AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 威胁分析与响应 威胁分析与响应2.0 接入中心 数据源

配置数据源

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

产品日志接入策略需要绑定数据源,威胁分析与响应CTDR(Cloud Threat Detection and Response)目前仅接收阿里云日志服务(SLS)的日志,支持自定义日志库,也支持CTDR专属日志库。

前提条件

购买并开通威胁分析与响应服务。

数据源类型说明

数据源类型名称

推荐使用场景

说明

支持的操作

自定义日志服务

日志已接入SLS。

由用户或阿里云其他产品在日志服务(SLS)创建的项目日志库,该数据源产生的费用与CTDR无关。CTDR会为阿里云产品初始化一些自定义日志服务数据源,初始化规则如下:

  • 若产品侧有标准Logstore命名规范,CTDR会自动完成初始化,如云安全中心的漏洞日志、基线日志,WAF的流日志等。

    警告

    若对应的产品未开通日志服务,初始化的数据源仍然不可用。请前往对应产品的控制台开通日志服务。

  • 若产品侧无标准Logstore命名规范,则需要用户在编辑页面手动录入,如专有网络VPC 、操作审计等。

  • 跨账号接入成员账号日志后,会自动创建一个命名规范为“接入模板名称_地域ID_成员账号UID”的数据源,跨账号接入信息请参见多账号统一管理

  • 新增

  • 查看

  • 修改

  • 删除

CTDR专属采集通道

日志尚未接入SLS。

CTDR服务在日志服务(SLS)创建的,为CTDR专属项目日志库,该数据源产生的费用由CTDR服务承担。

项目命名规范为aliyun-cloudsiem-channel-阿里云账号ID-cn-地域ID,日志库名称支持用户自定义。

说明

若同地域下已经创建CTDR专属项目,系统将不会重复创建。新的日志库会自动追加至CTDR项目下,同时不影响已存在的日志库。

  • 新增

  • 查看

  • 修改

  • 删除

预定义日志服务

阿里云产品直接投递的日志。

阿里云产品会将部分日志直接提供给CTDR,无需配置。如阿里云云安全产品的告警日志:WAF的告警日志、云防火墙告警日志等。

查看

创建数据源:日志已接入日志服务(SLS)

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心

  3. 数据源页签内,单击左上角创建数据源。您可参考以下信息,进行配置。

    配置项名称

    配置项说明

    数据源名称

    自定义。

    数据源类型

    若您的产品日志已经接入阿里云SLS日志服务,推荐选择自定义日志服务,避免重复对接,降低成本。

    重要

    若您的产品尚未接入阿里云SLS日志服务,但仍想选择此方式,请您先前往日志服务控制台,创建对应的日志库,然后将日志接入该日志库。

    地域(Region)

    日志库所在存储地域。

    项目(Project)

    自定义日志服务:同步该账号下SLS所有的项目,选择目标项目。

    日志库(Logstore)

    自定义日志服务:同步项目(Project)下的所有日志库,选择目标日志库。

  4. 单击创建页左下角的确定按钮,创建完毕可在数据源列表中查看新建的数据。

创建数据源:日志未接入日志服务(SLS)

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心

  3. 数据源页签内,单击左上角创建数据源。不同的数据源类型配置各不相同,您可参考以下信息,进行配置。

    重要

    数据源类型不可修改,请谨慎选择。

    自定义日志服务

    警告

    若您的产品尚未接入阿里云SLS日志服务,但仍想自定义日志服务类型,请您先前往日志服务控制台,创建对应的日志库,然后将日志接入该日志库。

    配置项名称

    配置项说明

    数据源名称

    自定义。

    数据源类型

    自定义日志服务

    地域(Region)

    日志库所在存储地域。

    项目(Project)

    自定义日志服务:同步该账号下SLS所有的项目,选择目标项目。

    日志库(Logstore)

    自定义日志服务:同步项目(Project)下的所有日志库,选择目标日志库。

    CTDR专属采集通道

    配置项名称

    配置项说明

    数据源名称

    自定义。

    数据源类型

    选择CTDR专属采集通道

    重要

    若您有多个同地域产品并且均选择此方式,则这些产品日志会存储在一个项目Project(aliyun-cloudsiem-channel-账号UID-cn-地域ID)下。

    地域(Region)

    日志库所在存储地域。

    项目(Project)

    CTDR专属采集通道:固定项目名称aliyun-cloudsiem-channel-账号UID-cn-地域ID,不可更改。

    日志库(Logstore)

    CTDR专属采集通道:需要手动填写日志库名称,具体操作请参见创建日志库

    创建日志库

    若您选择的是日志库类型为CTDR专属采集通道,需要先在SLS中完成项目及日志库创建,操作步骤入下:

    1. 单击创建Logstore后填写日志库名称,日志库名称仅支持小写字母、数字和连字符(-)和下划线(_)。

    2. Logstore创建提示框中,确认信息后单击确定

      image

    3. 创建完毕后,您可在日志服务控制台,查看创建Project(aliyun-cloudsiem-channel-账号UID-cn-地域ID)和日志库。

    重要

    • 若已经创建CTDR专属项目Project, 系统将不会重复创建。新的日志库会自动追加至CTDR项目下,同时不影响已存在的日志库。

    • 若日志库已经创建,系统将不会重复创建,新的日志数据会自动追加至该日志库下。若您有日志数据分类存储需求,请谨慎设置

  4. 单击创建页左下角的确定按钮,创建完毕可在数据源列表中查看新建的数据。

编辑数据源

说明

  • 若数据源类型为预定义日志服务,则不支持修改。

  • 若数据源已绑定接入策略,且接入策略已开启,则不允许修改。若您想要修改请先关闭接入策略,具体操作请参见数据源为什么不可修改?

  • 跨账号接入成员账号日志后,自动创建的数据源不支持修改,若您想要修改需要取消接入配置,具体操作请参见取消接入

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心

  3. 数据源页签内,找到需要编辑的数据源,单击操作列的编辑。您可参考以下信息,进行配置。

    配置项名称

    配置项说明

    数据源名称

    自定义

    地域(Region)

    日志库所在存储地域。

    项目(Project)

    • 自定义日志服务

      同步该账号下SLS所有的项目。

    • CTDR专属采集通道

      固定项目名称aliyun-cloudsiem-channel-账号UID-cn-地域ID,不可更改。

    日志库(Logstore)

    • 自定义日志服务

      同步项目(Project)下的所有日志库。

    • CTDR专属采集通道

      需要手动填写日志库名称,具体操作请参见创建日志库

  4. 单击编辑页左下角的确定按钮。

删除数据源

重要

  • 数据源类型为预定义日志服务则不可删除。

  • 已绑定接入策略(包含跨账号接入策略)的数据源不可删除。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 接入中心

  3. 数据源页签内,找到需要删除的数据源,单击操作列的删除按钮。

相关文档

上一篇:产品接入下一篇:标准化规则和数据集