云安全中心的威胁分析与响应CTDR(Cloud Threat Detection and Response)服务,可以帮助您集中处理来自多云环境、多账户和多产品的告警和日志数据,提高安全运维效率。您可以使用资源管理(Resource Management)的资源目录RD(Resource Directory)、云安全中心的多账号安全管理和威胁分析与响应功能,实现对企业中的多账号与资源的集中管理。本文介绍如何配置威胁分析与响应多账号体系。
基本概念
使用威胁分析与响应实现对企业中多账号与资源的集中管理前,您需要了解以下概念。
概念 | 说明 | 归属产品 |
管理账号 | 管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。 | 资源管理 |
成员 | 成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。 | |
委派管理员 | 资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 | |
全局账号管理员 | 全局账号管理员在控制台使用威胁分析与响应功能时,可以通过切换到全局账号视图,配置威胁分析管控范围内的所有阿里云账号的云产品日志接入策略、威胁检测规则,并处理安全事件。 | 云安全中心 |
多账号体系示例
使用威胁分析与响应服务管控多个阿里云账号的数据时,存在下述典型场景,您可以参考下述场景说明和图示自行构建多账号体系。
典型场景:阿里云账号A、B、C、D、E归属于同一个资源目录。阿里云账号A为资源目录的管理账号,阿里云账号B、C、D、E为资源目录的成员。阿里云账号A将阿里云账号B作为可信服务云安全中心-威胁分析委派管理员,统一管理阿里云账号B、C、D、E下的威胁分析与响应的产品日志接入、威胁检测配置和事件处置等事项。
步骤一:购买威胁分析与响应
每个需要将日志接入威胁分析与响应的阿里云账号,都需要购买日志接入流量。只有已购买威胁分析与响应日志接入流量的阿里云账号,才能被全局账号管理员统一管理。具体操作,请参见购买及开通威胁分析与响应。
在威胁分析与响应产品调整计费项前已购买产品的阿里云账号,其资源目录下成员账号无需购买威胁分析与响应。更多信息,请参见【通知】威胁分析与响应变更计费项。
步骤二:建立多账号目录结构
仅同一个企业认证的阿里云账号可以加入同一个资源目录。开通资源目录服务,并指定已购买云安全中心威胁分析与响应的阿里云账号为委派管理员账号。
使用管理账号登录资源管理控制台。
首次使用资源目录功能时,在左侧导航栏选择,然后单击开通资源目录,根据页面提示完成资源目录开通。具体操作,请参见开通资源目录。
创建资源目录成员或邀请其他阿里云账号加入资源目录。
创建成员:在左侧导航栏选择,创建资源账号,具体操作,请参见创建成员。
邀请成员:选择,添加其他阿里云账号到资源目录,具体操作,请参见邀请阿里云账号加入资源目录。
将已购买云安全中心威胁分析与响应的阿里云账号添加为委派管理员账号。
在左侧导航栏选择,分别在云安全中心和云安全中心-威胁分析的操作列单击管理,将已购买云安全中心威胁分析与响应的阿里云账号添加为这两个可信服务委派管理员账号。具体操作,请参见添加委派管理员账号。
步骤三:接入需威胁分析与响应管控的账号
使用已购买威胁分析与响应的阿里云账号登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
如果是首次使用多账号安全管理功能,单击开启云安全中心管控。
开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd,该角色用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。
在页签,单击威胁分析监控账号子页签。
如果控制台未显示配置页签,请直接单击威胁分析监控账号页签。
在监控账号总数区域,单击账号管控。
在多账号管控设置面板,在资源目录中的成员账号中选择需要接入威胁分析与响应的阿里云账号,然后单击确定。
如果成员账号未创建服务关联角色AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem,在执行该操作时会为相应成员账号创建这两个服务关联角色,以便完成相应的功能。更多信息,请参见云安全中心服务关联角色。
步骤四:配置全局账号管理员
全局账号管理员可以切换威胁分析与响应的全局账号视图和当前账号视图。全局账号视图可配置威胁分析管控范围内的阿里云账号的云产品日志接入策略、威胁检测规则,及处理安全事件;当前账号视图可配置当前账号的威胁分析与响应策略。执行下述操作将已购买威胁分析与响应的阿里云账号设置为全局账号管理员。
每个资源目录下仅支持将一个账号设置为云安全中心威胁分析与响应的全局账号管理员。
全局账号管理员指定后不可变更,请谨慎操作。
在威胁分析监控账号页签全局账号管理员区域,单击设置。
在设置全局账号管理员对话框,选择需作为全局账号管理员的阿里云账号,并单击确定。
被设定为全局账号管理员的阿里云账号必须是管理账号或者被设定为资源管理控制台中可信服务云安全中心-威胁分析的委派管理员,并且需购买了威胁分析与响应服务。
步骤五:接入云产品日志
使用全局账号管理员登录控制台后,您可以接入当前账号、已管控账号和第三方云账号的云产品日志,实现跨账号告警和日志数据的统一监管与分析。
接入阿里云产品日志的具体操作,请参见接入阿里云云产品日志。
接入第三方云产品日志的具体操作,请参见接入第三方云产品日志。
步骤六:使用威胁分析与响应
完成上述步骤后,即可使用威胁分析与响应提供的事件分析、编排响应等功能。全局账号管理员通过在控制台切换当前账号视图和全局账号视图,可实现对当前账号和所有管控账号的管理。
关于威胁分析与响应的功能说明和使用指导可参考下方文档链接,了解更多信息:
配置威胁检测规则:配置检测事件的预定义和自定义规则。
处置安全事件:处理安全事件,提升云系统的安全性。
响应编排:将不同系统或服务按照一定的逻辑进行编排连接,实现安全运维的自动化编排和快速响应。
日志管理:对云产品已进行标准化的日志进行存储和查询,以便帮助您精准定位各类告警,并进行攻击溯源,提高对潜在安全威胁的响应速度,并降低多资源环境的日志管理难度。