在多云环境中,安全日志分散在不同云厂商平台,导致难以进行统一的威胁检测和应急响应。云安全中心的Agentic SOC功能支持集中导入并分析腾讯云的安全产品日志(如 WAF、云防火墙),帮助您实现跨云环境的统一安全管理。
工作流程
源端日志汇聚:腾讯云产品(如 WAF)的日志统一汇聚到腾讯云日志服务 (CLS)。
数据导出外发:通过 CLS 将日志数据导出至消息队列 (Kafka) 或对象存储 (COS),作为跨云数据传输的中转节点。
跨云数据导入:Agentic SOC 平台作为消费端,通过标准的 Kafka 或 S3 协议,从 DMS 或 COS 中订阅并拉取日志数据至指定数据源。
接入与标准化:在 Agentic SOC 平台内创建接入策略,并应用标准化规则,对拉取到的原始日志进行解析、范式化处理后,最终存入数据仓库。
适用范围
本方案仅支持导入腾讯云的以下日志类型:
Web 应用防火墙 (WAF)告警日志
云防火墙 (CFW)告警日志
投递日志到 CLS
在导入前,必须先将腾讯云上分散的安全产品日志统一投递至云日志服务(CLS)。
Web应用防火墙
详细指引请参考腾讯云官方文档:WAF-日志投递 。
授权开通日志服务
登录 Web 应用防火墙控制台Web 应用防火墙控制台,在或页面,单击立即配置,根据提示完成授权。
授权完成后,在日志投递页面单击立即创建。
重要授权后,系统将自动创建名为
waf_post_logset的日志集。
开启日志投递
为需要采集日志开启日志投递,详情请参见 开启日志投递。
开启攻击日志投递:在WAF控制台左侧导航栏中,选择实例管理,在实例详情页,开启攻击日志投递开关。
开启访问日志投递:
在WAF控制台左侧导航栏中,选择接入管理 > 域名接入,单击域名操作列的更多 > 日志投递。
在高级设置窗口中,投递目标选择CLS,单击保存。
云防火墙
详细指引请参考腾讯云官方文档:云防火墙-日志投递。
选择导入方案
将腾讯云CLS 日志导入云安全中心,可选择Kafka协议消费或对象存储 (cos)方案。两种方案在实时性、成本和配置复杂度上各有侧重,可根据具体业务场景选择。
对比项 | Kafka 协议消费 | 对象存储 (COS) |
实时性 | 准实时。 | 分钟级延迟。 |
配置复杂度 | 较低,需配置Kafka 协议消费。 | 较低,需配置COS 投递任务。 |
成本构成 |
|
|
适用场景 | 对日志分析实时性要求高,如需进行流式安全计算或快速告警响应。 | 对实时性要求不高,侧重于成本效益、日志归档或批量离线分析。 |
配置数据导入
通过 Kafka 协议消费导入
步骤1:在【腾讯云】配置Kafka协议消费并获取访问密钥
创建从 CLS 到 Kafka 协议消费转储任务
详细指引请参考腾讯云官方文档:使用 Kafka 协议消费日志。
开启 Kafka 协议消费
访问腾讯云-日志主题页面,并在左上角选择对应的日志存储区域。
单击目标日志主题名称,进入详情页。
Web应用防火墙:通常在
waf_post_logset日志集下,详情参见Web应用防火墙投递至CLS。云防火墙:可在CLS日志投递页面获取日志主题信息。
单击左侧导航栏Kafka协议消费,在基本信息页签,单击右侧的编辑并打开启用状态开关。参照如下说明,完成配置后,单击确定。
数据范围:历史+最新。
消费数据格式:JSON(勾选不转义)或原始内容。
数据压缩格式:不压缩。
外网消费:打开。
服务日志:打开。
获取连接 Kafka 服务所需的信息
完成配置后,单击查看消费者参数,获取所需关键配置信息:CLS外网服务地址(接入点)、用户名、消费主题(topic)以便后续在云安全中心授权访问COS和创建数据导入任务中使用。
参数
说明
外网访问地址
格式:
kafkaconsumer-${region}.cls.tencentcs.com:9096。消费主题
kafka的topic。
用户名
配置为
${LogSetID},即日志集 ID。密码
配置为
${SecretId}#${SecretKey}。
设置访问密钥
使用主账号密钥:访问腾讯云-API密钥管理页面,单击新建密钥。并妥善保存生成的
SecretId和SecretKey(下载CSV文件或复制到本地文件保存)。更多信息,请参考主账号访问密钥管理。说明API 密钥或者项目密钥均可使用。
使用子账号密钥:
在访问管理控制台的腾讯云-策略 页面,创建最小访问权限策略,以保证密钥使用安全。更多信息请参考Kafka 协议消费授权、通过策略语法创建自定义策略。
