Ingest log layanan cloud dari akun yang sama, akun lain, dan akun cloud pihak ketiga -

Setelah mengaktifkan Agentic SOC, Anda dapat mengingest log layanan cloud dari akun Alibaba Cloud saat ini, akun Alibaba Cloud lain, maupun penyedia cloud pihak ketiga. Hal ini memungkinkan pemantauan dan analisis peringatan serta log secara terpusat di seluruh resource Anda. Setelah log diingest, Agentic SOC memantau dan menganalisis data yang dikumpulkan untuk mengidentifikasi serta menyusun rantai serangan lengkap, lalu menghasilkan event keamanan terperinci—sehingga meningkatkan efisiensi analisis dan respons terhadap peringatan.

Prasyarat

Agentic SOC telah diaktifkan. Untuk informasi lebih lanjut, lihat Apa itu Agentic SOC?.
Layanan Log Sederhana telah diaktifkan untuk layanan cloud yang log-nya ingin Anda ingest. Ketentuan ini tidak berlaku untuk Security Center. Untuk informasi lebih lanjut, lihat dokumentasi resmi layanan cloud terkait.
Catatan
Anda tidak perlu mengaktifkan fitur analisis log untuk Security Center agar dapat mengingest log-nya.

Mengimpor log dari Layanan Alibaba Cloud

Untuk mengingest log dari layanan cloud dalam akun Alibaba Cloud Anda saat ini, Anda dapat langsung memilih layanan cloud dan tipe log pada halaman Service Integration.
Untuk mengonfigurasi kebijakan ingestion log terpadu untuk beberapa akun Alibaba Cloud, Anda harus terlebih dahulu menyiapkan struktur multi-akun. Kemudian, login ke konsol sebagai administrator akun global, beralih ke Global Account View pada halaman Service Integration, lalu ikuti langkah-langkah berikut. Untuk informasi lebih lanjut tentang manajemen multi-akun, lihat Manajemen multi-akun.

Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Dalam daftar integrasi layanan, temukan layanan cloud yang ingin Anda integrasikan lalu klik Ingestion Settings di kolom Actions.
Di panel pengaturan ingestion layanan, temukan tipe log yang ingin Anda ingest lalu klik angka di kolom Associated Accounts.
Anda juga dapat memilih beberapa tipe log sekaligus lalu mengklik tombol ingestion batch di bagian bawah daftar untuk mengonfigurasi akun ingestion secara massal.
Di panel pengaturan ingestion, pilih akun dari mana Anda ingin mengingest log.
Catatan
Jika Anda menggunakan akun dengan verifikasi nama asli individu, panel Select Account hanya menampilkan akun Anda saat ini. Hanya administrator akun global yang menggunakan Global Account View yang dapat memilih dari semua akun yang dikelola oleh Agentic SOC.
- Jika layanan cloud, seperti Security Center, hanya mendukung logstore yang ditentukan produk, Anda cukup memilih akun tersebut. Security Center secara otomatis mengingest log ke logstore yang telah ditentukan.
- Jika layanan cloud menggunakan logstore kustom, Anda harus memilih akun lalu memilih logstore yang sesuai dari daftar drop-down logstore (Format: regionId.project.logstore) atau menempelkan nama logstore kustom tersebut. Nama logstore harus dalam format regionId.project.logstore.
Jika diperlukan, aktifkan Automatically Associate New Accounts.
Anda dapat memilih apakah akan mengaktifkan Automatically Associate New Accounts. Setelah fitur ini diaktifkan, analisis dan respons ancaman secara otomatis mengingest log layanan cloud dari akun Alibaba Cloud baru yang dikelola.
Catatan
Hanya administrator akun global yang menggunakan Global Account View yang dapat mengonfigurasi opsi Automatically Associate New Accounts.

