいかどうかを確認します。スペルミスや余分なスペースがないことを確認してください。
ソース Logstore のステータス: SLS コンソールにログインし、プロジェクトが無効になっておらず、新しいデータが Logstore に書き込まれていることを確認します。
アクセスポリシーが有効にならないのはなぜですか?
単一のデータセット StoreView (Standardized Rule の Standardization Category or Structure によって決定される) は、「スキャンクエリ」モードで最大 5 つのアクセスポリシーにアタッチできます。この制限を超えると、アクセスポリシーは有効になりません。解決策については、「アクセスポリシーを有効にできません」をご参照ください。
ログ標準化テストが失敗した場合、またはデータを解析できない場合はどうすればよいですか?
ソース Logstore にデータが含まれているかどうかを確認する: 新しいログが SLS Logstore に書き込まれていること、できれば過去 1 時間以内に書き込まれていることを確認します。Logstore が空の場合、テストは続行できません。
標準化ルールが一致するかどうかを確認する: カスタムルールを使用している場合は、SPL ステートメントが生のログ形式を正しく解析できることを確認します。SLS コンソールのクエリおよび分析ページで SPL ステートメントをデバッグできます。