威脅分析與響應(CTDR)服務通過資來源目錄(Resource Directory, RD)的多帳號管理能力,可實現集中管理和分析所有帳號的安全日誌。本文介紹如何配置此方案,以實現統一的威脅檢測、事件響應和安全營運。
多帳號概述
帳號類型
帳號類型 | 帳號說明 | 職責 |
管理帳號 (MA) | 是一個經過企業實名認證的阿里雲帳號,資來源目錄的建立者和最高管理者,擁有對整個組織的完全控制權。 | 建立組織圖(資來源目錄),邀請或建立成員,並指定特定服務的委派管理員。一個資來源目錄有且僅有一個管理帳號。 |
成員帳號 | 加入到資來源目錄中的某個阿里雲帳號,用於承載具體的業務或專案。 | 在自身帳號內運行業務,並根據管理原則開啟所需雲產品的Log Service。 |
委派管理員帳號 | 由管理帳號指定的、在特定雲端服務(本文中為Security Center)中代行管理職責的成員帳號。 | 購買並配置CTDR服務,統一管理和分析所有納入範圍的成員帳號的安全日誌,並承擔CTDR服務及日誌儲存等相關費用。 |
多帳號配置樣本
使用威脅分析與響應服務管控多個阿里雲帳號的資料時,可以參考下述情境構建多帳號體系。
資來源目錄構成:
管理帳號:阿里雲帳號A。
成員帳號:阿里雲帳號B、C、D、E。
管理方案:
帳號A將帳號B委派為管理員。
由B統一管理C、D、E的威脅分析與響應的產品日誌接入、威脅檢測配置和事件處置等事項。
工作原理
CTDR的多帳號管理方案核心是許可權委派與資料集中。通過資來源目錄,管理帳號(MA)將安全管理的職責委派給一個指定的成員帳號(即委派管理員帳號),然後將成員帳號的阿里雲產品日誌資料,統一彙集到委派管理員帳號的CTDR執行個體中進行分析。工作流程如下:
日誌產生與儲存:各成員帳號的雲產品日誌(例如WAF、Cloud Firewall日誌)首先寫入其各自帳號的Log Service(SLS)中。
集中接入與儲存:委派管理員的CTDR服務,利用已獲得的服務關聯角色授權,跨帳號即時讀取這些成員帳號SLS中的日誌資料。
統一分析:所有日誌彙集到委派管理員的CTDR後,進行統一的威脅檢測與分析。
適用範圍
企業實名認證:所有帳號(管理帳號、成員帳號)需屬於同一個企業認證主體。
適用日誌源:目前僅支援接入阿里雲產品日誌。
多帳號日誌接入
步驟一:購買並開通威脅分析與響應
委派管理員購買開通CTDR服務,具體操作請參見購買並開通威脅分析與響應。
成員帳號是否開通CTDR服務,均不影響日誌接入。
多帳號情境下日誌接入僅支援“即時消費”模式,系統不會自動持久化原始日誌。若需要對日誌進行回溯、審計或分析,請購買日誌儲存容量(開通日誌管理服務)。
步驟二:建立多帳號目錄結構
開通資來源目錄
新增成員帳號
在資來源目錄中,通過以下任一方式新增成員:
建立成員:在左側導覽列選擇,建立資源帳號,具體操作,請參見建立成員。
邀請成員:選擇,添加其他阿里雲帳號到資來源目錄,具體操作,請參見邀請阿里雲帳號加入資來源目錄。
設定委派管理員
在左側導覽列選擇,在Security Center操作列單擊管理,將已購買CTDR的阿里雲帳號添加為可信服務委派管理員帳號。具體操作,請參見添加委派管理員帳號。
重要添加Security Center管理員後,該帳號會同步成為Security Center-威脅分析的管理員。
步驟三:將成員帳號接入CTDR
登入控制台
使用已購買CTDR的委派管理員帳號訪問Security Center控制台-系統設定-多帳號安全管理設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
添加帳號
在配置管理頁簽的监控账号总数地區,單擊帳號管控。
在多帳號管控設定面板,從資來源目錄列表中勾選需要接入CTDR的成員帳號,然後單擊確定。
重要系統會自動為成員帳號建立兩個服務關聯角色:AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem,並授予CTDR服務訪問和彙集成員帳號日誌資料的最小許可權。更多資訊,請參見Security Center服務關聯角色。
步驟四:開通雲產品的Log Service
成員帳號要為相關阿里雲雲產品(除Security Center外)開通Log Service,如何開通Log Service,請參見阿里雲產品日誌接入SLS參考。