{ "version": "2.0", "statement": [{ "action": [ "cls:PreviewKafkaRecharge", "cls:CreateKafkaRecharge", "cls:ModifyKafkaRecharge" ], "resource": "*", "effect": "allow" }] }访问腾讯云-用户列表页面,选择已有子账号或创建新的子账号。
添加上一步创建的访问策略。
用户详情页面API密钥页签,单击新建密钥。并妥善保管生成的
SecretId和SecretKey(下载CSV文件或复制到本地文件保存)。更多信息,请参考子账号访问密钥管理。
步骤2:在【阿里云】配置 Kafka 日志导入
授权云安全中心访问 Kafka
访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在多云配置管理页签,选择多云资产后,单击新增授权。在弹出的面板中进行如下配置:
厂商:选择 Apache。
接入方式:选择 Kafka。
接入点:填写腾讯云kafka协议消费外网访问地址。
用户名:填写腾讯云kafka协议消费用户名。
密码:设置访问密钥中账号密钥信息拼接(SecretId#SecretKey)。
通信协议:sasl_plaintext。
SASL 认证机制:plain。
配置同步策略
AK服务状态检查:设置云安全中心自动检查腾讯云账号访问密钥有效性的时间间隔。可选“关闭”,表示不进行检测。
创建数据导入任务
创建数据源
为腾讯云日志数据创建一个专属Agentic SOC 数据源,若已创建请跳过此步骤。
访问云安全中心控制台-Agentic SOC-接入中心,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在数据源页签,创建接收日志的数据源。具体操作请参见创建数据源:日志未接入日志服务(SLS)。
源数据源类型:可选择Agentic SOC专属数据采集通道(推荐)或用户侧日志服务。
接入实例:建议新建日志库(Logstore),进行数据隔离。
在数据导入页签,单击新增数据导入。在弹出的面板中进行如下配置:
终端节点:选择腾讯云kafka协议消费外网访问地址。
Topics:选择腾讯云kafka协议消费的消费主题(topic)。
值类型:参考CLS转储日志的消费数据格式,对应关系如下:
转储格式
值类型
JSON
json
原始内容
text
配置目标数据源
数据源名称:选择步骤1创建的数据源。
目标Logstore:根据选择的数据源,自动拉取该数据源下的日志库。
单击确定保存配置:导入配置完成后,云安全中心将自动从腾讯云拉取日志。
通过对象存储 COS 导入
步骤1:在【腾讯云】准备 COS 数据仓库并获取访问密钥
创建从 CLS 到 COS 转储任务
详细指引请参考腾讯云官方文档:新建COS投递任务。
创建 COS 投递任务:
访问腾讯云-日志主题页面,并在左上角选择对应的日志存储区域。
单击目标日志主题名称,进入详情页。
Web应用防火墙:通常在
waf_post_logset日志集下,详情参见Web应用防火墙投递至CLS。云防火墙:可在CLS日志投递页面获取日志主题信息。
选择左侧导航栏投递到COS后,单击添加投递配置。并按以下要求进行配置:
说明若日志进行归档确认页,单击仍选择投递到COS按钮即可。
基本配置:
投递时间范围:若想支持分析数据,请不要设置结束时间。
投递文件大小:设置投递日志触发值,即日志量累计到该值后才会将日志投递至投递COS。
投递间隔时间:设置日志投递时间间隔,即每隔该时长,将这段时长中的日志,压缩后投递至COS。
重要投递文件大小和投递间隔时间为或(OR)关系,即达到任意其中一个触发条件时,开始投递日志至COS。
存储桶配置:
高级配置:
消费数据格式:选择JSON。
JSON:选择不转义。
获取COS 存储桶的访问域名(Endpoint)。
访问腾讯云-存储桶列表,定位步骤3选择的COS存储桶。进入桶详情页,在域名信息区域获取域名信息。
重要域名信息注意不包含存储桶名称,格式为:
cos.${region}.myqcloud.com。获取桶访问地址会在后续云安全中心授权访问COS、创建数据导入任务中使用。
设置访问密钥
使用主账号密钥:访问腾讯云-API密钥管理页面,单击新建密钥。并妥善保存生成的
