Agentic SOC サービスは、Resource Directory (リソースディレクトリ) のマルチアカウント管理機能を利用して、ご利用のすべてのアカウントのセキュリティログを一元的に管理・分析します。このトピックでは、脅威検知、イベントレスポンス、セキュリティオペレーションを統合するためのソリューションの設定方法について説明します。
マルチアカウントの概要
アカウントタイプ
アカウントタイプ | 説明 | 責務 |
管理アカウント (MA) | 企業の実名認証を完了した Alibaba Cloud アカウントです。リソースディレクトリの作成者であり、最上位の管理者として、組織全体を完全に制御できます。 | 組織構造 (リソースディレクトリ) を作成し、メンバーを招待または作成し、特定のサービスに対して委任管理者を指定します。1 つのリソースディレクトリには、管理アカウントが 1 つだけ存在します。 |
メンバーアカウント | リソースディレクトリに参加し、特定のサービスやプロジェクトをホストする Alibaba Cloud アカウントです。 | 自身のアカウント内でサービスを実行し、管理ポリシーに従って、必要な Alibaba Cloud プロダクトのログサービスを有効にします。 |
委任管理者アカウント | 管理アカウントによって指定され、特定の Alibaba Cloud サービス (このトピックでは Security Center) の管理業務を実行するメンバーアカウントです。 | Agentic SOC サービスを購入・設定し、対象となるすべてのメンバーアカウントのセキュリティログを一元的に管理・分析し、Agentic SOC サービスとログストレージの費用を負担します。 |
マルチアカウント構成例
Agentic SOC サービスを使用して複数の Alibaba Cloud アカウントのデータを管理する場合、以下のシナリオに基づいてマルチアカウント構造を構築できます。
リソースディレクトリの構造:
管理アカウント:アカウント A
メンバーアカウント:アカウント B、C、D、E
管理計画:
アカウント A は、管理者権限をアカウント B に委任します。
アカウント B は、アカウント C、D、E の Agentic SOC プロダクトのログ統合、脅威検知設定、イベント処理を一元的に管理します。
仕組み
Agentic SOC のマルチアカウント管理ソリューションの中核は、権限委任とデータ集中管理です。管理アカウント (MA) は、リソースディレクトリを通じて、セキュリティ管理の責任を委任管理者アカウントとして指定されたメンバーアカウントに委任します。その後、メンバーアカウント内の Alibaba Cloud プロダクトからのログデータは、分析のために委任管理者の Agentic SOC インスタンスに一元的に収集されます。ワークフローは次のとおりです:
ログの生成と保存:各メンバーアカウント内の Alibaba Cloud プロダクト (WAF や Cloud Firewall など) からのログは、まず各アカウント内の Simple Log Service (SLS) に書き込まれます。
一元的な統合と保存:委任管理者の Agentic SOC サービスは、サービスリンクロールによって付与された権限を使用して、これらのメンバーアカウントの SLS からログデータをリアルタイムで読み取ります。
統合分析:すべてのログが委任管理者の Agentic SOC インスタンスに収集された後、統合された脅威検知と分析に使用されます。
適用範囲
企業の実名認証:管理アカウントとメンバーアカウントを含むすべてのアカウントは、同じ企業に属し、実名認証を完了している必要があります。
適用可能なログソース:現在、Alibaba Cloud プロダクトのログのみが統合可能です。
マルチアカウントのログ統合
ステップ 1: Agentic SOC の購入と有効化
委任管理者が Agentic SOC サービスを購入し、有効化します。詳細については、「Agentic SOC の購入と有効化」をご参照ください。
メンバーアカウントで Agentic SOC サービスが有効になっているかどうかは、ログ統合に影響しません。
マルチアカウントシナリオでは、ログ統合は Real-time Consumption モードのみをサポートします。このモードでは、生ログは自動的に永続化されません。ログの追跡、監査、分析を行うには、Log Storage Capacity を購入して ログ管理 サービスを有効にすることができます。
ステップ 2: マルチアカウントのディレクトリ構造の作成
リソースディレクトリの有効化
初めてリソースディレクトリ機能を使用する場合は、管理アカウントでResource Management コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
リソースディレクトリの有効化 をクリックし、画面の指示に従います。詳細については、「リソースディレクトリの有効化」をご参照ください。
メンバーアカウントの追加
リソースディレクトリでは、次のいずれかの方法でメンバーを追加できます:
メンバーの作成:左側のナビゲーションウィンドウで、 を選択してリソースアカウントを作成します。詳細については、「メンバーの作成」をご参照ください。
メンバーの招待: を選択して、他の Alibaba Cloud アカウントをリソースディレクトリに追加します。詳細については、「Alibaba Cloud アカウントをリソースディレクトリに招待する」をご参照ください。
