Agentic SOC是云安全中心内置的威胁检测与响应模块,提供统一日志分析、自动化事件响应、开箱即用威胁检测规则等安全能力。本文介绍如何选择计费方式并开通服务。
购买选型
选择购买方式
支持根据需求为日志接入流量、日志存储容量灵活选择购买方式。例如,使用包年包月模式购买日志接入流量,使用按量付费模式开通日志管理服务。
|
购买方式 |
适用场景 |
计费项说明 |
|
包年包月模式 |
|
|
|
按量付费模式 |
|
|
选择购买服务
Agentic SOC:支持跨云、跨账号、跨产品(例如Web应用防火墙、云防火墙、专有网络VPC等)日志的统一接入,对安全告警、事件进行检测与响应处置闭环,帮助实现安全运营提效、满足等保合规日志审计需求。
安全运营 Agent:基于 Agentic SOC 提供的高阶智能增值服务,以 Agentic AI 为核心引擎,深度融合阿里云原生安全数据与基础设施,利用Agent的自主感知-推理-执行能力,对安全事件进行自主研判,帮助快速实现安全事件响应。
智能程度差异
|
对比维度 |
Agentic SOC(基础版) |
安全运营 Agent |
|
定位 |
工具辅助,有限智能。 |
数字安全专家,24/7数字劳动力 |
|
驱动方式 |
|
|
|
核心逻辑 |
|
|
|
扩展能力 |
受限于人力FTE。 |
极度自动化与算力扩展。 |
AI Agent差异
更多Agent信息,请参见安全运营 Agent 详解。
|
对比维度 |
Agentic SOC(基础版) |
安全运营 Agent |
|
安全AI助手:产品咨询、告警解释、事件摘要等。 |
|
|
|
事件调查 Agent:恶意Web流量回溯等。 |
|
|
|
威胁检测 Agent:事件生成、深度调查、溯源分析、影响评估等。 |
|
|
|
响应协同 Agent:事件处置、实体研判等。 |
|
|
|
安全报告 Agent:告警分析报告、安全运营报告、事件调查报告等。 |
说明
不支持事件调查报告。 |
|
计费差异
|
对比维度 |
Agentic SOC(基础版) |
安全运营 Agent |
|
计费项 |
按日志接入流量与日志存储容量独立计费,可根据实际需求分别选购。 |
除购买 Agentic SOC的基础上,额外需要购买智能分析用量和托管实例数。 |
购买步骤
包年包月
-
登录云安全中心控制台,在左侧导航栏,选择。
-
在Agentic SOC页面,单击包年包月购买,在快速购买页签,购买方式保持默认选项包年包月。
-
单击创建服务关联角色,完成云产品服务访问授权,若您创建过角色,可忽略此步骤。
说明执行完授权操作后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,以便Agentic SOC使用该服务关联角色访问您其他云产品中的资源。更多信息,请参见云安全中心服务关联角色。
-
选择需要购买的服务:Agentic SOC或安全运营 Agent,两者差异请参见选择购买服务。
-
根据选择购买的服务,设置购买数量。
-
Agentic SOC:按日志接入流量与日志存储容量独立计费,可根据实际需求分别选购。
-
安全运营 Agent:除购买 Agentic SOC的基础上,额外需要购买智能分析用量和托管实例数。
日志接入流量
-
定义:选择每天需接入Agentic SOC进行分析的日志流量,单位为GB/天。
-
购买量说明:可以通过以下方式估算需购买的日志接入流量:
-
根据已开通的日志服务容量评估:
日志接入流量(GB/天)=日志存储容量/TTL
-
日志存储容量为需接入Agentic SOC的日志源已使用的日志存储空间。
-
TTL为日志保存时间。
-
-
根据日志接入数量EPS评估:
日志接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)
-
EPS全称为Event Per Second,指一天内接入威胁分析的原始日志的数量。
-
SIZE为每条日志的大小,一般范围为3~7 KB。
-
-
-
计费说明:采用阶梯到达计费,起售量100 GB/天,购买步长为100 GB/天。具体计费价格如下(X为一天内接入的流量):
X=100 GB:3元/GB/天。
200 GB<=X<9,999,999,999 GB:2.8元/GB/天。
日志存储容量
-
