Security Center：接入第三方雲資產

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

在左側導覽列，選擇系統配置 > 功能設定。

在多云配置管理 > 多云资产頁簽，單擊新增授权，在下拉式清單中，選擇需要接入的多雲廠商（騰訊雲、華為雲或AWS）。

在接入云外资产面板，按照指引完成建立對應雲廠商的子帳號，建立第三方雲端服務器和Security Center服務之間的串連。

1. 根據控制台頁面提示操作，登入第三方雲廠商平台，建立第三方帳號AK（AccessKey）。

   支援選擇手动配置方案和快速配置方案。

   • （推薦）手动配置方案：手動建立第三方雲廠商子帳號，將子帳號AK授權給Security Center。

     根據您需要使用的Security Center防護能力，選擇許可權說明中對應的功能：

     • 主機資產：授予Security Center第三方帳號下雲端服務器的讀許可權。如果您需要Security Center為第三方雲資產提供風險檢查、威脅防禦等安全能力時，請選中該配置項。

     • 雲安全態勢管理：授予Security Center第三方帳號下所有雲資產的讀許可權。如果您需要使用雲安全態勢管理功能掃描第三方雲資產，請選中該配置項。

     • 威脅分析與響應：授予Security Center第三方帳號下所有雲資產的讀許可權以及部分雲資產的寫入權限。如果您需要使用威脅分析與響應功能統一管理第三方雲資產的日誌，並聯動雲資產進行處置響應時，請選中該配置項。

     說明

     不同雲廠商支援接入的資產類型不同，請以實際頁面顯示為準。

     使用子帳號AK時，您需要為子帳號授予Security Center服務所需的許可權，否則會導致Security Center無法正常防護第三方雲資產。請參考控制台步驟配置子帳號許可權。

     防護第三方雲子帳號所需的許可權

     資產類型	騰訊雲	華為雲	AWS
     主機資產	QcloudCVMReadOnlyAccess	ECSReadOnlyAccess IAM ReadOnlyAccess	AmazonEC2ReadOnlyAccess
     雲安全態勢管理	CloudResourceReadOnlyAccess QcloudCamReadOnlyAccess	Tenant Guest AM ReadOnlyAccess	ReadOnlyAccess
     威脅分析與響應	請參見接入第三方雲產品日誌。		暫不支援

   • 快速配置方案：將主帳號AK授權給Security Center，由Security Center自動為您建立子帳號AK。

     說明

     該配置方案僅支援接入主機資產進行防護。不支援接入資產使用雲安全態勢管理和威脅分析與響應功能。

2. 在提交AK嚮導頁面，輸入已擷取的帳號AK資訊和帳號名稱，並單擊下一步。

   帳號名稱用於區分同一雲廠商下的不同賬戶資產，建議您根據其用途設定具有明確含義的名稱。

3. 在審計日志配置嚮導頁面，配置接入第三方資產的日誌資料，單擊下一步。如果不需要接入審計日誌，請單擊跳過。

   重要

   • 審計日誌配置用於擷取雲安全態勢管理中身份許可權管理（CIEM）的檢測項的資料。第三方雲資產使用雲安全態勢管理功能時，如果不配置該項，Security Center將無法檢測CIEM相關檢查項。