委任管理者の設定
左側のナビゲーションウィンドウで、 を選択します。[Security Center] の行で、操作 列の [管理] をクリックします。Agentic SOC の購入に使用した Alibaba Cloud アカウントを、信頼済みサービスの委任管理者アカウントとして追加します。詳細については、「委任管理者アカウントの追加」をご参照ください。
重要Security Center の管理者を追加すると、そのアカウントは Security Center - Threat Analysis の管理者にもなります。
ステップ 3: Agentic SOC へのメンバーアカウントの追加
コンソールへのログイン
Agentic SOC サービスを利用している委任管理者アカウントで、Security Center コンソールのマルチアカウント管理設定ページに移動します。ページの左上隅で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
アカウントの追加
[設定] タブの 監視アカウントの合計数 セクションで、アカウント管理 をクリックします。
マルチアカウント管理の設定 パネルで、リソースディレクトリのリストから Agentic SOC に追加するメンバーアカウントを選択し、OK をクリックします。
重要システムは、メンバーアカウント用に AliyunServiceRoleForSasRd と AliyunServiceRoleForSasCloudSiem の 2 つのサービスリンクロールを自動的に作成します。これらのロールは、Agentic SOC サービスがメンバーアカウントからログデータにアクセスして収集するために必要な最小限の権限を付与します。詳細については、「Security Center のサービスリンクロール」をご参照ください。
ステップ 4: クラウドサービスのログサービスの有効化
各メンバーアカウントについて、Security Center を除く関連する Alibaba Cloud プロダクトのログサービスを有効にする必要があります。ログサービスを有効にする方法の詳細については、「Alibaba Cloud プロダクトのログと SLS の統合リファレンス」をご参照ください。
Alibaba Cloud サービスセンターの Logstore にあるセキュリティプロダクトのアラートログ (WAF アラートログや Cloud Firewall アラートログなど) は、自動的に Agentic SOC に配信されます。統合を完了するために、これらのクラウドプロダクトのログサービスを有効にする必要はありません。
ステップ 5: クロスアカウント統合の設定
バッチ自動統合
Agentic SOC は、メンバーアカウント内の Alibaba Cloud ネイティブプロダクトからのログのバッチ自動統合をサポートしています。これを行うには、次の手順を実行します:
Agentic SOC サービスを利用している委任管理者アカウントで、左側のナビゲーションウィンドウで、 を選択します。
バッチ統合の設定
Batch Associate Settings をクリックし、以下のようにパラメーターを設定します。
Access Settings:
Increment Access:有効になっているすべてのアクセスポリシーを保持し、現在の設定のデータソースとポリシーのみを追加します。
Full Access:既存のすべてのアクセス設定を上書きして置き換えます。現在の設定で選択されていないポリシーは無効になります。
警告これは上書き操作であり、実行中のポリシーを誤って無効にし、データ統合の中断につながる可能性があります。注意して進めてください。
Accessible Account:統合するメンバーアカウントを選択します。
Alibaba Cloud Services:接続するクラウドプロダクトとそれに対応するデータソースを選択します。
説明設定を簡素化するために、CTDR には推奨アクセスポリシーが含まれています。Use Recommended Policy をクリックすると、システムはベストプラクティスに基づいて、選択されたクラウドプロダクトに対して最も分析価値の高いデータソースを自動的に選択します。これにより、データ分析を迅速に有効にできます。
Auto-Add New Data Sources:このオプションを有効にすると、システムは新しい Logstore を現在のデータソースの収集範囲に自動的に含めます。手動で追加する必要はありません。
データ統合の確認と開始
設定が完了したら、OK をクリックします。システムは自動的に次の操作を実行します:
完全統合:SLS 内で選択されたアカウントの、選択されたクラウドプロダクトデータソースに関連付けられているすべての有効な Logstore を自動的に統合します。
ポリシーの有効化:選択されたデータソースに対応するアクセスポリシーを自動的に有効にします。
重要新しいアクセスポリシーのデプロイと初期化には時間がかかる場合があります。プロセスが完了するまでお待ちください。
統合ステータスの表示
統合リストに戻り、目的のプロダクトを見つけて、[操作] 列の Multi-account Access Settings をクリックします。
Access Policy タブで、対象のデータソースの [操作] 列にある Multi-account Access をクリックして、詳細ページでその統合ステータスを表示します。
手動統合