定义:选择每天需Agentic SOC存储的日志容量。
-
购买量说明:建议为每台服务器配置120 GB日志存储容量,或按照云安全中心日志分析存储容量的3倍进行配置。更多信息,请参见日志管理。
-
计费说明:1,000 GB起售,购买步长为1,000 GB。具体价格为500元/1000GB/月。
智能分析用量
-
定义:仅购买安全运营 Agent时需配置此项,用于对风险事件进行告警研判、事件调查、溯源、归因、输出安全报告所消耗的分析用量。
-
购买量说明:不支持自动填写,需与日志接入流量保持一致。
-
计费说明:
起售量100 GB/天,购买数量不支持自动填写,需与日志接入流量保持一致。
计费价格:66.7元/100GB/天 。
说明每天零点用量清零,超过后系统将自动限流。
托管实例数
-
定义:用于安全运营 Agent跨实例进行安全运营和自动处置时纳管的实例数量。
-
购买量说明:每个被调用的实例都会计入费用。如ECS、WAF、ALB、跨云产品、线下安全厂商产品等,均会计为实例数。
-
计费说明:
10个实例/月起售,购买步长为10个实例/月。
10元/个实例/月。
说明同一实例只计算一次,自动去重。
-
-
根据业务需求,选择是否开启接入策略。
-
仔细阅读云安全中心产品相关协议后,单击立即下单。开通后享受的功能如下:
功能模块
CTDR 1.0
CTDR 2.0(更名为 Agentic SOC)
仅购买日志接入流量
购买日志接入流量
和日志存储容量
仅购买日志接入流量
仅购买日志存储容量
购买日志接入流量
和日志存储容量
仪表板
安全事件
告警
说明其中自定义分析告警需购买日志管理后付费功能,才能完全支持。
响应活动
响应规则
日志管理
-
云安全中心日志:
-
标准化日志:仅支持查询标准化方式为“扫描查询”的日志。
说明若同时开通了日志管理后付费功能,则支持全部服务。
-
云安全中心日志:
-
标准化日志:
检测规则
-
预定义:
-
自定义:
-
预定义:
-
自定义:仅支持检测标准化方式为“扫描查询”的日志。
说明若同时开通日志管理后付费功能,则支持全部服务。
接入设置/产品接入
-
按量付费
如果您已通过包年包月方式购买日志接入流量,不支持再开通Agentic SOC按量付费。
-
登录云安全中心控制台,在左侧导航栏,选择。
-
在Agentic SOC页面,单击开通按量付费,并选择需要开通的服务。
Agentic SOC:支持跨云、跨账号、跨产品(例如Web应用防火墙、云防火墙、专有网络VPC等)日志的统一接入,对安全告警、事件进行检测与响应处置闭环,帮助实现安全运营提效、满足等保合规日志审计需求。
安全运营 Agent:基于 Agentic SOC 提供的高阶智能增值服务,以 Agentic AI 为核心引擎,深度融合阿里云原生安全数据与基础设施,利用Agent的自主感知-推理-执行能力,对安全事件进行自主研判,帮助快速实现安全事件响应。
-
仔细阅读计费规则说明,开通不同服务的,计费规则也不相同。
计费方式:
Agentic SOC:按每日接入的日志流量(GB)阶梯累计计费,每日费用为各阶梯区间费用之和。
重要最小计费单位为GB,不足1GB的部分,按照1GB计费。
安全运营 Agent:除按每日接入的日志流量(GB)阶梯累计计费外,还包含以下计费项:
智能分析用量:按AI 安全数字人对风险事件进行告警研判、事件调查、溯源、归因、输出安全报告所消耗的分析用量(GB)计费。
托管实例数:按Agent实例调用数量(个)计费,ECS、WAF、ALB、跨云产品,线下安全厂商产品等各产品,均记为实例数。
重要同一实例只计算一次,自动去重。
计费周期:按自然日结算。
价格:
日志接入流量:按每日接入的日志流量(GB)执行阶梯价格。
日志接入流量区间
价格
费用计算公式(Y为一天内接入的流量,单位为GB)
1~10(GB/天)
15元/GB
15×Y(元)
11~50(GB/天)
10元/GB
15×10+10×(Y-10)(元)
51~100(GB/天)
9元/GB
15×10+10×40+9×(Y-50)(元)
>100(GB/天)
8元/GB
15×10+10×40+9×50+8×(Y-100)(元)
智能分析用量:1元/GB/天 。
托管实例数:15 元/ 个实例 / 月。
-
根据业务要求,选择是否开启一键接入免配置。
-
单击立即开通并授权。
