威胁分析与响应(CTDR)是云安全中心内置的威胁检测与响应模块,提供统一日志分析、自动化事件响应、开箱即用威胁检测规则等安全能力。本文介绍如何选择计费方式并开通服务。
购买选型
需要根据实际情况,选择合适的购买方式。威胁分析与响应按照已接入的日志流量计费和使用的存储容量计费。参考如下:
支持根据需求为日志接入流量、日志存储容量灵活选择购买方式。例如,使用包年包月模式购买日志接入流量,使用按量付费模式开通日志管理服务。
购买方式 | 适用场景 | 计费项说明 |
包年包月模式 |
|
|
按量付费模式 |
|
|
购买步骤
包年包月
登录云安全中心控制台。
在左侧导航栏,选择。
在威胁分析与响应页面,单击包年包月购买。
在快速购买页签,购买方式保持默认选项包年包月,将威胁分析与响应区域的是否选购置为是。
单击创建服务关联角色,完成云产品服务访问授权,若您创建过角色,可忽略此步骤。
说明执行完授权操作后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用该服务关联角色访问您其他云产品中的资源。更多信息,请参见云安全中心服务关联角色。
完成授权后,设置需要购买的日志接入流量和日志存储容量。
重要若您尚未购买任意版本的云安全中心,请先根据您的防护场景选择版本。关于云安全中心版本选择和其他服务选购说明,请参见购买云安全中心。
如果您已开通威胁分析与响应付费服务,包年包月购买项中将不显示日志接入流量。
如果您已开通日志管理按量付费服务,包年包月购买项中将不显示日志存储容量。
您可以参考下文设置威胁分析与响应的购买项:
购买项
计费说明
日志接入流量
选择每天需接入威胁分析与响应进行分析的日志流量,单位为GB/天。采用阶梯到达计费,起售量100 GB/天,购买步长为100 GB/天。具体计费价格如下(X为一天内接入的流量):
X=100 GB:3元/GB/天
200 GB<=X<9,999,999,999 GB:2.8元/GB/天
您可以通过以下方式估算需购买的日志接入流量:
根据已开通的日志服务容量评估:
日志接入流量(GB/天)=日志存储容量/TTL
日志存储容量为需接入威胁分析与响应的日志源已使用的日志存储空间。
TTL为日志保存时间。
根据日志接入数量EPS评估:
日志接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)
EPS全称为Event Per Second,一天内接入威胁分析的原始日志的数量。
SIZE为每条日志的大小,一般范围为3~7 KB。
日志存储容量
选择需使用的日志存储容量,1,000 GB起售,购买步长为1,000 GB。具体价格为500元/1000GB/月。
推荐为每台服务器配置120 GB日志存储容量,或按照云安全中心日志分析存储容量的3倍进行配置。更多信息,请参见日志管理。
根据业务需求,选择是否开启接入策略。
仔细阅读云安全中心产品相关协议后,单击立即下单。开通后享受的功能如下:
CTDR 功能模块
CTDR 1.0
CTDR 2.0
仅购买日志接入流量
购买日志接入流量
和日志存储容量
仅购买日志接入流量
仅购买日志存储容量
购买日志接入流量
和日志存储容量
仪表板
安全事件处置
安全告警
说明其中自定义分析告警需购买日志管理后付费功能,才能完全支持。
处置中心
响应编排
日志管理
云安全中心日志:
标准化日志:仅支持查询标准化方式为“扫描查询”的日志。
说明若同时开通了日志管理后付费功能,则支持全部服务。
云安全中心日志:
标准化日志:
规则管理
预定义:
自定义:
预定义:
自定义:仅支持检测标准化方式为“扫描查询”的日志。
说明若同时开通日志管理后付费功能,则支持全部服务。
接入中心/产品接入
按量付费
如果您已通过包年包月方式购买日志接入流量,不支持再开通威胁分析与响应按量付费。
登录云安全中心控制台。
在左侧导航栏,选择。
在威胁分析与响应页面,单击开通按量付费。
在正在开通云安全中心按量付费对话框,仔细阅读计费规则说明。开通按量付费后,按照每天产品接入的日志流量进行阶梯累计计费,最终每天的账单为各用量区间产生的费用之和。计费示例说明如下:
