接入同账号、跨账号和第三方云账号的产品日志_云安全中心(Security Center)-阿里云帮助中心

开通威胁分析与响应后，您可以接入同账号、跨账号和第三方云账号的云产品日志，实现跨资源告警和日志数据的统一监管与分析。接入日志后，威胁分析与响应监控和分析采集到的日志，识别并构建出完整的攻击链路，从而形成详细的安全事件，提升您的告警分析和处理效率。

前提条件

已开通威胁分析与响应服务。具体操作，请参见购买及开通威胁分析与响应。
需要接入威胁分析与响应的云产品已开通日志服务。具体操作，请参见云产品对应的官网文档，或者在接入云产品的页面，单击查看日志开通文档。

接入同账号云产品日志

云产品和威胁分析与响应属于同一阿里云账号时，您可以直接在产品接入页面选择需要接入的云产品和日志类型。

在左侧导航栏，选择威胁分析与响应 > 产品接入。
在产品接入列表，找到需要接入的云产品，在操作列单击接入设置。
在云产品接入面板，找到需要接入的日志类型，在接入账号列单击选择。
在选择账号面板，选择需要接入的账号，根据控制台提示确定是否选择LogStore。
说明
如果您使用的是个人实名认证账号，选择账号面板仅显示您当前的账号。
- 如果云产品只支持使用产品定义的LogStore（例如云安全中心），您只需选中账号，无需选择LogStore，云安全中心会自动接入产品定义的LogStore。
- 如果云产品接入了自定义的Logstore，您需要在选中账号后，在LogStore（格式：regionId.project.logStore）下拉列表选择对应的LogStore或将自定义的LogStore名称复制到此处。LogStore的填写格式为regionId.project.logStore。

接入跨账号云产品日志

如果您希望在云安全中心控制台统一管理多个账号下的云产品日志，您可以使用资源管理（Resource Management）资源目录RD（Resource Directory）和云安全中心的多账号安全管理功能，建立多账号的目录结构，实现对企业中的多账号与资源的集中管理。

重要

仅同一个企业认证的阿里云账号可以加入同一个资源目录，并且一个资源目录下仅可以开通一次威胁分析与响应。如果您的阿里云账号为个人认证账号，威胁分析与响应只能收集当前账号下的日志，您无需配置资源目录服务。

1. 建立多账号目录结构

开通资源目录服务，并指定购买云安全中心威胁分析与响应的阿里云账号为委派管理员账号。

使用管理账号登录资源管理控制台。
首次使用资源目录功能时，在左侧导航栏选择资源目录，然后单击开通资源目录，根据页面提示完成资源目录开通。具体操作，请参见开通资源目录。
创建资源目录成员或邀请其他阿里云账号加入资源目录。
- 创建成员：在左侧导航栏选择资源目录 > 创建成员，创建资源账号，具体操作，请参见创建成员。
- 邀请成员：选择资源目录 > 邀请成员，添加其他阿里云账号到资源目录，具体操作，请参见邀请阿里云账号加入资源目录。
将购买云安全中心威胁分析与响应的阿里云账号添加为委派管理员账号。
在左侧导航栏选择资源目录 > 可信服务，在云安全中心-威胁分析的操作列单击管理，将购买云安全中心威胁分析与响应的阿里云账号添加为委派管理员账号。具体操作，请参见添加委派管理员账号。

2. 接入威胁分析与响应监控账号

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择系统配置 > 多账号安全管理。
如果是首次使用多账号安全管理功能，单击开启云安全中心管控。
开启成功后，系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd，该角色允许云安全中心访问专有网络VPC、云防火墙等云产品的资源，以便威胁分析与响应功能检测已接入的云产品日志，进行日志投递，并处置相关事件，提供告警统一管理、威胁溯源分析等能力。
在多账号安全管理 > 威胁分析监控账号页签，单击添加账号。
在添加账号面板，在资源目录中的成员账号中选择需要接入威胁分析与响应的阿里云账号，然后单击确定。
（可选）在账号列表，为已接入的阿里云账号开启访问授权。
访问授权将为对应账号开启威胁分析与响应安全告警和日志管理页面的只读权限。开启后，对应账号仅可见已接入威胁分析与响应且在该账号管控范围内的资源数据。