说明执行完该操作后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,以便Agentic SOC使用该服务关联角色访问您其他云产品中的资源。更多信息,请参见云安全中心服务关联角色。
开通后享受的功能如下:
功能模块
CTDR 1.0
CTDR 2.0(更名为Agentic SOC)
仪表板
安全事件
告警
响应活动
响应规则
日志管理
-
云安全中心日志:
-
标准化日志:仅支持查询标准化方式为“扫描查询”的日志。
说明若同时开通了日志管理后付费功能,则支持全部服务。
检测规则
-
预定义:
-
自定义:
-
预定义:
-
自定义:仅支持检测标准化方式为“扫描查询”的日志。
说明若同时开通日志管理后付费功能,则支持全部服务。
接入设置/产品接入
-
产品接入
开通Agentic SOC后,需要完成产品日志的接入,实现跨资源告警和日志数据的统一监管与分析,提升告警分析和处理效率。具体操作请参见产品接入。
退订说明
若不再需要Agentic SOC服务,可选择关闭功能。
附录
其他购买入口
还可以在云安全中心购买页或控制台总览页,购买及开通Agentic SOC功能。关于云安全中心版本选择和其他服务选购说明,请参见购买云安全中心。
包年包月
通过云安全中心购买页购买。
在云安全中心购买页,版本选择区域选择仅采购增值服务,在Agentic SOC配置区域将是否选购设置为Agentic SOC,配置日志接入流量(起售量和购买步长为100 GB/天)、日志存储容量,确认关联角色状态为已创建,并勾选开启Agentic SOC的推荐产品日志接入策略。
按量付费
-
云安全中心购买页
在云安全中心购买页,购买方式选择按量付费,计费周期为按天计费。在Agentic SOC区域选择Agentic SOC或安全运营 Agent,该功能为阿里云云原生 SIEM+SOAR 产品解决方案,采用阶梯计费:0-10 GB/天为 15 元/GB、11-50 GB 为 10 元/GB、51-100 GB 为 9 元/GB、101 GB 及以上为 8 元/GB。确认关联角色状态为已创建,并勾选接入策略中的"开启 Agentic SOC 的推荐产品日志接入策略,开启后根据实际使用量进行计量"。
-
总览页
在按量付费服务区域,找到Agentic SOC服务项并开启其开关。
推荐日志接入策略
在使用了推荐日志接入策略后,无需您手动配置,Agentic SOC会自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的日志。接入的数据源及支持的安全能力如下表所示。
如果您的云安全中心的版本为免费版或仅采购增值服务版,系统将不会接入操作审计事件日志。
|
序号 |
阿里云产品 |
数据源名称 |
标准化规则名称 |
标准化方式 |
标准化分类/结构 |
支持的安全能力 |
|
1 |
云安全中心 |
DNS请求日志 |
主机DNS请求日志标准化规则 |
扫描查询 |
主机日志-进程请求DNS日志 |
|
|
2 |
基线日志 |
基线日志标准化规则 |
扫描查询 |
安全日志-主机基线日志 |
|
|
|
3 |
登录流水日志 |
登录流水日志标准化规则 |
扫描查询 |
登录日志-主机登录日志 |
|
|
|
4 |
网络连接日志 |
网络连接日志标准化规则 |
扫描查询 |
主机日志-进程网络外联日志 |
|
|
|
5 |
进程启动日志 |
进程启动日志标准化规则 |
扫描查询 |
主机日志-进程启动日志 |
|
|
|
6 |
安全告警日志 |
安全告警日志标准化规则 |
实时消费 |
安全日志-其他告警日志 |
预定义剧本 |
|
|
7 |
漏洞日志 |
漏洞日志标准化规则 |
扫描查询 |
安全日志-漏洞日志 |
|
|
|
8 |
Web应用防火墙 |
WAF告警日志 |
WAF告警日志标准化规则 |
实时消费 |
安全日志-Web应用防火墙告警日志 |
|
|
9 |
WAF全量/拦截/拦截和观察日志 |
WAF全量/拦截/拦截和观察日志标准化规则 |
实时消费 |
网络日志-HTTP日志 |
|
|
|
10 |
云防火墙 |
云防火墙告警日志 |
云防火墙告警日志标准化规则 |
实时消费 |
安全日志-防火墙告警日志 |
|
|
11 |
操作审计 |
操作审计事件日志 |
操作审计事件日志标准化规则 |
实时消费 |
审计日志-云平台操作审计日志 |
|