本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
威胁分析与响应(CTDR)服务通过资源目录(Resource Directory, RD)的多账号管理能力,可实现集中管理和分析所有账号的安全日志。本文介绍如何配置此方案,以实现统一的威胁检测、事件响应和安全运营。
多账号概述
账号类型
账号类型 | 账号说明 | 职责 |
管理账号 (MA) | 是一个经过企业实名认证的阿里云账号,资源目录的创建者和最高管理者,拥有对整个组织的完全控制权。 | 创建组织结构(资源目录),邀请或创建成员,并指定特定服务的委派管理员。一个资源目录有且仅有一个管理账号。 |
成员账号 | 加入到资源目录中的某个阿里云账号,用于承载具体的业务或项目。 | 在自身账号内运行业务,并根据管理策略开启所需云产品的日志服务。 |
委派管理员账号 | 由管理账号指定的、在特定云服务(本文中为云安全中心)中代行管理职责的成员账号。 | 购买并配置CTDR服务,统一管理和分析所有纳入范围的成员账号的安全日志,并承担CTDR服务及日志存储等相关费用。 |
多账号配置示例
使用威胁分析与响应服务管控多个阿里云账号的数据时,可以参考下述场景构建多账号体系。
资源目录构成:
管理账号:阿里云账号A。
成员账号:阿里云账号B、C、D、E。
管理方案:
账号A将账号B委派为管理员。
由B统一管理C、D、E的威胁分析与响应的产品日志接入、威胁检测配置和事件处置等事项。
工作原理
CTDR的多账号管理方案核心是权限委派与数据集中。通过资源目录,管理账号(MA)将安全管理的职责委派给一个指定的成员账号(即委派管理员账号),然后将成员账号的阿里云产品日志数据,统一汇集到委派管理员账号的CTDR实例中进行分析。工作流程如下:
日志生成与存储:各成员账号的云产品日志(例如WAF、云防火墙日志)首先写入其各自账号的日志服务(SLS)中。
集中接入与存储:委派管理员的CTDR服务,利用已获得的服务关联角色授权,跨账号实时读取这些成员账号SLS中的日志数据。
统一分析:所有日志汇集到委派管理员的CTDR后,进行统一的威胁检测与分析。
适用范围
企业实名认证:所有账号(管理账号、成员账号)需属于同一个企业认证主体。
适用日志源:目前仅支持接入阿里云产品日志。
多账号日志接入
步骤一:购买并开通威胁分析与响应
委派管理员购买开通CTDR服务,具体操作请参见购买并开通威胁分析与响应。
成员账号是否开通CTDR服务,均不影响日志接入。
多账号场景下日志接入仅支持“实时消费”模式,系统不会自动持久化原始日志。若需要对日志进行回溯、审计或分析,请购买日志存储容量(开通日志管理服务)。
步骤二:建立多账号目录结构
开通资源目录
添加成员账号
在资源目录中,通过以下任一方式添加成员:
创建成员:在左侧导航栏选择,创建资源账号,具体操作,请参见创建成员。
邀请成员:选择,添加其他阿里云账号到资源目录,具体操作,请参见邀请阿里云账号加入资源目录。
设置委派管理员
在左侧导航栏选择,在云安全中心操作列单击管理,将已购买CTDR的阿里云账号添加为可信服务委派管理员账号。具体操作,请参见添加委派管理员账号。
重要添加云安全中心管理员后,该账号会同步成为云安全中心-威胁分析的管理员。
步骤三:将成员账号接入CTDR
登录控制台
使用已购买CTDR的委派管理员账号访问云安全中心控制台-系统设置-多账号安全管理设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
添加账号
在配置管理页签的监控账号总数区域,单击账号管控。
在多账号管控设置面板,从资源目录列表中勾选需要接入CTDR的成员账号,然后单击确定。
重要系统会自动为成员账号创建两个服务关联角色:AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem,并授予CTDR服务访问和汇集成员账号日志数据的最小权限。更多信息,请参见云安全中心服务关联角色。
步骤四:开通云产品的日志服务
成员账号要为相关阿里云云产品(除云安全中心外)开通日志服务,如何开通日志服务,请参见阿里云产品日志接入SLS参考。
阿里云产品业务中心侧日志库中的云安全产品告警日志(如:WAF的告警日志、云防火墙告警日志),会自动将数据源投递至CTDR,无需开通云产品日志服务即可完成接入。
