开通威胁分析与响应后,您可以接入同账号、跨账号和第三方云账号的云产品日志,实现跨资源告警和日志数据的统一监管与分析。接入日志后,威胁分析与响应会监控和分析采集到的日志,识别并构建出完整的攻击链路,从而形成详细的安全事件,提升您的告警分析和处理效率。
前提条件
已开通威胁分析与响应服务。具体操作,请参见购买及开通威胁分析与响应。
需要接入威胁分析与响应的云产品(不包括云安全中心)已开通日志服务。具体操作,请参见云产品对应的官网文档。
说明接入云安全中心日志时,无需开通云安全中心日志分析服务。
接入阿里云云产品日志
需要接入当前阿里云账号下的云产品日志时,您可以直接在产品接入页面选择需要接入的云产品和日志类型。
需要统一配置多个阿里云账号下的日志接入策略时,您需要完成多账号体系设置,并使用全局账号管理员登录控制台,在产品接入页面切换到全局账号视图下,参考下述操作进行接入设置。多账号统一管理的具体操作,请参见多账号统一管理。
在左侧导航栏,选择 。
在产品接入列表,找到需要接入的云产品,在操作列单击接入设置。
在云产品接入设置面板,找到需要接入的日志类型,单击已接入账号列下的数字。
选中多个日志类型,单击列表下方的批量接入按钮,可以批量设置需接入的账号。
在接入设置面板,选择需要接入的账号。
说明如果您使用的是个人实名认证账号,则选择账号面板仅显示您当前的账号。仅全局账号管理员在全局账号视图下,可以选择接入威胁分析管控的账号。
如果云产品只支持使用产品定义的LogStore(例如云安全中心),您只需选中账号,无需选择LogStore,云安全中心会自动接入产品定义的LogStore。
如果云产品接入了自定义的Logstore,您需要在选中账号后,在LogStore(格式:regionId.project.logStore)下拉列表选择对应的LogStore或将自定义的LogStore名称复制到此处。LogStore的填写格式为
regionId.project.logStore
。
根据实际需要选择是否开启自动接入新增账号。
您可以选择是否开启自动接入新增账号。开启该功能后,如果有新接入管控的阿里云账号,威胁分析与响应会自动接入新增账号对应的云产品日志。
说明仅全局账号管理员在全局账号视图下支持设置自动接入新增账号。
接入第三方云产品日志
如果您的业务同时部署在阿里云和第三方云厂商(当前支持华为云和腾讯云),并且您需要跨多个云环境统一管理安全告警,您可以将第三方云账号接入到威胁分析与响应服务,实现一站式的告警监控与运营管理。
1. 配置第三方云平台账号
华为云子账号配置
腾讯云子账号配置
2. 将第三方云账号AK接入威胁分析与响应
您需要将第三方云账号AK接入到威胁分析与响应,以便威胁分析与响应可以获取第三方云资产的告警日志。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
新增第三方云厂商账号授权。
云安全中心通过第三方云厂商的账号AK,获取第三方云资产的读取权限,并同步第三方云资产信息。
在左侧导航栏,选择 。
在
页签,单击新增授权,在下拉列表中,选择需要接入的多云厂商(华为云或腾讯云)。在编辑多云配置面板,选择手动配置方案,然后在权限说明区域选择威胁分析-全部云产品读权限及部分写权限,单击下一步。
在提交AK向导页面,输入子账号AK信息,然后单击下一步。
在策略配置向导页面,选择AK服务状态检查的周期,然后单击确定。
绑定第三方云厂商账号。
在左侧导航栏,选择 。
在多云产品接入区域,移动鼠标到需要绑定的第三方云厂商图标,然后单击账号绑定。
在账号绑定面板,单击新增。
在账号绑定设置面板,输入第三方云厂商的主账号名、主账号ID,并选择授权的子账号AK,然后单击绑定账号,并前往绑定数据源。
在数据源设置面板,设置不同云产品需要接入的数据源。
一个云产品对应一个数据源,数据源的接入方式对应云产品的日志类型。您需要根据接入日志类型选择数据源的接入方式,具体内容如下表所示。
云厂商
需要接入的云产品日志
接入方式
华为云
云防火墙告警日志
Web应用防火墙告警日志
obs
腾讯云
云防火墙告警日志
ckafka
Web应用防火墙告警日志
wafApi
3. 接入第三方云产品的日志
在左侧导航栏,选择 。
在产品接入列表,找到需要接入的第三方云产品,在操作列单击接入设置。
在接入设置面板,找到需要接入的日志类型,在已接入账号列单击对应的数值。
在接入设置对话框,选择需要接入的账号,然后单击确定。
根据实际需要选择是否开启自动接入新增账号。
您可以选择是否开启自动接入新增账号。开启该功能后,如果有新增接入的第三方云账号,威胁分析与响应会自动接入新增账号对应的云产品日志。
说明仅全局账号管理员在全局账号视图下支持设置自动接入新增账号。