Tambahkan log layanan cloud yang termasuk dalam akun Alibaba Cloud yang sama atau berbeda, atau akun cloud pihak ketiga -

Prasyarat

Fitur CTDR diaktifkan. Untuk informasi lebih lanjut, lihat Pembelian dan pengaktifan analisis ancaman dan tanggapan.
Simple Log Service diaktifkan untuk layanan cloud selain Security Center yang lognya ingin Anda tambahkan ke fitur CTDR. Untuk informasi lebih lanjut, kunjungi Pusat Dokumentasi.

Catatan
Jika Anda menambahkan log Security Center, Anda tidak perlu membeli fitur analisis log secara terpisah.

Tambahkan log layanan Alibaba Cloud

Jika Anda ingin menambahkan log layanan cloud yang termasuk dalam akun Alibaba Cloud saat ini, Anda hanya perlu menemukan layanan cloud dan tipe log yang diperlukan, lalu menambahkan log di halaman Service Integration.
Jika Anda ingin mengonfigurasi kebijakan pengumpulan log untuk menambahkan log layanan cloud yang termasuk dalam akun Alibaba Cloud yang berbeda, Anda harus mengonfigurasi pengaturan manajemen multi-akun dan login ke konsol Security Center menggunakan akun administrator global yang Anda tentukan. Lalu, buka halaman Service Integration, pilih Global Account View. Lalu, lakukan operasi berikut untuk menambahkan log. Untuk informasi lebih lanjut, lihat Gunakan fitur manajemen multi-akun.

Di panel navigasi sebelah kiri, pilih Agentic SOC > Service Integration.
Di halaman Service Integration, temukan layanan cloud yang diperlukan dan klik Ingestion Settings di kolom Actions.
Di panel yang muncul, temukan tipe log yang diperlukan dan klik angka di kolom Associated Accounts.

Anda juga dapat memilih beberapa tipe log dan klik tombol di bagian bawah untuk memilih beberapa akun sekaligus dari mana Anda menambahkan tipe log ini sekaligus.
Di panel Access Settings, temukan tipe log yang diperlukan dan klik Pilih di kolom Import Account.

Catatan
Jika akun login saat ini hanya melewati verifikasi nama asli individual, hanya akun login saat ini yang ditampilkan di panel. Anda hanya dapat memilih akun yang dikelola oleh fitur CTDR ketika akun login saat ini merupakan akun administrator global dan Global Account View dipilih.
- Jika layanan cloud seperti Security Center hanya mendukung Logstore khusus, Anda hanya perlu memilih akun login saat ini. Anda tidak perlu memilih Logstore. Setelah Anda memilih akun login saat ini, log layanan cloud secara otomatis disimpan di Logstore khusus.
- Jika layanan cloud juga mendukung Logstore kustom, Anda harus memilih akun login saat ini dan Logstore yang diperlukan dari daftar drop-down di kolom. Alternatifnya, Anda dapat menyalin dan menempelkan nama Logstore kustom yang ingin Anda gunakan. Nama Logstore dalam format `regionId.project.logStore`.
Aktifkan atau nonaktifkan sakelar di kolom Automatically Associate New Accounts berdasarkan kebutuhan bisnis Anda.

Jika Anda mengaktifkan sakelar untuk tipe log dan akun Alibaba Cloud baru ditambahkan ke fitur CTDR, fitur tersebut secara otomatis mengumpulkan log tipe tersebut dari layanan cloud dalam akun baru.

Catatan
Hanya akun administrator global yang dapat mengaktifkan sakelar setelah Global Account View dipilih.

Tambahkan log layanan cloud pihak ketiga

Jika bisnis Anda diterapkan di Alibaba Cloud dan layanan cloud pihak ketiga, dan Anda ingin mengelola peringatan di seluruh lingkungan cloud, Anda dapat menambahkan akun cloud pihak ketiga ke fitur CTDR untuk menerapkan pemantauan peringatan terpusat dan manajemen operasi. Penyedia layanan cloud pihak ketiga yang didukung meliputi Huawei Cloud dan Tencent Cloud.

