CTDR2.0进程文件读写日志和CTDR1.0文件读写日志能力升级公告

背景与目的

为提升日志处理效率并降低用户资源消耗，云安全中心将下线威胁分析与响应（CTDR）2.0的“进程文件写日志” 数据源与CTDR 1.0的“文件读写日志”数据源，同时将依赖该数据源进行主机告警聚合安全事件自动调查路径，改为依赖云安全中心（SAS）主机溯源调查能力，由SAS的业务中心侧提供调查结果并返回。

影响用户

• CTDR 1.0用户：2025年4月3日（含）前开通CTDR的阿里云账号。

• CTDR 2.0用户：2025年4月3日后开通CTDR的阿里云账号。

升级时间

系统将于2025年6月19日自动完成对应数据源下线及CTDR安全事件主机告警自动化调查链路切换。

升级影响

• 主机告警聚合的安全事件自动调查链路切换

  CTDR安全事件主机告警自动化调查将切换至云安全中心的主机溯源调查能力，直接获取主机调查结果，不再依赖CTDR 1.0的“文件读写日志”数据源和CTDR 2.0的“进程文件写日志”数据源。

• 移除数据源

  移除CTDR2.0的“进程文件写日志” 数据源与CTDR 1.0的“文件读写日志”数据源。

• 流量与成本优化

  移除数据源后，用户产品接入的日志流量将减少，有效降低日志存储与传输成本。

• 停止日志投递任务

  已经开启云安全中心“文件读写日志”或“进程文件读写日志”数据源投递任务的，将在数据源移除后自动停止投递。

• 关闭日志投递开关

  CTDR 1.0控制台将同步关闭日志管理中云安全中心“文件读写日志”投递开关，关闭后该开关将不再支持手动开启。已投递的历史文件读写日志数据仍可正常查看，不受功能关闭影响。

• 删除绑定接入策略

  删除绑定了“文件读写日志”和“进程文件读写日志”数据源的云安全中心接入策略。