Ingest log dari layanan cloud pihak ketiga

Jika bisnis Anda berjalan di Alibaba Cloud dan platform lain seperti Huawei Cloud atau Tencent Cloud, Anda dapat mengintegrasikan akun cloud pihak ketiga Anda dengan Agentic SOC untuk mengelola peringatan keamanan di semua lingkungan. Hal ini memberikan solusi terpadu untuk pemantauan peringatan dan operasi keamanan.

1. Konfigurasi akun platform cloud pihak ketiga

Subakun Huawei Cloud

Buat dua kebijakan kustom: siemBasePolicy dan siemNormalPolicy. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat kebijakan kustom.

Catatan

Saat membuat kebijakan kustom di Huawei Cloud, Anda tidak dapat memilih layanan cloud tingkat global dan tingkat proyek secara bersamaan. Oleh karena itu, Anda harus membuat dua kebijakan terpisah untuk menerapkan prinsip hak istimewa minimal selama otorisasi.

siemBasePolicy: Memberikan izin untuk layanan cloud tingkat global. Konten kebijakan sebagai berikut:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy: Memberikan izin untuk layanan cloud tingkat proyek. Konten kebijakan sebagai berikut:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

Buat dua grup pengguna, siemUser dan readonlyuser, lalu berikan izin yang diperlukan seperti ditunjukkan pada tabel berikut. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat grup pengguna dan memberikan izin.

Grup pengguna	Izin yang diperlukan
`siemUser`	Izin kebijakan kustom: `siemBasePolicy`, `siemNormalPolicy`
`readonlyuser`	LTS ReadOnlyAccess: Akses hanya-baca ke Log Tank Service (LTS). OBS OperateAccess: Izin operasional dasar untuk Object Storage Service (OBS), termasuk melihat daftar bucket, mendapatkan metadata bucket, mencantumkan objek dalam bucket, menanyakan lokasi bucket, mengunggah objek, mendapatkan objek, menghapus objek, dan mendapatkan ACL objek. OBS ReadOnlyAccess: Akses hanya-baca ke Object Storage Service (OBS), terbatas pada melihat daftar bucket, mendapatkan metadata bucket, mencantumkan objek dalam bucket, dan menanyakan lokasi bucket. CFW ReadOnlyAccess: Akses hanya-baca ke Cloud Firewall. WAF ReadOnlyAccess: Akses hanya-baca ke Web Application Firewall (WAF).

Buat pengguna IAM lalu tambahkan ke grup pengguna siemUser. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat pengguna IAM.
Buat access key untuk pengguna IAM tersebut. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud tentang membuat access key pengguna IAM.

Sub-akun Tencent Cloud

Buat kebijakan kustom bernama siemPolicy menggunakan sintaks kebijakan.

Konten kebijakan sebagai berikut:

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

Buat akun sub. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang membuat akun sub.
Lampirkan kebijakan siemPolicy ke akun sub yang telah Anda buat. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang manajemen otorisasi.
Buat access key untuk akun sub tersebut. Untuk informasi lebih lanjut, lihat dokumentasi Tencent Cloud tentang mengelola access key akun sub.

2. Teruskan log ke layanan cloud tertentu

Untuk mengaktifkan analisis dan respons ancaman, Anda harus meneruskan log dari layanan cloud Anda ke layanan penyimpanan atau pesan yang ditentukan oleh penyedia cloud, seperti Object Storage Service (OBS) atau Ckafka. Agentic SOC kemudian dapat mengambil dan menganalisis log tersebut secara efisien dari sumbernya. Log harus diarahkan ke penyimpanan yang sesuai berdasarkan tipenya. Ikuti panduan berikut.

