威胁分析与响应多账号统一管理_云安全中心(Security Center)-阿里云帮助中心

云安全中心的威胁分析与响应CTDR（Cloud Threat Detection and Response）服务，可以帮助您集中处理、处理和分析来自多账户、多产品的告警和日志数据，提高安全运维效率。您可以使用资源管理（Resource Management）的资源目录RD（Resource Directory）和云安全中心的多账号安全管理功能实现对企业中的多账号与资源的集中管理。本文介绍如何配置威胁分析与响应多账号体系。

账号体系说明

账号类型	说明
管理账号	管理账号（Management Account，简称MA）是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录，开通后，管理账号就是资源目录的超级管理员，对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。
成员账号	成员是通过资源目录创建出来的资源账号，该资源账号用于承载您在阿里云上的某个项目或应用。如果您已经注册了阿里云账号，您也可以通过邀请的方式将该阿里云账号加入到资源目录，即成为云账号类型的成员。
委派管理员账号	资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后，委派管理员账号将获得管理账号的授权，可以在对应可信服务中访问资源目录组织和成员信息，并在该组织范围内进行业务管理。

多账号体系示例

使用威胁分析与响应服务管控多个阿里云账号的数据时，您可以参考下述场景构建多账号体系。

典型场景：阿里云账号A、B、C、D、E归属于同一个资源目录。阿里云账号A为资源目录的管理账号，阿里云账号B、C、D、E为资源目录的成员。阿里云账号A将阿里云账号B作为委派管理员，统一集中管理阿里云账号B、C、D、E下的威胁分析与响应的产品日志接入、威胁检测配置和事件处置等事项。

多账号管理步骤

步骤一：购买并开通威胁分析与响应

委派管理员购买开通CTDR服务，具体操作请参见购买并开通威胁分析与响应。

重要

委派管理员购买日志存储量后，成员账号无需开通CTDR服务，即可被委派管理员集中接入成员账号下的云产品日志。
多账号接入场景下产品接入的标准化方式仅支持“实时消费”，因此购买时建议选购日志存储容量。

步骤二：建立多账号目录结构

仅同一个企业认证的阿里云账号可以加入同一个资源目录。开通资源目录服务，并指定已购买云安全中心威胁分析与响应的阿里云账号为委派管理员账号。

使用管理账号登录资源管理控制台。
首次使用资源目录功能时，在左侧导航栏选择资源目录 > 概览，然后单击开通资源目录，根据页面提示完成资源目录开通。具体操作，请参见开通资源目录。
创建资源目录成员或邀请其他阿里云账号加入资源目录。
- 创建成员：在左侧导航栏选择资源目录 > 创建成员，创建资源账号，具体操作，请参见创建成员。
- 邀请成员：选择资源目录 > 邀请成员，添加其他阿里云账号到资源目录，具体操作，请参见邀请阿里云账号加入资源目录。
将已购买云安全中心威胁分析与响应的阿里云账号添加为委派管理员账号。
在左侧导航栏选择资源目录 > 可信服务，分别在云安全中心操作列单击管理，将已购买云安全中心威胁分析与响应的阿里云账号添加为可信服务委派管理员账号。具体操作，请参见添加委派管理员账号。
说明
添加云安全中心管理员后会同时自动将其设置为云安全中心-威胁分析的管理员。

步骤三：接入需威胁分析与响应管控的账号

已购买CTDR的委派管理员登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。。

在左侧导航栏，选择系统配置 > 多账号安全管理。进入配置管理页签。
单击账号管控，在多账号管控设置面板，在资源目录中的成员账号中选择需要接入威胁分析与响应的阿里云账号，然后单击确定。
重要
执行成员账号管控操作时，会自动为将会为管控的成员账号自动创建服务关联角色AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem，以便完成相应的功能。更多信息，请参见云安全中心服务关联角色。

步骤四：开通云产品的日志服务

警告

若成员账号未开通相关云产品日志服务，CTDR将无法获取对应的数据源信息，无法完成跨账号日志接入。

成员账号要为相关阿里云云产品（除云安全中心外）开通日志服务，如何开通日志服务，请参见云产品对应的官网文档，若已开通请忽略此步骤。

例如：若接入成员账号的Web应用防火墙日志（除告警日志外），请成员账号登录WAF控制台，在日志服务管理页单击开启日志服务。

说明

成员账号是否开通CTDR服务，均不影响日志接入。
成员账号无需开通云安全中心日志分析模块，即支持通过多账号接入功能“实时消费”方式接入日志。
阿里云产品业务中心侧日志库中的云安全产品告警日志，会自动将数据源投递至CTDR，无需开通云产品日志服务即可完成接入。如：WAF的告警日志、云防火墙告警日志。

步骤五：跨账号接入设置

已购买CTDR的委派管理员在左侧导航栏，选择威胁分析与响应 > 接入中心。
选择需要接入的云产品，单击操作列的多账号接入设置。
重要
目前多账号接入仅支持阿里云产品。
单击需要接入的策略模板操作列的跨账号接入，进入新增接入账号配置面板。
说明
在多账号接入页，系统预先设置了阿里云产品的接入策略模板，且不支持修改。

单击页面批量新增账号按钮，参考如下配置后，单击确定。

配置项	配置说明
账号列表	系统会自动拉取当前委派管理员可管控的所有账号，并排除当前已经接入的账号。支持多选。
策略启用状态	默认接入策略关闭。

等待接入：新增的账号日志需要等待大约一分钟时间才能完成接入，显示在接入列表中，请耐心等待。
说明
系统通过各云产品提供的日志查询API或日志库默认命名规则来识别各云产品对应日志库信息，并拉取当前接入成员账号下取符合接入模板的所有日志。
自动创建数据源：产品日志接入后，会自动创建一个数据源。数据源信息如下：
说明
策略未启用也会自动创建成员账号数据源。
- 数据源名称：接入模板名称_地域ID_成员账号UID。
- 数据源类型：自定义日志服务。
- 接入账号UID/用户名：成员账号UID、成员账号用户名。

后续操作

取消接入

若您不再需接入成员账号的日志数据，可手动取消接入策略。

重要

取消后不会删除创建的数据源，若有需求请前往数据源管理页签进行管理。

在多账号接入设置页签，单击对应的接入模板操作列的模板操作列的跨账号接入。
新增接入账号配置面板，关闭启用状态后，单击对应接入账号操作列的取消接入。
删除数据源（可选）
进入数据源管理页面。搜索对应的创建的成员账号数据源（“数据源接入模板名称_地域ID_成员账号UID”），单击删除。

使用成员账号日志

完成跨账号接入设置后，可使用威胁分析与响应提供可通过事件分析、编排响应等功能来分析成员账号日志，发现安全风险，快速响应并处理攻击行为。相关功能使用说明文档可参见下方链接：

配置威胁检测规则：配置检测事件的预定义和自定义规则。
处置安全事件：处理安全事件，提升云系统的安全性。
响应编排：将不同系统或服务按照一定的逻辑进行编排连接，实现安全运维的自动化编排和快速响应。
日志管理：对云产品已进行标准化的日志进行存储和查询，以便帮助您精准定位各类告警，并进行攻击溯源，提高对潜在安全威胁的响应速度，并降低多资源环境的日志管理难度。