Ingest log dari layanan cloud di lingkungan same-account, cross-account, dan cloud pihak ketiga -

Fitur ini memungkinkan pemantauan dan analisis terpusat terhadap peringatan serta data log Anda dari berbagai sumber. Setelah diingest, Agentic SOC memantau dan menganalisis data tersebut untuk mengidentifikasi serta menyusun rantai serangan lengkap, menghasilkan event keamanan terperinci guna meningkatkan efisiensi analisis dan respons terhadap peringatan.

Prasyarat

Agentic SOC telah diaktifkan. Untuk informasi lebih lanjut, lihat Apa itu Agentic SOC (sebelumnya Cloud Threat Detection and Response (CTDR))?.
Log Service telah diaktifkan untuk layanan cloud (kecuali Security Center) yang log-nya ingin Anda ingest. Untuk informasi lebih lanjut, lihat dokumentasi resmi layanan cloud terkait.

Catatan
Anda tidak perlu mengaktifkan fitur analisis log Security Center untuk mengingest log-nya.

Impor log dari layanan Alibaba Cloud

Untuk mengingest log dari layanan cloud dalam Akun Alibaba Cloud Anda saat ini, langsung pilih layanan cloud dan tipe log pada halaman Service Integration.
Untuk mengonfigurasi kebijakan ingest log secara terpusat bagi beberapa akun Alibaba Cloud, pertama-tama selesaikan penyiapan manajemen multi-akun. Kemudian, login ke konsol sebagai administrator global, beralih ke Global Account View pada halaman Service Integration, lalu ikuti prosedur berikut. Untuk informasi lebih lanjut tentang manajemen multi-akun, lihat Manajemen multi-akun.

Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di daftar integrasi layanan, temukan layanan cloud yang diinginkan dan klik Ingestion Settings pada kolom Actions.
Di panel pengaturan ingest layanan, temukan tipe log yang diinginkan dan klik angka pada kolom Associated Accounts.

Untuk mengonfigurasi beberapa akun sekaligus, pilih beberapa tipe log lalu klik tombol integrasi batch di bagian bawah daftar.
Di panel pengaturan ingest, pilih akun yang akan diintegrasikan.

Catatan
Jika Anda menggunakan akun yang diverifikasi secara individual, panel Select Account hanya menampilkan akun Anda saat ini. Hanya administrator global yang dapat memilih dari semua akun yang dikelola oleh Agentic SOC saat berada di Global Account View.
- Jika layanan cloud seperti Security Center hanya mendukung Logstore yang ditentukan layanan, Anda cukup memilih akun. Pemilihan Logstore tidak diperlukan. Security Center secara otomatis mengingest log ke Logstore yang ditentukan layanan tersebut.
- Jika layanan cloud menggunakan Logstore kustom, Anda harus memilih akun lalu memilih Logstore yang sesuai dari daftar drop-down Logstore (format: regionId.project.logStore) atau menempelkan nama Logstore kustom. Nama Logstore harus dalam format regionId.project.logStore.
Aktifkan Automatically Associate New Accounts jika diperlukan.

Jika Anda mengaktifkan Automatically Associate New Accounts, Agentic SOC secara otomatis mengingest log yang sesuai setiap kali akun Alibaba Cloud baru ditambahkan.

Catatan
Hanya administrator global yang dapat mengonfigurasi Automatically Associate New Accounts saat berada di Global Account View.

Ingest log dari layanan cloud pihak ketiga

Jika bisnis Anda beroperasi di Alibaba Cloud dan platform cloud pihak ketiga (saat ini mendukung Huawei Cloud dan Tencent Cloud), serta Anda perlu mengelola peringatan keamanan di seluruh lingkungan tersebut, Anda dapat menghubungkan akun cloud pihak ketiga ke Agentic SOC. Hal ini memungkinkan pemantauan peringatan terpusat dan manajemen operasi keamanan.

1. Konfigurasi akun pihak ketiga

Sub-akun Huawei Cloud

Buat dua kebijakan kustom: siemBasePolicy dan siemNormalPolicy. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang Membuat kebijakan kustom.

Catatan

Saat membuat kebijakan kustom di Huawei Cloud, Anda tidak dapat memilih layanan cloud tingkat global dan tingkat proyek secara bersamaan. Oleh karena itu, Anda harus membuat dua kebijakan terpisah untuk otorisasi prinsip least-privilege.

siemBasePolicy: berkaitan dengan izin untuk layanan cloud tingkat global. Konten kebijakan adalah:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy: berkaitan dengan izin untuk layanan cloud tingkat proyek. Konten kebijakan adalah:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

Buat dua grup pengguna, siemUser dan readonlyuser, lalu berikan izin yang diperlukan seperti pada tabel berikut. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat grup pengguna dan memberikan izin.