Agentic SOC サービスを利用している委任管理者アカウントで、左側のナビゲーションウィンドウで、 を選択します。
統合するクラウドプロダクトを選択し、[操作] 列の Multi-account Access Settings をクリックします。
重要現在、マルチアカウント統合は Alibaba Cloud プロダクトのみをサポートしています。
目的のポリシーテンプレートの [操作] 列で、Multi-account Access をクリックします。アカウント統合設定パネルが表示されます。
説明マルチアカウント統合ページでは、システムは Alibaba Cloud プロダクト用の事前設定された統合ポリシーテンプレートを提供します。これらのテンプレートは変更できません。
Batch Add Account Settings をクリックし、次のパラメーターを設定して [OK] をクリックします。
Accounts:システムは、現在の委任管理者が管理できるすべてのアカウントを自動的に取得します (すでに統合されているアカウントは除きます)。複数のアカウントを選択できます。
ポリシー有効化ステータス:ポリシーを有効にするかどうかを指定します。
統合を待機:新しく追加されたアカウントのログが統合され、統合リストに表示されるまで約 1 分かかります。プロセスが完了するまでお待ちください。
説明システムは、各クラウドプロダクトのログクエリ API または Logstore のデフォルトの命名規則を使用して、各クラウドプロダクトの Logstore 情報を識別します。その後、現在統合されているメンバーアカウントから、統合テンプレートに一致するすべてのログを取得します。
データソースの自動作成:プロダクトログが統合されると、データソースが自動的に作成されます。データソース情報は次のとおりです:
説明ポリシーが有効になっていなくても、メンバーアカウントのデータソースは自動的に作成されます。
Data Source Name:統合テンプレート名_リージョン ID_メンバーアカウント UID。
Data Source Type:カスタム Log Service。
Account UID/Username:メンバーアカウント UID とメンバーアカウントのユーザー名。
マルチアカウントのログ分析
クロスアカウント統合を設定した後、委任管理者は Agentic SOC コンソールですべてのメンバーアカウントのデータに対して、以下の統合操作を実行できます:
統合検知:脅威検知ルールの設定を行い、すべてのアカウントのログデータに対してリアルタイムの脅威検知を実行します。
集中処理:[セキュリティイベント] ページで、すべてのメンバーアカウントからのアラートを一元的に表示および処理します。
自動レスポンス:[レスポンスオーケストレーション] を使用して自動化されたプレイブックを作成し、クロスアカウントのセキュリティイベントを自動的に処理します。
グローバル追跡:[ログ管理] を使用して、すべてのメンバーアカウントの生ログに対して統一された検索と追跡分析を実行します。
統合からのメンバーアカウントの削除
メンバーアカウントからのログデータの統合が不要になった場合は、手動で統合ポリシーをキャンセルできます。
統合をキャンセルしても、作成されたデータソースは削除されません。必要に応じて、データソース管理タブでデータソースを管理できます。
Multi-account Access Settings タブで、統合テンプレートの [操作] 列にある Multi-account Access をクリックします。
新しいアカウント統合設定パネルで、ポリシーを無効にし、アカウントの [操作] 列にある Remove をクリックします。
データソースの削除 (オプション)
データソース管理ページで、メンバーアカウント用に作成されたデータソース (「統合テンプレート名_リージョン ID_メンバーアカウント UID」) を検索し、[削除] をクリックします。
よくある質問
委任管理者として指定したいアカウントが見つからないのはなぜですか?
以下を確認してください:
アカウントのメンバーシップ:アカウントがリソースディレクトリにメンバーとして正常に追加されていることを確認してください。
操作 ID:管理アカウントとしてログインしていることを確認してください。委任管理者を指定する権限を持つのは管理アカウントのみです。
ログ統合のステータスが長時間「失敗」または「データなし」と表示されます。どのようにトラブルシューティングすればよいですか?
メンバーアカウントでログが有効になっていない:メンバーアカウントのオーナーに連絡し、対応する Alibaba Cloud プロダクトのログサービスが有効になっており、SLS にログが配信されていることを確認してください。これはデータ収集の前提条件です。
Agentic SOC の管理範囲:委任管理者の Security Center コンソールで、 に移動し、メンバーアカウントが選択され、管理範囲に含まれていることを確認してください。
サービスリンクロール:メンバーアカウントの RAM コンソールの [ロール] ページで、
AliyunServiceRoleForSasRdとAliyunServiceRoleForSasCloudSiemの 2 つのサービスリンクロールが正常に作成されているかどうかを確認します。作成されていない場合は、Agentic SOC からメンバーアカウントを削除し、再度追加して作成をトリガーしてみてください。統合の遅延:統合の初期化には時間がかかります。プロセスが完了するまでお待ちください。