威胁分析与响应1.0和2.0差异

产品功能

CTDR 1.0

CTDR 2.0

产品接入

• 围绕阿里云云原生产品接入设计，服务对服务接入方案。

• 支持第三方云厂商、IDC下安全产生日志接入，对接入日志有严格的结构化要求。

• 升级为接入中心，通过配置标准化规则实现日志通用化接入，包括阿里云云原生产品、第三方云和安全厂商产品。

• 提供“实时消费”和“扫描查询”两种日志标准化接入方式。

规则管理

图形交互配置自定义规则

• 升级为SQL语法自定义规则，通过批处理方式进行威胁检测，并且可对历史数据进行威胁分析。

• 支持剧本自定义规则。

日志管理

• 单Logstore宽表存储方式，全部日志存储在项目（cloud_siem-data-阿里云账号-RegionID）日志库（cloud_siem）中。

• 不支持云安全中心原生日志的投递，必须通过产品接入后进行投递。

• 基于厂商、产品接入维度控制投递开关。

• 存在多个标准化结构Logstore。

  重要

  升级后增量日志不再写入原V1.0项目日志库（cloud_siem）中，但仍可查询历史日志，增量日志会根据产品接入策略设置写入对应新的日志库中。

• 云安全中心原生日志，从业务中心侧直接投递到日志管理中，不依赖产品接入策略，支持投递开关的启停操作。

• “实时消费”接入的日志若购买了日志存储容量会自动投递，不支持投递开关的启停操作。

• CTDR2.0更新了日志标准化字段，字段变化请参见日志标准化字段变更。

多账号管理

• DA绑定为全局账号管理员

• DA账号可切换“全局账号视图”和“当前账号视图”

• 威胁分析多账号管理设置融合入云安全中心多账号管理设置，通过云安全中心多账号管理统一设置DA委派管理员。

• CTDR的多账号管理场景，通过接入中心“多账号接入设置”功能实现成员账号告警日志的接入，不再支持视图切换。

控台功能

CTDR 1.0

CTDR 2.0

仪表板

Logstore日志统计

暂时不支持

安全告警

告警等级：提醒、可疑、紧急。

告警等级（除CWPP外）：信息、低危、中危、高危、严重。

安全事件处置

事件等级：提醒、可疑、紧急。

事件等级：信息、低危、中危、高危、严重。

响应编排

• 告警触发

  alert_level：提醒、可疑、紧急。

• 事件触发

  threat_level：提醒、可疑、紧急。

• 告警触发

  alert_level：信息、低危、中危、高危、严重。

• 事件触发

  threat_level：信息、低危、中危、高危、严重。

日志管理

日志分类：阿里云、腾讯云、华为云、安全厂商。

日志种类：

• 云安全中心日志：云安全中心产生的日志，默认直接投递，无需通过产品接入设置。

• 标准化日志：接入中心产品接入的日志。

  说明

  腾讯云、华为云、其他安全厂商都时通过标准化日志接入。

日志管理设置：投递开关与日期合并。

规则管理

• 预定义规则：Flink引擎的SQL语法，不可修改。

• 自定义规则：Flink引擎的SQL语法。

• 数据集

• 预定义规则：Flink引擎的SQL语法，不可修改。

• 自定义规则：SLS的SQL语法。

• 规则模板：提供常用场景的模板，降低自定义规则创建及理解成本。

接入中心/产品接入

• 厂商类型（固定类型，不可新增）：

  • 阿里云

  • 腾讯云

  • 华为云

  • 其他安全厂商：长亭WAF、飞塔防火墙、微软Active Directory、F5 BIG-IP本地流量管理器(LTM)、）深信服统一端点安全管理系统aES(EDR)，cloudsiem专用日志服务SLS（防火墙、WAF的告警日志和流量日志）。

• 日志管理设置

• 厂商类型（可自定义新增）：

  • 阿里云

  • 腾讯云

  • 华为云

  • 飞塔

  • 长亭

  • 深信服

  • ......

• 数据源

• 标准化规则

• 观察列表（原数据集）

多账号管理

• DA绑定为全局账号管理员

• DA账号可切换“全局账号视图”和“当前账号视图”

• 威胁分析多账号管理设置融合入云安全中心多账号管理设置，通过云安全中心多账号管理统一设置DA委派管理员，不再需要为CTDR模块单独进行威胁分析多账号管理设置。

• CTDR的多账号管理场景，通过接入中心“多账号接入设置”功能实现成员账号告警日志的接入，不再支持视图切换。