SecretId和SecretKey(下载CSV文件或复制到本地文件保存)。更多信息,请参考主账号访问密钥管理。说明API 密钥或者项目密钥均可使用。
使用子账号密钥:
在访问管理控制台的腾讯云-策略 页面,创建最小访问权限策略,以保证密钥使用安全。更多信息请参考投递 COS授权、通过策略语法创建自定义策略。
{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cls:DescribeTopics", "cls:DescribeLogsets", "cls:DescribeIndex", "cls:CreateShipper" ], "resource": "*" }, { "effect": "allow", "action": [ "tag:DescribeResourceTagsByResourceIds", "tag:DescribeTagKeys", "tag:DescribeTagValues", "cls:ModifyShipper", "cls:DescribeShippers", "cls:DeleteShipper", "cls:DescribeShipperTasks", "cls:RetryShipperTask", "cls:DescribeShipperPreview", "cos:GetService", "cam:ListAttachedRolePolicies", "cam:AttachRolePolicy", "cam:CreateRole", "cam:DescribeRoleList" ], "resource": "*" } ] }访问腾讯云-用户列表页面,选择已有子账号或创建新的子账号。
添加上一步创建的访问策略。
用户详情页面API密钥页签,单击新建密钥。并妥善保存生成的
SecretId和SecretKey(下载CSV文件或复制到本地文件保存)。更多信息,请参考子账号访问密钥管理。
在【阿里云】配置 COS 日志导入
在云安全中心授权访问COS
访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在多云配置管理页签,选择多云资产后,单击新增授权,下拉选择 IDC。在弹出的面板中进行如下配置:
厂商:选择 AWS-S3。
接入方式:选择S3 。
终端节点(Endpoint):COS 存储桶的访问域名。
Access Key Id/Secret Access Key:设置访问密钥。
配置同步策略
AK服务状态检查:设置云安全中心自动检查腾讯云账号访问密钥有效性的时间间隔。可选“关闭”,表示不进行检测。
创建数据导入任务
访问云安全中心控制台-Agentic SOC-接入中心,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在数据导入页签,单击新增数据导入。在弹出的面板中进行如下配置:
数据源类型:S3。
终端节点:COS 存储桶的访问域名。
桶(Bucket):CLS日志转存配置的COS存储桶。
文件路径前缀过滤:通过文件路径前缀过滤S3文件,用于准确定位待导入的文件。例如待导入的文件都在csv/目录下,则可以指定前缀为csv/。文件具体路径,请参见COS 路径。
说明强烈建议设置此参数。如果不设置,系统将遍历整个 S3 Bucket。当 Bucket 内文件数量巨大时,全量遍历会严重影响导入效率。
文件路径正则过滤:通过正则表达式筛选文件,用于准确定位待导入的文件。默认为空,表示不过滤。例如S3文件为
testdata/csv/bill.csv,可以设置正则表达式为(testdata/csv/)(.*)。说明推荐与文件路径前缀过滤一起设置,提高效率。此配置与文件路径前缀过滤之前为“且(and)”的关系。
调整正则表达式的方法,请参见如何调试正则表达式。
数据格式:文件的解析格式,如下所示。
CSV:分隔符分割的文本文件,支持指定文件中的首行为字段名称或手动指定字段名称。除字段名称外的每一行都会被解析为日志字段的值。
JSON:逐行读取S3文件,将每一行看作一个JSON对象进行解析。解析后,JSON对象中的各个字段对应为日志中的各个字段。
单行文本:将S3文件中的每一行解析为一条日志。
跨行文本:多行模式,支持指定首行或者尾行的正则表达式解析日志。
若选择为CSV或跨行文本时,需额外设置相关参数,具体说明如下所示。
CSV
参数
说明
分隔符
设置日志的分隔符,默认值为半角逗号(,)。