Grup pengguna	Izin yang diperlukan
siemUser	Izin kebijakan kustom: siemBasePolicy, siemNormalPolicy
readonlyuser	LTS ReadOnlyAccess: Memberikan izin read-only untuk Log Tank Service (LTS). OBS OperateAccess: Memberikan izin operasional dasar untuk Object Storage Service (OBS), seperti melihat daftar bucket, mendapatkan metadata bucket, mendaftar objek, menanyakan lokasi bucket, mengunggah objek, mendapatkan objek, menghapus objek, dan mendapatkan ACL objek. OBS ReadOnlyAccess: Memberikan izin read-only untuk Object Storage Service (OBS), termasuk melihat daftar bucket, mendapatkan metadata bucket, mendaftar objek, dan menanyakan lokasi bucket. Tidak ada izin lain yang diberikan. CFW ReadOnlyAccess: Memberikan izin read-only untuk Cloud Firewall. WAF ReadOnlyAccess: Memberikan izin read-only untuk Web Application Firewall (WAF).

Buat pengguna IAM dan tambahkan ke grup pengguna siemUser. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat pengguna IAM.
Buat Pasangan Kunci Akses (AccessKey pair) untuk pengguna IAM tersebut. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat kunci akses pengguna IAM.

Sub-akun Tencent Cloud

Buat kebijakan kustom bernama siemPolicy menggunakan sintaks kebijakan.

Konten kebijakan untuk siemPolicy adalah sebagai berikut:

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

Buat akun sub. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang membuat akun sub.
Lampirkan kebijakan siemPolicy ke akun sub yang telah dibuat. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang manajemen otorisasi.
Buat Pasangan Kunci Akses (AccessKey pair) untuk akun sub tersebut. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang manajemen kunci akses akun sub.

2. Teruskan log ke layanan cloud

Untuk mengaktifkan analisis dan respons ancaman, Anda harus meneruskan log dari layanan cloud Anda ke layanan penyimpanan atau pesan vendor, seperti Object Storage Service (OBS) atau CKafka. Agentic SOC kemudian dapat mengambil dan menganalisis log tersebut secara efisien.

Penyedia cloud	Log layanan cloud	Layanan tujuan	Konfigurasi penerusan	Latensi pengumpulan data
Huawei Cloud	Log peringatan Cloud Firewall Log peringatan Web Application Firewall (WAF)	OBS	Anda harus meneruskan log yang disimpan di Log Tank Service (LTS) ke Object Storage Service (OBS). Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang meneruskan log ke OBS. Konfigurasikan parameter utama sebagai berikut: Jalur penerusan kustom: Aktifkan opsi ini dan konfigurasikan jalur dengan granularitas tingkat menit. Contoh: `/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M`. Periode penerusan: Atur menjadi 2 menit. Penting Anda harus mengonfigurasi parameter ini persis seperti yang dijelaskan. Agentic SOC mengumpulkan data dari OBS berdasarkan struktur direktori file. Jika frekuensi pengumpulan dan struktur direktori tidak sesuai, Agentic SOC mungkin menarik data duplikat. Agentic SOC tidak dapat mengingest data dari bucket terenkripsi, jadi jangan meneruskan log ke bucket tersebut.	Data yang dikumpulkan dari OBS bersifat offline, sehingga menimbulkan latensi tertentu. Sistem dirancang agar pengumpulan data tertinggal tiga interval pengumpulan yang ditentukan dari waktu saat ini. Misalnya, jika periode pengumpulan diatur menjadi 2 menit dan tugas pengumpulan dimulai pukul 17.58 pada 10 September 2024, sistem mengambil data dari direktori /2024/09/10/17/52. Data ini berasal dari 6 menit sebelumnya, yaitu tiga interval sebelumnya. Desain ini menjamin integritas data. Penundaan tiga interval membantu mencegah data tidak lengkap atau kehilangan data akibat operasi penulisan yang belum selesai, terutama dalam skenario volume tinggi.
Tencent Cloud	Log peringatan Cloud Firewall (hanya log Pencegahan Intrusi yang didukung)	CKafka	Anda harus mengirim log Pencegahan Intrusi ke topik CKafka. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang log shipping.	Pengumpulan real-time tanpa latensi.
Tencent Cloud	Log peringatan Web Application Firewall (WAF)	None	Agentic SOC mengumpulkan log ini dengan memanggil API WAF setiap 10 menit. Tidak diperlukan konfigurasi penerusan.	Pengumpulan data memiliki latensi 10 menit atau lebih.

3. Tambahkan AccessKey pihak ketiga

Tambahkan Pasangan Kunci Akses (AccessKey pair) akun cloud pihak ketiga Anda ke Agentic SOC agar dapat mengakses log peringatan dari aset cloud pihak ketiga Anda.

Login ke Konsol Security Center.
Otorisasi akun penyedia cloud pihak ketiga.