1. Konfigurasikan akun cloud pihak ketiga

Konfigurasikan sub-akun Huawei Cloud

Buat dua kebijakan kustom bernama siemBasePolicy dan siemNormalPolicy. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

Catatan

Ketika Anda membuat kebijakan kustom di Huawei Cloud, Anda tidak dapat memilih layanan cloud tingkat global dan tingkat project secara bersamaan. Dalam hal ini, Anda harus membuat dua kebijakan untuk mematuhi prinsip hak istimewa minimal.

siemBasePolicy: izin pada layanan cloud tingkat global. Kode berikut menunjukkan isi kebijakan:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy: izin pada layanan cloud tingkat project. Kode berikut menunjukkan isi kebijakan:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

Buat grup pengguna bernama siemUser dan readonlyuser, serta berikan izin yang diperlukan ke grup pengguna. Tabel berikut menjelaskan izin yang diperlukan. Untuk informasi lebih lanjut, lihat Buat grup pengguna dan tetapkan izin.

Grup Pengguna	Izin yang diperlukan
siemUser	Kebijakan kustom: siemBasePolicy dan siemNormalPolicy.
readonlyuser	LTS ReadOnlyAccess: izin baca saja pada Log Tank Service (LTS). OBS OperateAccess: izin untuk melakukan operasi dasar pada Object Storage Service (OBS) Huawei Cloud. Operasi berikut termasuk: melihat daftar bucket, mendapatkan metadata bucket, mencantumkan objek dalam bucket, menanyakan lokasi bucket, mengunggah objek, mendapatkan objek, menghapus objek, dan mendapatkan konfigurasi ACL objek. OBS ReadOnlyAccess: izin baca saja pada OBS. Operasi berikut didukung: melihat daftar bucket, mendapatkan metadata bucket, mencantumkan objek dalam bucket, dan menanyakan lokasi bucket. CFW ReadOnlyAccess: izin baca saja pada Cloud Firewall. WAF ReadOnlyAccess: izin baca saja pada Web Application Firewall (WAF).

Buat pengguna Identity and Access Management (IAM) dan asosiasikan pengguna IAM dengan grup pengguna siemUser. Untuk informasi lebih lanjut, lihat Buat pengguna IAM.
Buat pasangan AccessKey untuk pengguna IAM. Untuk informasi lebih lanjut, lihat Kelola pasangan AccessKey untuk pengguna IAM.

Konfigurasikan sub-akun Tencent Cloud

Buat kebijakan kustom bernama siemPolicy berdasarkan sintaksis kebijakan.

Kode berikut menunjukkan isi kebijakan.

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

Buat sub-akun. Untuk informasi lebih lanjut, lihat Buat sub-akun.
Lampirkan kebijakan siemPolicy ke sub-akun yang dibuat. Untuk informasi lebih lanjut, lihat Manajemen otorisasi.
Buat pasangan AccessKey untuk sub-akun. Untuk informasi lebih lanjut, lihat Pasangan AccessKey.

2. Transfer log yang diperlukan ke layanan cloud tertentu

Sebelum Anda dapat menggunakan CTDR, Anda harus mentransfer log layanan cloud ke layanan penyimpanan atau messaging cloud seperti OBS dan TDMQ for CKafka (CKafka). Dengan cara ini, CTDR dapat langsung membaca dan menganalisis log dari layanan cloud. Anda harus mentransfer log ke layanan cloud berdasarkan tipe log. Tabel berikut menjelaskan cara mentransfer log.