Penyedia cloud	Tipe log	Layanan tujuan	Petunjuk konfigurasi	Latensi pengumpulan data
Huawei Cloud	Log peringatan Cloud Firewall Log peringatan Web Application Firewall (WAF)	OBS	Teruskan log yang disimpan di Log Tank Service (LTS) ke OBS. Untuk detailnya, lihat Meneruskan Log ke OBS. Konfigurasikan parameter utama sebagai berikut: Jalur transfer kustom: Aktifkan opsi ini dan konfigurasikan jalur dengan granularitas per menit. Contoh: `/LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M`. Periode transfer: Atur menjadi 2 menit. Penting Konfigurasikan parameter ini persis seperti yang dijelaskan. Agentic SOC mengumpulkan data dari OBS berdasarkan struktur direktori file. Ketidaksesuaian antara frekuensi pengumpulan dan struktur direktori dapat menyebabkan pengumpulan data duplikat. Data dalam bucket terenkripsi tidak dapat diingest. Jangan teruskan log ke bucket terenkripsi.	Agentic SOC mengumpulkan data dari OBS secara offline, sehingga terdapat latensi. Sistem dirancang untuk mengumpulkan data yang berusia tiga siklus pengumpulan lebih tua dari waktu saat ini. Misalnya, jika siklus pengumpulan adalah 2 menit dan tugas dimulai pukul 17.58 pada 10 September 2024, sistem mengambil data dari direktori /2024/09/10/17/52. Data ini berasal dari 6 menit (3 siklus) sebelumnya. Desain ini memastikan integritas data dengan memberikan waktu yang cukup bagi operasi penulisan untuk selesai. Hal ini mencegah pengumpulan data yang tidak lengkap, terutama dalam skenario volume tinggi.
Tencent Cloud	Log peringatan Cloud Firewall (hanya log Pencegahan Intrusi yang didukung)	Ckafka	Kirim log Pencegahan Intrusi ke topik Ckafka. Untuk informasi lebih lanjut, lihat Pengiriman Log.	Pengumpulan real-time tanpa latensi.
Tencent Cloud	Log peringatan Web Application Firewall (WAF)	None	Agentic SOC mengumpulkan log ini dengan memanggil API Web Application Firewall (WAF) setiap 10 menit. Tidak diperlukan konfigurasi penerusan.	Pengumpulan data memiliki latensi 10 menit atau lebih.

3. Tambahkan AK Akun Cloud Pihak Ketiga ke Analisis dan Respons Ancaman

Tambahkan access key akun cloud pihak ketiga Anda ke Agentic SOC. Hal ini memungkinkan Agentic SOC mengambil log peringatan dari aset cloud pihak ketiga Anda.

Login ke Security Center console.
Otorisasi akses ke akun cloud pihak ketiga.
Security Center menggunakan access key akun pihak ketiga untuk mendapatkan izin baca dan menyinkronkan informasi aset dari cloud pihak ketiga.
1. Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia cloud pihak ketiga yang ingin Anda integrasikan lalu klik Grant Permission.
3. Di panel Edit Multi-cloud Configuration, pilih Manual Configuration. Di bagian Permission Description, pilih Agentic SOC, lalu klik Next.
4. Di halaman Submit AccessKey Pair, masukkan informasi access key akun sub lalu klik Next.
5. Di halaman Policy Configuration, pilih periode untuk AK Service Status Check lalu klik OK.
Bind akun cloud pihak ketiga.
1. Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Di bagian Multi-cloud Service Access, arahkan kursor ke ikon penyedia cloud pihak ketiga yang ingin Anda bind lalu klik Add Account.
3. Di panel Add Account, klik Add.
4. Di panel Account Association Settings, masukkan nama dan ID akun utama penyedia cloud pihak ketiga, pilih access key akun sub yang telah diotorisasi, lalu klik Associate Account and Associate Data Source.
5. Di panel Data Source Settings, konfigurasikan sumber data untuk layanan cloud yang ingin Anda integrasikan.
  - Huawei Cloud: Satu sumber data dapat mengingest data dari satu bucket OBS. Jika Anda perlu mengingest data dari beberapa bucket OBS, Anda harus membuat beberapa sumber data. Jika tidak, satu sumber data sudah cukup.
    1. Di panel Huawei Cloud, isi Access Method, Data Source Name, Region, dan Bucket Name. Klik Save Data Source.
    2. Klik Add Log Type, pilih Log Type yang akan diingest, tentukan OBS File Path, lalu klik Save Log Type.
      Jalur transfer kustom dalam OBS File Path harus dikonfigurasi dengan granularitas per menit. Contoh: /LogTanks/cn-north-4/CFW/lts-topic-cfw-0001//%Y/%m/%d/%H/%M.
      Setelah menyimpan tipe log, jika log Cloud Firewall dan Web Application Firewall (WAF) disimpan dalam bucket OBS yang sama, Anda harus mengklik Add Log Type lagi untuk membuat konfigurasi untuk tipe log lainnya.
  - Tencent Cloud: Karena log peringatan Cloud Firewall dan Web Application Firewall (WAF) menggunakan metode ingestion berbeda, Anda harus membuat sumber data terpisah untuk setiap tipe log jika ingin mengingest keduanya. Langkah-langkah berikut menunjukkan contoh untuk log peringatan Cloud Firewall. Untuk mengingest log Web Application Firewall (WAF), ikuti petunjuk di konsol.
    1. Di panel Data Source Settings - Tencent Cloud, isi Access Method, Data Source Name, Internet URL, Username, dan Password. Klik Save Data Source.
    2. Klik Add Log Type, isi Log Topic dan Consumer Group Name, pilih Log Type, lalu klik Save Log Type.