3. 接入跨账号云产品的日志

接入跨账号云产品日志的操作步骤与接入同账号云产品日志的操作步骤相同，只是在选择接入的账号时，需要选择跨账号ID。具体操作，请参见接入同账号云产品日志。

接入第三方云产品日志

如果您的业务同时部署在阿里云和第三方云厂商（当前支持华为云和腾讯云），并且您需要跨多个云环境统一管理安全告警，您可以将第三方云账号接入到威胁分析与响应服务，实现一站式的告警监控与运营管理。

1. 配置第三方云平台账号

华为云子账号配置

创建两个自定义策略siemBasePolicy和siemNormalPolicy。具体操作，请参见创建自定义策略。

说明

华为云创建自定义策略时，暂不支持同时选择全局级云服务和项目级云服务，因此需要拆分为两条策略，便于授权时设置最小授权范围。

siemBasePolicy：对应全局级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy：对应项目级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

创建用户组siemUser和readonlyuser，并为用户组授予需要的权限（如下表所示）。具体操作，请参见创建用户组并授权。

用户组	需要授予的权限
siemUser	自定义策略权限：siemBasePolicy、siemNormalPolicy
readonlyuser	LTS ReadOnlyAccess：云日志服务只读权限。 OBS OperateAccess：具有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限。 OBS ReadOnlyAccess：只有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限，无其他权限。 CFW ReadOnlyAccess：云防火墙服务只读权限。 WAF ReadOnlyAccess：Web应用防火墙只读权限。

创建一个IAM用户，并将IAM用户关联到siemUser用户组。具体操作，请参见创建IAM用户。
为IAM用户创建访问密钥。具体操作，请参见管理IAM用户访问密钥。

腾讯云子账号配置

通过策略语法创建一个自定义策略siemPolicy。具体操作，请参见通过策略语法创建自定义策略。

siemPolicy策略配置内容如下：

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

创建一个子账号。具体操作，请参见新建子账号。
为创建的子账号关联siemPolicy策略。具体操作，请参见授权管理。
为子账号创建访问密钥。具体操作，请参见子账号访问密钥管理。

2. 将第三方云账号AK接入威胁分析与响应

您需要将第三方云账号AK接入到威胁分析与响应，以便威胁分析与响应可以获取第三方云资产的告警日志。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
新增第三方云厂商账号授权。
云安全中心通过第三方云厂商的账号AK，获取第三方云资产的读取权限，并同步第三方云资产信息。
1. 在左侧导航栏，选择系统配置 > 功能设置。
2. 在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中，选择需要接入的多云厂商（华为云或腾讯云）。
3. 在编辑多云配置面板，选择手动配置方案，然后在权限说明区域选择威胁分析-全部云产品读权限及部分写权限，单击下一步。
4. 在提交AK向导页面，输入子账号AK信息，然后单击下一步。
5. 在策略配置向导页面，选择AK服务状态检查的周期，然后单击确定。
绑定第三方云厂商账号。
1. 在左侧导航栏，选择威胁分析与响应 > 产品接入。
2. 在多云产品接入区域，移动鼠标到需要绑定的第三方云厂商图标，然后单击账号绑定。
3. 在账号绑定面板，单击新增。
4. 在账号绑定设置面板，输入第三方云厂商的主账号名、主账号ID，并选择授权的子账号AK，然后单击绑定账号，并前往绑定数据源。
5. 在数据源设置面板，设置不同云产品需要接入的数据源。
  一个云产品对应一个数据源，数据源的接入方式对应云产品的日志类型。您需要根据接入日志类型选择数据源的接入方式，具体内容如下表所示。
  云厂商
  需要接入的云产品日志
  接入方式
  华为云
  云防火墙告警日志
  Web应用防火墙告警日志
  obs
  腾讯云
  云防火墙告警日志
  ckafka
  Web应用防火墙告警日志
  wafApi

3. 接入第三方云产品的日志

在左侧导航栏，选择威胁分析与响应 > 产品接入。
在产品接入列表，找到需要接入的第三方云产品，在操作列单击接入设置。
在接入设置面板，找到需要接入的日志类型，在已接入账号列单击对应的数值。
在接入设置对话框，选择需要接入的账号，然后单击确定。
根据实际需要选择是否开启自动接入新增账号。
您可以选择是否开启自动接入新增账号。开启该功能后，如果有新增接入的第三方云账号，威胁分析与响应会自动接入新增账号对应的云产品日志。

接入云产品日志