阿里雲產品業務中心側日誌庫中的雲安全產品警示日誌(如:WAF的警示日誌、Cloud Firewall警示日誌),會自動將資料來源投遞至CTDR,無需開通雲產品Log Service即可完成接入。
步驟五:跨帳號接入設定
批量自動接入
CTDR支援批量自動接入成員帳號下的阿里雲雲原生產品日誌,操作步驟如下:
已購買CTDR的委派管理員在左側導覽列,選擇。
設定批量接入
單擊批量接入設定,參考如下說明完成配置。
接入設定方式:
增量設定:系統會保留所有已啟用的接入策略,僅在此基礎上新增本次配置的資料來源及策略。
全量設定:完全覆蓋並替換所有已有的接入設定。任何未在當前配置中選中的策略,啟用狀態都將會被關閉。
警告此為覆蓋性操作,可能意外關閉正在啟動並執行策略並導致資料接入中斷,請謹慎操作。
接入帳號範圍:選擇需要接入的成員帳號。
阿里雲雲產品範圍:選擇要接入雲原生產品及對應的資料來源。
說明為簡化配置流程,CTDR內建了推薦接入策略。單擊使用推薦接入策略按鈕,系統將基於最佳實務,自動為勾選當前雲產品中最具分析價值的資料來源,以協助您快速啟用資料分析。
自動探索並接入資料來源新增日誌庫(Logstore):啟用此選項後,系統會將後續建立的日誌庫自動納入當前資料來源的採集範圍,無需手動添加。
確認並啟動資料接入
完成配置後,單擊確定,統將自動完成以下操作:
全面接入:自動接入所選帳號當前在阿里雲Log Service(SLS)內,所選雲產品資料來源關聯的所有已啟用日誌庫(Logstore)。
策略生效: 自動開啟所選資料來源對應的接入策略。
重要新的接入策略需要一定時間進行下發和初始化,請耐心等待片刻。
查看接入狀態
返回接入列表,選擇要接入的產品,單擊操作列的多帳號接入設定。
在接入策略頁簽,單擊目標資料來源操作列的跨帳號接入,在詳情頁查看接入狀態。
手動接入
已購買CTDR的委派管理員在左側導覽列,選擇。
選擇需要接入的雲產品,單擊操作列的多帳號接入設定。
重要目前多帳號接入僅支援阿里雲產品。
單擊需要接入的原則範本操作列的跨帳號接入,進入新增接入帳號配置面板。
說明在多帳號接入頁,系統預先設定了阿里雲產品的接入原則範本,且不支援修改。
單擊頁面批量接入帳號設定按鈕,參考如下配置後,單擊確定。
帳號列表:系統會自動拉取當前委派管理員可管控的所有帳號,並排除當前已經接入的帳號,支援多選。
策略啟用狀態:設定策略的啟用狀態。
等待接入:新增的帳號日誌需要等待大約一分鐘時間才能完成接入,顯示在接入列表中,請耐心等待。
說明系統通過各雲產品提供的日誌查詢API或日誌庫預設命名規則來識別各雲產品對應日誌庫資訊,並拉取當前接入成員帳號下取符合接入模板的所有日誌。
自動建立資料來源:產品日誌接入後,會自動建立一個資料來源。資料來源資訊如下:
說明策略未啟用也會自動建立成員帳號資料來源。
資料來源名稱:接入模板名稱_地區ID_成員帳號UID。
資料來源類型:自訂Log Service。
接入帳號UID/使用者名稱:成員帳號UID、成員帳號使用者名稱。
多帳號日誌分析
完成跨帳號接入設定後,委派管理員可以在 CTDR 控制台對所有成員帳號的資料統一進行如下操作:
取消接入成員帳號
若不再需接入成員帳號的日誌資料,可手動取消接入策略。
取消後不會刪除建立的資料來源,若有需求請前往資料來源管理頁簽進行操作。
在多帳號接入設定頁簽,單擊對應的接入模板操作列的模板操作列的跨帳號接入。
新增接入帳號配置面板,關閉啟用狀態後,單擊對應接入帳號操作列的取消接入。
刪除資料來源(可選)
進入資料來源管理頁面。搜尋對應的建立的成員帳號資料來源(“資料來源接入模板名稱_地區ID_成員帳號UID”),單擊刪除。
常見問題
為什麼在指定委派管理員時,找不到想指定的帳號?
請排查以下兩點:
帳號歸屬:確保該帳號已經作為成員成功加入到您的資來源目錄中。
操作身份:確保當前正使用管理帳號進行操作,只有管理帳號有許可權指定委派管理員。
日誌接入狀態長時間顯示“失敗”或“無資料”,如何排查?
成員端日誌未開啟:請聯絡該成員帳號的負責人,確認對應的雲產品Log Service是否已開啟,並已投遞到SLS。這是資料擷取的必要前提。
CTDR管控範圍:在委派管理員的中,確認該成員帳號是否已被勾選並納入管控。
服務關聯角色:在成員帳號的RAM控制台“角色”頁面,檢查
AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem兩個服務關聯角色是否已成功建立。若無,請嘗試在CTDR中移除該成員再重新添加以觸發建立。接入延遲:接入需要一定的初始化時間,請耐心等待。