Security Center的威脅分析與響應CTDR(Cloud Threat Detection and Response)服務,可以協助您集中處理來自多雲環境、多賬戶和多產品的警示和日誌資料,提高安全營運效率。您可以使用Resource Management的資來源目錄RD(Resource Directory)、Security Center的多帳號安全管理和威脅分析與響應功能,實現對企業中的多帳號與資源的集中管理。本文介紹如何配置威脅分析與響應多帳號體系。
基本概念
使用威脅分析與響應實現對企業中多帳號與資源的集中管理前,您需要瞭解以下概念。
概念 | 說明 | 歸屬產品 |
管理帳號 | 管理帳號(Management Account,簡稱MA)是一個經過企業實名認證的阿里雲帳號。您可以使用管理帳號開通資來源目錄,開通後,管理帳號就是資來源目錄的超級管理員,對資來源目錄、資源夾和成員擁有完全控制許可權。每個資來源目錄有且只有一個管理帳號。 | 資源管理 |
成員 | 成員是通過資來源目錄建立出來的資源帳號,該資源帳號用於承載您在阿里雲上的某個專案或應用。 如果您已經註冊了阿里雲帳號,您也可以通過邀請的方式將該阿里雲帳號加入到資來源目錄,即成為雲帳號類型的成員。 | |
委派管理員 | 資來源目錄的管理帳號可以將資來源目錄中的成員設定為可信服務的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。 | |
全域帳號管理員 | 全域帳號管理員在控制台使用威脅分析與響應功能時,可以通過切換到全域帳號視圖,配置威脅分析管控範圍內的所有阿里雲帳號的雲產品日誌接入策略、威脅檢測規則,並處理安全事件。 | Security Center |
多帳號體系樣本
使用威脅分析與響應服務管控多個阿里雲帳號的資料時,存在下述典型情境,您可以參考下述情境說明和圖示自行構建多帳號體系。
典型情境:阿里雲帳號A、B、C、D、E歸屬於同一個資來源目錄。阿里雲帳號A為資來源目錄的管理帳號,阿里雲帳號B、C、D、E為資來源目錄的成員。阿里雲帳號A將阿里雲帳號B作為可信服務Security Center-威脅分析委派管理員,統一管理阿里雲帳號B、C、D、E下的威脅分析與響應的產品日誌接入、威脅檢測配置和事件處置等事項。
步驟一:購買威脅分析與響應
每個需要將日誌接入威脅分析與響應的阿里雲帳號,都需要購買日誌接入流量。只有已購買威脅分析與響應日誌接入流量的阿里雲帳號,才能被全域帳號管理員統一管理。具體操作,請參見什麼是Agentic SOC(原威脅分析與響應)。
在威脅分析與響應產品調整計費項目前已購買產品的阿里雲帳號,其資來源目錄下成員帳號無需購買威脅分析與響應。更多資訊,請參見【通知】威脅分析與響應變更計費項目。
步驟二:建立多帳號目錄結構
僅同一個企業認證的阿里雲帳號可以加入同一個資來源目錄。開通資來源目錄服務,並指定已購買Security Center威脅分析與響應的阿里雲帳號為委派管理員帳號。
使用管理帳號登入資源管理主控台。
首次使用資來源目錄功能時,在左側導覽列選擇,然後單擊開通資源目錄,根據頁面提示完成資來源目錄開通。具體操作,請參見開通資來源目錄。
建立資來源目錄成員或邀請其他阿里雲帳號加入資來源目錄。
建立成員:在左側導覽列選擇,建立資源帳號,具體操作,請參見建立成員。
邀請成員:選擇,添加其他阿里雲帳號到資來源目錄,具體操作,請參見邀請阿里雲帳號加入資來源目錄。
將已購買Security Center威脅分析與響應的阿里雲帳號添加為委派管理員帳號。
在左側導覽列選擇,分別在Security Center和雲安全中心-威脅分析的操作列單擊管理,將已購買Security Center威脅分析與響應的阿里雲帳號添加為這兩個可信服務委派管理員帳號。具體操作,請參見添加委派管理員帳號。
步驟三:接入需威脅分析與響應管控的帳號
使用已購買威脅分析與響應的阿里雲帳號登入Security Center控制台。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
如果是首次使用多帳號安全管理功能,單擊開啟Security Center管控。
開啟成功後,系統會自動在成員帳號下建立服務關聯角色AliyunServiceRoleForSasRd,該角色用於在多帳號情境下允許Security Center委派管理員訪問資來源目錄成員帳號的Security Center控制台,以便對企業的多個成員帳號進行統一的安全防護配置,即時監測各個成員帳號的安全風險狀況。
在頁簽,單擊威脅分析監控帳號子頁簽。
如果控制台未顯示配置頁簽,請直接單擊威脅分析監控帳號頁簽。
在监控账号总数地區,單擊帳號管控。
在多帳號管控設定面板,在資來源目錄中的成員帳號中選擇需要接入威脅分析與響應的阿里雲帳號,然後單擊確定。
如果成員帳號未建立服務關聯角色AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem,在執行該操作時會為相應成員帳號建立這兩個服務關聯角色,以便完成相應的功能。更多資訊,請參見Security Center服務關聯角色。
步驟四:配置全域帳號管理員
全域帳號管理員可以切換威脅分析與響應的全域帳號視圖和當前帳號視圖。全域帳號視圖可配置威脅分析管控範圍內的阿里雲帳號的雲產品日誌接入策略、威脅檢測規則,及處理安全事件;當前帳號視圖可配置當前帳號的威脅分析與響應策略。執行下述操作將已購買威脅分析與響應的阿里雲帳號設定為全域帳號管理員。
每個資來源目錄下僅支援將一個帳號設定為Security Center威脅分析與響應的全域帳號管理員。
全域帳號管理員指定後不可變更,請謹慎操作。
在威脅分析監控帳號頁簽全域帳號管理員地區,單擊設定。
在設定全域帳號管理員對話方塊,選擇需作為全域帳號管理員的阿里雲帳號,並單擊確定。
被設定為全域帳號管理員的阿里雲帳號必須是管理帳號或者被設定為資源管理主控台中可信服務Security Center-威脅分析的委派管理員,並且需購買了威脅分析與響應服務。
步驟五:接入雲產品日誌
使用全域帳號管理員登入控制台後,您可以接入當前帳號、已管控帳號和第三方雲帳號的雲產品日誌,實現跨帳號警示和日誌資料的統一監管與分析。
接入阿里雲產品日誌的具體操作,請參見接入阿里雲雲產品日誌。
接入第三方雲產品日誌的具體操作,請參見接入第三方雲產品日誌。
步驟六:使用威脅分析與響應
完成上述步驟後,即可使用威脅分析與響應提供的事件分析、編排響應等功能。全域帳號管理員通過在控制台切換當前帳號視圖和全域帳號視圖,可實現對當前帳號和所有管控帳號的管理。
關於威脅分析與響應的功能說明和使用指導可參考下方文檔連結,瞭解更多資訊:
配置威脅檢測規則:配置檢測事件的預定義和自訂規則。
安全事件:處理安全事件,提升雲系統的安全性。
響應規則:將不同系統或服務按照一定的邏輯進行編排串連,實現安全營運的自動化編排和快速響應。
日誌管理:對雲產品已進行標準化的日誌進行儲存和查詢,以便協助您精準定位各類警示,並進行攻擊溯源,提高對潛在安全威脅的響應速度,並降低多資源環境的日誌管理難度。