Security Center menggunakan Pasangan Kunci Akses (AccessKey pair) akun pihak ketiga untuk mendapatkan izin baca dan menyinkronkan informasi aset dari cloud pihak ketiga.
1. Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia cloud pihak ketiga yang diinginkan lalu klik Grant Permission.
3. Di panel Edit Multi-cloud Configuration, pilih Manual Configuration. Di bagian Permission Description, pilih Agentic SOC lalu klik Next.
4. Di halaman Submit AccessKey Pair, masukkan informasi Pasangan Kunci Akses (AccessKey pair) akun sub lalu klik Next.
5. Di halaman Policy Configuration, pilih periode untuk AK Service Status Check lalu klik OK.
Tambahkan akun penyedia cloud pihak ketiga.
1. Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia cloud pihak ketiga yang ingin ditambahkan lalu klik Add Account.
3. Di panel Add Account, klik Add.
4. Di panel Account Association Settings, masukkan nama dan ID akun utama penyedia cloud pihak ketiga, pilih Pasangan Kunci Akses (AccessKey pair) akun sub yang telah diotorisasi, lalu klik Associate Account and Associate Data Source.
5. Di panel Data Source Settings, konfigurasikan sumber data untuk layanan cloud yang ingin Anda ingest.
  - Huawei Cloud: Satu sumber data dapat mengingest data dari satu bucket OBS. Untuk mengingest data dari beberapa bucket OBS, Anda harus membuat beberapa sumber data. Jika tidak, cukup buat satu sumber data.
    1. Di panel Huawei Cloud, isi bidang Access Method, Data Source Name, Region, dan OBS Bucket Name, lalu klik Save Data Source.
    2. Klik Add Log Type, pilih Log Type yang akan diingest, masukkan OBS File Path, lalu klik Save Log Type.
      
      Jalur penerusan kustom pada bidang OBS File Path harus dikonfigurasi dengan granularitas tingkat menit. Contoh: /LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M.
      
      Setelah menyimpan tipe log, jika log Cloud Firewall dan Web Application Firewall diteruskan ke bucket OBS yang sama, Anda harus mengklik Add Log Type lagi untuk membuat konfigurasi bagi tipe log lainnya.
  - Tencent Cloud: Log peringatan Cloud Firewall dan Web Application Firewall (WAF) menggunakan metode ingest yang berbeda. Jika Anda ingin mengingest kedua tipe log tersebut, Anda harus membuat sumber data terpisah untuk masing-masing. Langkah-langkah berikut menggunakan log peringatan Cloud Firewall sebagai contoh. Untuk log peringatan WAF, ikuti petunjuk di konsol.
    1. Di panel Data Source Settings - Tencent Cloud, isi bidang Access Method, Data Source Name, Public Endpoint, Username, dan Password, lalu klik Save Data Source.
    2. Klik Add Log Type, isi bidang Log Topic dan Consumer Group Name, pilih Log Type, lalu klik Save Log Type.

4. Ingest log dari layanan cloud pihak ketiga

Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di daftar integrasi layanan, temukan layanan cloud pihak ketiga yang ingin diintegrasikan lalu klik Ingestion Settings pada kolom Actions.
Di panel pengaturan ingest, temukan tipe log yang akan diingest lalu klik angka pada kolom Associated Accounts.
Di kotak dialog yang muncul, pilih akun yang akan diintegrasikan lalu klik OK.
Aktifkan Automatically Associate New Accounts jika diperlukan.

Jika Anda mengaktifkan Automatically Associate New Accounts, Agentic SOC secara otomatis mengingest log yang sesuai setiap kali akun cloud pihak ketiga baru ditambahkan.

Catatan
Hanya administrator global yang dapat mengonfigurasi Automatically Associate New Accounts saat berada di Global Account View.

Referensi

Setelah mengingest log, Anda dapat mengonfigurasi aturan deteksi untuk mengorelasikan beberapa peringatan keamanan terkait menjadi satu event keamanan dengan rantai serangan lengkap. Hal ini mengurangi jumlah peringatan dan meningkatkan efisiensi analisis serta respons terhadap peringatan. Untuk informasi lebih lanjut, lihat Konfigurasi aturan deteksi ancaman.
Gunakan Dashboard Agentic SOC untuk memantau postur keamanan Anda secara terpusat di berbagai platform, akun, dan layanan dengan visualisasi data serta mengevaluasi efektivitas operasi keamanan Anda. Untuk informasi lebih lanjut, lihat Dashboard.
Anda dapat menggunakan fitur manajemen log di Agentic SOC untuk menjelajahi dan melakukan kueri terhadap semua data log yang dikumpulkan, yang menyederhanakan manajemen log di lingkungan multi-sumber daya. Untuk informasi lebih lanjut, lihat Manajemen log.
Anda dapat memanggil Operasi API terkait ingest log untuk mengirimkan pekerjaan batch guna integrasi layanan atau log, melihat akun cloud yang ditautkan, dan lainnya. Untuk daftar Operasi API, lihat Ingest Log.
Apakah Agentic SOC mendukung ingest log dari perangkat on-premises?
Apa yang terjadi jika ingest log atau penyimpanan saya melebihi batas paket langganan saya?