说明威胁分析与响应按量计费的最小计费单位为GB,不足1 GB的部分,按照1 GB计费。
日志接入流量区间(GB/天)
价格(元/GB)
费用计算公式(Y为一天内接入的流量,单位为GB)
1~10
15
15×Y(元)
11~50
10
10×(Y-10)+15×10(元)
51~100
9
9×(Y-50)+10×40+15×10(元)
>100
8
8×(Y-100)+9×50+10×40+15×10(元)
根据业务需求,选择是否勾选开启日志接入策略。
单击立即开通并授权。
说明执行完该操作后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用该服务关联角色访问您其他云产品中的资源。更多信息,请参见云安全中心服务关联角色。
开通后享受的功能如下:
CTDR 功能模块
CTDR 1.0
CTDR 2.0
仪表板
安全事件处置
安全告警
处置中心
响应编排
日志管理
云安全中心日志:
标准化日志:仅支持查询标准化方式为“扫描查询”的日志。
说明若同时开通了日志管理后付费功能,则支持全部服务。
规则管理
预定义:
自定义:
预定义:
自定义:仅支持检测标准化方式为“扫描查询”的日志。
说明若同时开通日志管理后付费功能,则支持全部服务。
接入中心/产品接入
产品接入
开通CTDR后,需要完成产品日志的接入,实现跨资源告警和日志数据的统一监管与分析,提升告警分析和处理效率。具体操作请参见产品接入。
退订说明
若不再需要CTDR服务,可选择关闭功能。
附录
其他购买入口
还可以在云安全中心购买页或控制台总览页,购买及开通威胁分析与响应功能。关于云安全中心版本选择和其他服务选购说明,请参见购买云安全中心。
包年包月
通过云安全中心购买页购买。
按量付费
云安全中心购买页
总览页
推荐日志接入策略
在使用了推荐日志接入策略后,无需您手动配置,CTDR会自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的日志。接入的数据源及支持的安全能力如下表所示。
如果您的云安全中心的版本为免费版或仅采购增值服务版,系统将不会接入操作审计事件日志。
序号 | 阿里云产品 | 数据源名称 | 标准化规则名称 | 标准化方式 | 标准化分类/结构 | 支持的安全能力 |
1 | 云安全中心 | DNS请求日志 | 主机DNS请求日志标准化规则 | 扫描查询 | 主机日志-进程请求DNS日志 |
|
2 | 基线日志 | 基线日志标准化规则 | 扫描查询 | 安全日志-主机基线日志 |
| |
3 | 登录流水日志 | 登录流水日志标准化规则 | 扫描查询 | 登录日志-主机登录日志 |
| |
4 | 网络连接日志 | 网络连接日志标准化规则 | 扫描查询 | 主机日志-进程网络外联日志 |
| |
5 | 进程启动日志 | 进程启动日志标准化规则 | 扫描查询 | 主机日志-进程启动日志 |
| |
6 | 安全告警日志 | 安全告警日志标准化规则 | 实时消费 | 安全日志-其他告警日志 | 预定义剧本 | |
7 | 漏洞日志 | 漏洞日志标准化规则 | 扫描查询 | 安全日志-漏洞日志 |
| |
8 | Web应用防火墙 | WAF告警日志 | WAF告警日志标准化规则 | 实时消费 | 安全日志-Web应用防火墙告警日志 |
|
9 | WAF全量/拦截/拦截和观察日志 | WAF全量/拦截/拦截和观察日志标准化规则 | 实时消费 | 网络日志-HTTP日志 |
| |
10 | 云防火墙 | 云防火墙告警日志 | 云防火墙告警日志标准化规则 | 实时消费 | 安全日志-防火墙告警日志 |
|
11 | 操作审计 | 操作审计事件日志 | 操作审计事件日志标准化规则 | 实时消费 | 审计日志-云平台操作审计日志 |
|
相关文档
若您想要了解云安全中心版本和增值服务选购说明,请参见购买云安全中心。
若您想了解CTDR架构信息,请参见威胁分析与响应版本对比。
开通CTDR服务后,您需要接入产品日志,请参见CTDR2.0产品接入。