   • 僅支援騰訊雲和AWS資產配置該項。華為雲資產無需配置該選項。

     • 在進行騰訊雲資產審計日誌配置前，您需要先前往騰訊雲控制台，建立一個日誌主題並完成相應的自訂許可權配置。具體操作，請參見接入待檢查的雲產品。

     • 在進行AWS資產審計日誌配置前，您需要先前往AWS控制台，建立一個SQS隊列並完成相應的自訂權限原則配置。具體操作，請參見接入待檢查的雲產品。

   • 接入騰訊雲帳號時，依次輸入擷取到騰訊雲CLSLog Service的Kafka主題名稱、Kafka外網服務接入地址資訊和所屬日誌集ID。

   • 接入AWS帳號時，依次輸入擷取到的AWS SQS所在的地區ID和SQS隊列名稱。

4. 在策略配置嚮導頁面，配置接入第三方資產的地區、資料同步頻率等，單擊確定。

   配置項	說明
   選擇地區(選擇接入本管理中心的數據)	選擇第三方帳號下需接入資產所屬地區，Security Center根據您在控制台左上方選擇的資料管理中心（中國或全球（不含中國）），將第三方帳號下的資產資料接入對應的管理中心。
   新增地區接入管理	選中該項後，第三方帳號下如果有新增地區，Security Center預設將新增地區的第三方資產資料接入到當前所在的資料管理中心。 不選中該項時，新增地區將不會被接入到Security Center進行防護。
   主機資產同步頻率	選擇Security Center自動同步第三方主機資產的時間間隔。選擇關閉，表示不同步。 說明 當接入的資產許可權說明選擇主機資產時，需要配置該參數。
   雲產品同步頻率	選擇Security Center自動同步第三方雲產品的時間間隔。選擇關閉，表示不同步。 說明 當接入的資產許可權說明選擇雲安全態勢管理時，需要配置該參數。
   AK服務狀態檢查	選擇Security Center自動檢測第三方帳號AK有效性的時間間隔。選擇關閉，表示不檢測。

5. 單擊同步最新资产，將第三方帳號下的資產同步到Security Center。

   • 如果您使用的是主帳號AK，該主帳號下的所有子帳號的資產將自動同步到Security Center。

   • 如果您使用的是子帳號AK，該子帳號的資產將自動同步到Security Center。

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

在左側導覽列，選擇系統配置 > 功能設定。

在多云配置管理 > 多云资产頁簽，單擊新增授权，在下拉式清單中，選擇需要接入的多雲廠商（Azure）。

在接入云外资产面板，按照指引完成建立對應雲廠商的子帳號，建立第三方雲端服務器和Security Center服務之間的串連。

1. 建立第三方雲廠商的子帳號。

   根據控制台頁面提示操作，您需要登入第三方雲廠商平台，手動建立一個用於接入Security Center的Azure帳號，並擷取操作命令執行結果中的appId、displayName、name、password和tenant資訊。

   重要

   您需要為建立的Azure帳號授予Microsoft.Compute permissions資源下的唯讀許可權。

2. 在提交AK嚮導頁面，輸入上述步驟擷取到的請輸入appId、請輸入password、tenant和Domain，選擇需要接入的資產類型，並單擊下一步。

   支援接入的資產類型為主機資產，表示授權Security Center第三方雲平台帳號下雲端服務器的讀許可權。

3. 在審計日志配置嚮導頁面，配置接入第三方資產的日誌資料，單擊下一步。如果不需要接入審計日誌，請單擊跳過。

   重要

   • 審計日誌配置用於擷取雲安全態勢管理中身份許可權管理（CIEM）的檢測項的資料。第三方雲資產使用雲安全態勢管理功能時，如果不配置該項，Security Center將無法檢測CIEM相關檢查項。

   • 僅支援騰訊雲和AWS資產配置該項。華為雲資產無需配置該選項。

     • 在進行騰訊雲資產審計日誌配置前，您需要先前往騰訊雲控制台，建立一個日誌主題並完成相應的自訂許可權配置。具體操作，請參見接入待檢查的雲產品。

     • 在進行AWS資產審計日誌配置前，您需要先前往AWS控制台，建立一個SQS隊列並完成相應的自訂權限原則配置。具體操作，請參見接入待檢查的雲產品。

   • 接入騰訊雲帳號時，依次輸入擷取到騰訊雲CLSLog Service的Kafka主題名稱、Kafka外網服務接入地址資訊和所屬日誌集ID。

   • 接入AWS帳號時，依次輸入擷取到的AWS SQS所在的地區ID和SQS隊列名稱。

4. 在策略配置嚮導頁面，配置接入第三方資產的地區、資料同步頻率等，單擊確定。

   配置項	說明
   選擇地區(選擇接入本管理中心的數據)	選擇第三方帳號下需接入資產所屬地區，Security Center根據您在控制台左上方選擇的資料管理中心（中國或全球（不含中國）），將第三方帳號下的資產資料接入對應的管理中心。
   新增地區接入管理	選中該項後，第三方帳號下如果有新增地區，Security Center預設將新增地區的第三方資產資料接入到當前所在的資料管理中心。 不選中該項時，新增地區將不會被接入到Security Center進行防護。
   主機資產同步頻率	選擇Security Center自動同步第三方主機資產的時間間隔。選擇關閉，表示不同步。 說明 當接入的資產許可權說明選擇主機資產時，需要配置該參數。
   雲產品同步頻率	選擇Security Center自動同步第三方雲產品的時間間隔。選擇關閉，表示不同步。 說明 當接入的資產許可權說明選擇雲安全態勢管理時，需要配置該參數。
   AK服務狀態檢查	選擇Security Center自動檢測第三方帳號AK有效性的時間間隔。選擇關閉，表示不檢測。