Penyedia layanan cloud	Log layanan cloud	Transfer destination service	Transfer configuration	Description of log collection delay
Huawei Cloud	Alert logs of Cloud Firewall Alert logs of WAF	obs	Transfer log yang disimpan di LTS ke OBS. Untuk informasi lebih lanjut, lihat Transfer log ke OBS. Daftar berikut menjelaskan parameter utama: Custom Log Transfer Path: Atur parameter ini ke Enabled dan variabel waktu terakhir dalam jalur kustom ke %M, yang menunjukkan menit. Contoh: `/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M`. Log Transfer Interval: Atur parameter ini ke 2 menit. Penting Anda harus mengonfigurasi parameter berdasarkan informasi sebelumnya. CTDR mengumpulkan data dari OBS berdasarkan direktori file. Jika frekuensi pengumpulan yang Anda konfigurasi tidak cocok dengan struktur direktori, sistem mungkin secara berulang menarik data yang sama. CTDR tidak dapat mengumpulkan data yang disimpan di bucket terenkripsi. Jangan mentransfer log ke bucket terenkripsi.	Data yang dikumpulkan dari OBS adalah data offline, yang menyebabkan keterlambatan dalam pengumpulan data. Dalam mekanisme sistem saat ini, pengumpulan data tertunda oleh tiga interval pengumpulan yang ditentukan dibandingkan dengan waktu sistem saat ini. Misalnya, jika Anda menentukan 2 menit sebagai interval pengumpulan dan tugas pengumpulan dimulai pada 17:58 pada 10 September 2024, sistem mengambil data dari direktori /2024/09/10/17/52. Data dalam direktori berasal dari 6 menit yang lalu, yang sesuai dengan tiga interval pengumpulan. Mekanisme ini memastikan integritas data. Anda harus menunggu tiga interval pengumpulan. Ini membantu mencegah data yang tidak lengkap atau kehilangan data karena operasi tulis data yang sedang berlangsung, terutama dalam skenario di mana sejumlah besar data diproses.
Tencent Cloud	Alert logs of Cloud Firewall (Hanya log intrusion prevention yang didukung.)	ckafka	Transfer log ke topik CKafka tertentu. Untuk informasi lebih lanjut, lihat Pengiriman log.	Data dikumpulkan secara real time. Tidak ada keterlambatan pengumpulan.
Tencent Cloud	Alert logs of WAF	None	CTDR memanggil operasi API WAF untuk mengumpulkan log setiap 10 menit. Anda tidak perlu mentransfer log secara manual.	Keterlambatan dalam pengumpulan data lebih dari 10 menit.

3. Tambahkan akun cloud pihak ketiga ke CTDR

Anda harus menambahkan akun cloud pihak ketiga ke fitur CTDR dengan memasukkan pasangan AccessKey dari sub-akun. Dengan cara ini, fitur tersebut dapat memperoleh log peringatan aset cloud pihak ketiga.

Login ke konsol Security Center. Di panel navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Berikan izin ke sub-akun.

Security Center memperoleh izin baca pada aset cloud pihak ketiga dan menyinkronkan informasi tentang aset cloud pihak ketiga menggunakan pasangan AccessKey dari sub-akun.
1. Di panel navigasi sebelah kiri, pilih Agentic SOC > Service Integration.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia layanan cloud pihak ketiga yang diperlukan dan klik Grant Permission.
3. Di panel Edit Multi-cloud Configuration, pilih Manual Configuration, pilih Threat Analysis di bagian Permission Description, lalu klik Next.
4. Di langkah Submit AccessKey Pair, masukkan pasangan AccessKey dari sub-akun dan klik Next.
5. Di langkah Policy Configuration, konfigurasikan parameter AK Service Status Check dan klik OK.
Tambahkan sub-akun ke fitur CTDR.
1. Di panel navigasi sebelah kiri, pilih Agentic SOC > Service Integration.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia layanan cloud pihak ketiga yang diperlukan dan klik Add Account.
3. Di panel Add Account, klik Add.
4. Di panel Account Association Settings, masukkan nama dan ID akun master untuk sub-akun, pilih AccessKey ID dari sub-akun, lalu klik Associate Account and Associate Data Source.
5. Di panel Data Source Settings, tentukan layanan cloud yang lognya ingin Anda tambahkan.
  - Huawei Cloud: Sumber data hanya dapat menyimpan data dari satu bucket OBS. Jika Anda ingin mengimpor data dari beberapa bucket, buat jumlah sumber data yang diperlukan. Jika tidak, Anda hanya perlu membuat satu sumber data.
    1. Di panel Data Source Settings - Huawei Cloud, konfigurasikan parameter Access Method, Data Source Name, Region, dan Bucket Name. Lalu, klik Save Data Source.
    2. Klik Add Log Type, pilih tipe log yang ingin Anda tambahkan di kolom Log Type, masukkan jalur ke bucket OBS yang diperlukan di bidang OBS File Path, lalu klik Save Log Type.
      