步骤五:跨账号接入设置
批量自动接入
CTDR支持批量自动接入成员账号下的阿里云云原生产品日志,操作步骤如下:
已购买CTDR的委派管理员在左侧导航栏,选择。
设置批量接入
单击批量接入设置,参考如下说明完成配置。
接入设置方式:
增量设置:系统会保留所有已启用的接入策略,仅在此基础上新增本次配置的数据源及策略。
全量设置:完全覆盖并替换所有已有的接入设置。任何未在当前配置中选中的策略,启用状态都将会被关闭。
警告此为覆盖性操作,可能意外关闭正在运行的策略并导致数据接入中断,请谨慎操作。
接入账号范围:选择需要接入的成员账号。
阿里云云产品范围:选择要接入云原生产品及对应的数据源。
说明为简化配置流程,CTDR 内置了推荐接入策略。单击 使用推荐接入策略 按钮,系统将基于最佳实践,自动为勾选当前云产品中最具分析价值的数据源,以帮助您快速启用数据分析。
自动发现并接入数据源新增日志库(Logstore): 启用此选项后,系统会将后续新建的日志库自动纳入当前数据源的采集范围,无需手动添加。
确认并启动数据接入
完成配置后,单击确定,统将自动完成以下操作:
全面接入:自动接入所选账号当前在阿里云日志服务 (SLS) 内,所选云产品数据源关联的所有已启用日志库 (Logstore)。
策略生效: 自动开启所选数据源对应的接入策略。
重要新的接入策略需要一定时间进行下发和初始化,请耐心等待片刻。
查看接入状态
返回接入列表,选择要接入的产品,单击操作列的多账号接入设置。
在接入策略页签,单击目标数据源操作列的跨账号接入,在详情页查看接入状态。
手动接入
已购买CTDR的委派管理员在左侧导航栏,选择。
选择需要接入的云产品,单击操作列的多账号接入设置。
重要目前多账号接入仅支持阿里云产品。
单击需要接入的策略模板操作列的跨账号接入,进入新增接入账号配置面板。
说明在多账号接入页,系统预先设置了阿里云产品的接入策略模板,且不支持修改。
单击页面批量接入账号设置按钮,参考如下配置后,单击确定。
账号列表:系统会自动拉取当前委派管理员可管控的所有账号,并排除当前已经接入的账号,支持多选。
策略启用状态:设置策略的启用状态。
等待接入:新增的账号日志需要等待大约一分钟时间才能完成接入,显示在接入列表中,请耐心等待。
说明系统通过各云产品提供的日志查询API或日志库默认命名规则来识别各云产品对应日志库信息,并拉取当前接入成员账号下取符合接入模板的所有日志。
自动创建数据源:产品日志接入后,会自动创建一个数据源。数据源信息如下:
说明策略未启用也会自动创建成员账号数据源。
数据源名称:接入模板名称_地域ID_成员账号UID。
数据源类型:自定义日志服务。
接入账号UID/用户名:成员账号UID、成员账号用户名。
多账号日志分析
完成跨账号接入设置后,委派管理员可以在 CTDR 控制台对所有成员账号的数据统一进行如下操作:
取消接入成员账号
若不再需接入成员账号的日志数据,可手动取消接入策略。
取消后不会删除创建的数据源,若有需求请前往数据源管理页签进行操作。
在多账号接入设置页签,单击对应的接入模板操作列的模板操作列的跨账号接入。
新增接入账号配置面板,关闭启用状态后,单击对应接入账号操作列的取消接入。
删除数据源(可选)
进入数据源管理页面。搜索对应的创建的成员账号数据源(“数据源接入模板名称_地域ID_成员账号UID”),单击删除。
常见问题
为什么在指定委派管理员时,找不到想指定的账号?
请排查以下两点:
账号归属:确保该账号已经作为成员成功加入到您的资源目录中。
操作身份:确保当前正使用管理账号进行操作,只有管理账号有权限指定委派管理员。
日志接入状态长时间显示“失败”或“无数据”,如何排查?
成员端日志未开启:请联系该成员账号的负责人,确认对应的云产品日志服务是否已开启,并已投递到SLS。这是数据采集的必要前提。
CTDR管控范围:在委派管理员的中,确认该成员账号是否已被勾选并纳入管控。
服务关联角色:在成员账号的RAM控制台“角色”页面,检查
AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem两个服务关联角色是否已成功创建。若无,请尝试在CTDR中移除该成员再重新添加以触发创建。接入延迟:接入需要一定的初始化时间,请耐心等待。