引号
CSV字符串所使用的引号字符。
转义符
配置日志的转义符,默认值为反斜线(\)。
日志最大跨行数
当一条日志跨多行时,需要指定最大行数,默认值为1。
首行作为字段名称
打开开关后,将使用CSV文件中的首行作为字段名称。例如提取下图中的首行为日志字段的名称。
跳过行数
指定跳过的日志行数。例如设置为1,则表示从CSV文件中的第2行开始采集日志。
跨行文本
参数
说明
正则匹配位置
设置正则表达式匹配的位置,具体说明如下:
首行正则:使用正则表达式匹配一条日志的行首,未匹配部分为该条日志的一部分,直到达到最大行数。
尾行正则:使用正则表达式匹配一条日志的行尾,未匹配部分为下一条日志的一部分,直到达到最大行数。
正则表达式
根据日志内容,设置正确的正则表达式。调整正则表达式的方法,请参见如何调试正则表达式。
最大行数
一条日志最大的行数。
编码格式:待导入的S3文件的编码格式。支持GBK、UTF-8。
压缩格式:根据OBS中设置的文件压缩格式,由系统自动检测。
文件修改时间过滤:从任务启动时刻回溯30分钟作为起始时间,导入此后修改的所有文件(含未来新增文件)。
检查新文件周期:用于设置导入任务定期扫描新文件的时间间隔,任务将按此时间间隔自动扫描并导入新增的文件。
配置目标数据源
数据源名称:选择状态正常的自定义数据源(自定义日志服务/Agentic SOC专属数据采集通道)。若无合适的数据源,请参考数据源,创建新的数据源。
目标Logstore:根据选择的数据源,自动拉取该数据源下的日志库。
单击确定保存配置:导入配置完成后,云安全中心将自动从腾讯云拉取日志。
分析导入数据
数据成功导入 SLS 后,还需要配置接入规则和检测规则,才能让云安全中心对这些日志进行分析。
创建新的接入策略
参考产品接入,创建新的接入策略,配置如下:
数据源:选择数据导入任务中配置的目标数据源。
标准化规则:Agentic SOC提供了适配部分云产品的内置标准化规则,可直接选用。
标准化方式:当接入日志标准化为告警日志时,仅支持“实时消费”方式标准化。
配置威胁检测规则
根据安全需求,在规则管理中启用或创建日志检测规则,才能对日志进行分析、产出告警并生成安全事件。具体操作,请参见规则管理。
计费说明
本方案会涉及以下服务的费用,实施前请仔细阅读各产品的计费文档,做好成本预估。
腾讯云侧:
服务名称
涉及费用项
计费参考文档
日志服务( CLS)
日志的存储、读写费用等。
对象存储(COS)
存储容量、请求次数、公网流量等。
阿里云侧:费用组成取决于选择的数据存储方式。
说明Agentic SOC计费说明,请参见Agentic SOC包年包月、Agentic SOC按量付费。
日志服务(SLS)计费说明,请参见计费概述。
数据源类型
Agentic SOC 计费项
SLS 计费项
特别说明
Agentic SOC专属数据采集通道
日志接入费用。
日志存储、写入费用。
说明以上均消耗日志接入流量。
除日志存储和写入外的其他费用(如公网流量等)。
由Agentic SOC 创建并管理 SLS 资源,因此日志库存储和写入费用由Agentic SOC出账。
用户侧日志服务
日志接入费用,消耗日志接入流量。
日志相关所有费用(包含日志存储和写入、公网流量费用等)。
日志资源全部由日志服务(SLS)管理,因此日志相关费用,均由SLS出账。
常见问题
数据导入任务创建后,在 SLS 中看不到日志数据怎么办?
检查第三方云侧:登录腾讯云控制台,确认日志是否已成功生成并投递/转储到您配置的 CLS、Kafka Topic 或对象存储桶中。
检查授权凭证:在云安全中心的多云资产页面,检查授权状态是否正常。确认 Access Key 是否有效,密码(特别是腾讯云 Kafka 的
Id#Key拼接格式)是否正确。检查网络连通性:如果是 Kafka 方案,请确认第三方云的 Kafka 服务公网访问已开启,且安全组/防火墙规则已正确放行云安全中心的服务 IP。
检查数据导入任务:在云安全中心的数据导入页面,查看任务状态和错误日志,根据提示进行修正。
为什么在阿里云侧新增授权时,要选择
Apache或AWS-S3而不是腾讯云?这是因为日志导入功能利用的是标准的兼容协议,而非厂商特定的 API。
使用 IDC 代表协议厂商,Apache 代表 Kafka,AWS-S3 代表对象存储。
腾讯云授权配置,仅用于Agentic SOC的威胁检测规则与腾讯云进行安全事件联动(如封禁 IP),不能实现日志导入。