      Atur variabel waktu terakhir dalam jalur kustom parameter OBS File Path ke %M, yang menunjukkan menit. Contoh: /LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M.
      
      Simpan konfigurasi tipe log. Jika log yang diperlukan dari Cloud Firewall dan WAF ditransfer ke bucket OBS, Anda harus mengklik Add Log Type lagi untuk menambahkan tipe log lainnya.
  - Tencent Cloud: Metode pengumpulan untuk alert logs dari Cloud Firewall dan WAF berbeda. Jika Anda ingin menambahkan kedua tipe log tersebut, Anda harus membuat sumber data secara terpisah untuk setiap tipe log. Dalam topik ini, alert logs dari Cloud Firewall digunakan. Jika Anda ingin menambahkan alert logs dari WAF, selesaikan konfigurasi sesuai petunjuk.
    1. Di panel Data Source Settings - Tencent Cloud, konfigurasikan parameter Access Method, Data Source Name, Internet URL, Username, dan Password. Lalu, klik Save Data Source.
    2. Klik Add Log Type, konfigurasikan parameter Log Topic dan Consumer Group Name, pilih tipe log di kolom Log Type, lalu klik Save Log Type.

4. Tambahkan log layanan cloud dalam akun cloud pihak ketiga

Di panel navigasi sebelah kiri, pilih Agentic SOC > Service Integration.
Di halaman Service Integration, temukan layanan cloud pihak ketiga yang lognya ingin Anda tambahkan dan klik Ingestion Settings di kolom Actions.
Di panel yang muncul, temukan tipe log yang diperlukan dan klik nilai di kolom Associated Accounts.
Di panel yang muncul, pilih akun yang diperlukan dan klik OK.
Aktifkan atau nonaktifkan sakelar di kolom Automatically Associate New Accounts berdasarkan kebutuhan bisnis Anda.

Jika Anda mengaktifkan sakelar untuk tipe log dan akun cloud pihak ketiga baru ditambahkan ke fitur CTDR, fitur tersebut secara otomatis mengumpulkan log tipe tersebut dari layanan cloud dalam akun baru.

Catatan
Hanya akun administrator global yang dapat mengaktifkan sakelar setelah Global Account View dipilih.

Referensi

Setelah Anda menambahkan log layanan cloud ke CTDR, Anda dapat mengonfigurasi aturan deteksi untuk menggabungkan beberapa peringatan terkait menjadi event keamanan yang berisi rantai serangan lengkap. Ini mengurangi jumlah peringatan dan meningkatkan efisiensi analisis dan penanganan peringatan. Untuk informasi lebih lanjut, lihat Konfigurasi aturan deteksi ancaman.
Anda dapat menggunakan grafik di dasbor yang disediakan oleh fitur CTDR untuk memantau dan mengelola status keamanan perusahaan Anda secara terpusat di seluruh platform cloud, akun, dan layanan cloud. Anda juga dapat meninjau kinerja operasi keamanan. Untuk informasi lebih lanjut, lihat Dasbor.
Anda dapat menggunakan fitur manajemen log CTDR untuk dengan cepat mengirim kueri log dan melihat informasi tentang log. Ini membantu menyederhanakan manajemen log dalam lingkungan multi-resource. Untuk informasi lebih lanjut, lihat Manajemen log.
Anda dapat memanggil operasi API untuk mengirimkan beberapa tugas penambahan layanan cloud atau tugas penambahan log sekaligus, atau melihat akun cloud yang ditambahkan ke fitur CTDR. Untuk informasi lebih lanjut, lihat Manajemen log.
Apakah Agentic SOC mendukung pengambilan log dari layanan on-premises?
Dalam model subscription, apa yang terjadi jika saya melebihi batas pengambilan log atau penyimpanan saya?