4. Mengingest log dari layanan cloud pihak ketiga

Di panel navigasi kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Dalam daftar integrasi layanan, temukan layanan cloud pihak ketiga yang ingin Anda integrasikan lalu klik Ingestion Settings di kolom Actions.
Di panel pengaturan ingestion, temukan tipe log yang ingin Anda ingest lalu klik angka di kolom Associated Accounts.
Di kotak dialog pengaturan ingestion, pilih akun yang akan diingest lalu klik OK.
Jika diperlukan, aktifkan Automatically Associate New Accounts.
Anda dapat memilih apakah akan mengaktifkan Automatically Associate New Accounts. Setelah fitur ini diaktifkan, analisis dan respons ancaman secara otomatis mengintegrasikan log layanan cloud untuk akun cloud pihak ketiga baru.
Catatan
Hanya administrator akun global yang menggunakan Global Account View yang dapat mengonfigurasi opsi Automatically Associate New Accounts.

Dokumentasi terkait

Setelah mengingest log, Anda dapat mengonfigurasi aturan deteksi ancaman untuk mengorelasikan beberapa peringatan keamanan menjadi satu event keamanan dengan rantai serangan lengkap. Hal ini mengurangi jumlah peringatan serta meningkatkan efisiensi analisis dan respons terhadap peringatan. Untuk informasi lebih lanjut, lihat Konfigurasi aturan deteksi ancaman.
Anda dapat menggunakan Dasbor Agentic SOC untuk memantau dan mengelola postur keamanan Anda secara terpusat di berbagai platform cloud, akun, dan layanan melalui visualisasi data, serta mengukur efektivitas operasi keamanan Anda. Untuk informasi lebih lanjut, lihat Dasbor.
Anda dapat menggunakan fitur manajemen log Agentic SOC untuk menjelajahi dan mengkueri semua log yang dikumpulkan secara cepat, yang menyederhanakan manajemen log di lingkungan multi-resource. Untuk informasi lebih lanjut, lihat Manajemen log.
Anda dapat memanggil Operasi API terkait ingestion log untuk melakukan tugas secara batch, seperti mengintegrasikan layanan atau log dan melihat akun cloud yang telah di-bind. Untuk daftar Operasi API, lihat Ingestion log.
Apakah Agentic SOC mendukung ingestion log dari perangkat on-premises?
Apa yang terjadi jika throughput ingestion log atau kapasitas penyimpanan log saya melebihi jumlah yang dibeli dalam paket langganan?