接入同账号、跨账号和第三方云账号的产品日志_云安全中心(Security Center)-阿里云帮助中心

开通威胁分析与响应后，您可以接入同账号、跨账号和第三方云账号的云产品日志，实现跨资源告警和日志数据的统一监管与分析。接入日志后，威胁分析与响应会监控和分析采集到的日志，识别并构建出完整的攻击链路，从而形成详细的安全事件，提升您的告警分析和处理效率。

前提条件

已开通威胁分析与响应服务。具体操作，请参见购买及开通威胁分析与响应。
需要接入威胁分析与响应的云产品（不包括云安全中心）已开通日志服务。具体操作，请参见云产品对应的官网文档。
说明
接入云安全中心日志时，无需开通云安全中心日志分析服务。

接入阿里云云产品日志

需要接入当前阿里云账号下的云产品日志时，您可以直接在产品接入页面选择需要接入的云产品和日志类型。
需要统一配置多个阿里云账号下的日志接入策略时，您需要完成多账号体系设置，并使用全局账号管理员登录控制台，在产品接入页面切换到全局账号视图下，参考下述操作进行接入设置。多账号统一管理的具体操作，请参见多账号统一管理。

在左侧导航栏，选择威胁分析与响应 > 产品接入。
在产品接入列表，找到需要接入的云产品，在操作列单击接入设置。
在云产品接入设置面板，找到需要接入的日志类型，单击已接入账号列下的数字。
选中多个日志类型，单击列表下方的批量接入按钮，可以批量设置需接入的账号。
在接入设置面板，选择需要接入的账号。
说明
如果您使用的是个人实名认证账号，则选择账号面板仅显示您当前的账号。仅全局账号管理员在全局账号视图下，可以选择接入威胁分析管控的账号。
- 如果云产品只支持使用产品定义的LogStore（例如云安全中心），您只需选中账号，无需选择LogStore，云安全中心会自动接入产品定义的LogStore。
- 如果云产品接入了自定义的Logstore，您需要在选中账号后，在LogStore（格式：regionId.project.logStore）下拉列表选择对应的LogStore或将自定义的LogStore名称复制到此处。LogStore的填写格式为regionId.project.logStore。
根据实际需要选择是否开启自动接入新增账号。
您可以选择是否开启自动接入新增账号。开启该功能后，如果有新接入管控的阿里云账号，威胁分析与响应会自动接入新增账号对应的云产品日志。
说明
仅全局账号管理员在全局账号视图下支持设置自动接入新增账号。

接入第三方云产品日志

如果您的业务同时部署在阿里云和第三方云厂商（当前支持华为云和腾讯云），并且您需要跨多个云环境统一管理安全告警，您可以将第三方云账号接入到威胁分析与响应服务，实现一站式的告警监控与运营管理。

1. 配置第三方云平台账号

华为云子账号配置

创建两个自定义策略siemBasePolicy和siemNormalPolicy。具体操作，请参见创建自定义策略。

说明

华为云创建自定义策略时，暂不支持同时选择全局级云服务和项目级云服务，因此需要拆分为两条策略，便于授权时设置最小授权范围。

siemBasePolicy：对应全局级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy：对应项目级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

创建用户组siemUser和readonlyuser，并为用户组授予需要的权限（如下表所示）。具体操作，请参见创建用户组并授权。

用户组	需要授予的权限
siemUser	自定义策略权限：siemBasePolicy、siemNormalPolicy
readonlyuser	LTS ReadOnlyAccess：云日志服务只读权限。 OBS OperateAccess：具有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限。 OBS ReadOnlyAccess：只有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限，无其他权限。 CFW ReadOnlyAccess：云防火墙服务只读权限。 WAF ReadOnlyAccess：Web应用防火墙只读权限。

创建一个IAM用户，并将IAM用户关联到siemUser用户组。具体操作，请参见创建IAM用户。
为IAM用户创建访问密钥。具体操作，请参见管理IAM用户访问密钥。

腾讯云子账号配置

通过策略语法创建一个自定义策略siemPolicy。具体操作，请参见通过策略语法创建自定义策略。

siemPolicy策略配置内容如下：

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

创建一个子账号。具体操作，请参见新建子账号。
为创建的子账号关联siemPolicy策略。具体操作，请参见授权管理。
为子账号创建访问密钥。具体操作，请参见子账号访问密钥管理。
如需接入云防火墙告警日志时，您需要为入侵防御日志（eventLog）开启日志投递。具体操作，请参见日志投递。
对于腾讯云云防火墙产品，威胁分析与响应仅支持接入入侵防御日志。您需要将入侵防御日志投递到Ckafka topic中，威胁分析与响应服务才能接入该日志。

2. 将第三方云账号AK接入威胁分析与响应

您需要将第三方云账号AK接入到威胁分析与响应，以便威胁分析与响应可以获取第三方云资产的告警日志。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
新增第三方云厂商账号授权。
云安全中心通过第三方云厂商的账号AK，获取第三方云资产的读取权限，并同步第三方云资产信息。
1. 在左侧导航栏，选择系统配置 > 功能设置。
2. 在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中，选择需要接入的多云厂商（华为云或腾讯云）。
3. 在编辑多云配置面板，选择手动配置方案，然后在权限说明区域选择威胁分析-全部云产品读权限及部分写权限，单击下一步。
4. 在提交AK向导页面，输入子账号AK信息，然后单击下一步。
5. 在策略配置向导页面，选择AK服务状态检查的周期，然后单击确定。
绑定第三方云厂商账号。
1. 在左侧导航栏，选择威胁分析与响应 > 产品接入。
2. 在多云产品接入区域，移动鼠标到需要绑定的第三方云厂商图标，然后单击账号绑定。
3. 在账号绑定面板，单击新增。
4. 在账号绑定设置面板，输入第三方云厂商的主账号名、主账号ID，并选择授权的子账号AK，然后单击绑定账号，并前往绑定数据源。
5. 在数据源设置面板，设置不同云产品需要接入的数据源。
  一个云产品对应一个数据源，数据源的接入方式对应云产品的日志类型。您需要根据接入日志类型选择数据源的接入方式，具体内容如下表所示。
  云厂商
  需要接入的云产品日志
  接入方式
  华为云
  云防火墙告警日志
  Web应用防火墙告警日志
  obs
  腾讯云
  云防火墙告警日志
  ckafka
  Web应用防火墙告警日志
  wafApi

3. 接入第三方云产品的日志

在左侧导航栏，选择威胁分析与响应 > 产品接入。
在产品接入列表，找到需要接入的第三方云产品，在操作列单击接入设置。
在接入设置面板，找到需要接入的日志类型，在已接入账号列单击对应的数值。
在接入设置对话框，选择需要接入的账号，然后单击确定。
根据实际需要选择是否开启自动接入新增账号。
您可以选择是否开启自动接入新增账号。开启该功能后，如果有新增接入的第三方云账号，威胁分析与响应会自动接入新增账号对应的云产品日志。
说明
仅全局账号管理员在全局账号视图下支持设置自动接入新增账号。

接入云产品日志