Fitur Cloud Threat Detection and Response (CTDR) menyediakan manajemen log yang memungkinkan Anda menyimpan dan menanyakan log dari layanan cloud yang telah ditambahkan. Fitur ini membantu mengidentifikasi peringatan secara tepat, melacak sumber serangan, meningkatkan efisiensi respons terhadap ancaman potensial, menyederhanakan manajemen log lintas lingkungan, serta memperkuat sistem pertahanan keseluruhan. Fitur ini sesuai dengan Undang-Undang Keamanan Siber dan standar Skema Perlindungan Multi-Level (MLPS) 2.0. Topik ini menjelaskan cara menggunakan fitur manajemen log.
Cara kerja fitur ini
Fitur CTDR dan Simple Log Service bersama-sama meluncurkan manajemen log untuk memberikan kemampuan penyimpanan dan analisis log terpusat dari berbagai platform cloud, akun, dan layanan cloud.
Setelah membeli kapasitas penyimpanan log untuk fitur CTDR, sistem secara otomatis membuat proyek bernama aliyun-cloudsiem-data-ID akun Alibaba Cloud-ID Wilayah dan Logstore khusus bernama cloud_siem di konsol Simple Log Service untuk menyimpan semua log yang dikumpulkan. Wilayah penyimpanan log dari fitur CTDR bervariasi berdasarkan pusat manajemen data yang dipilih di bilah navigasi atas konsol Security Center.
Jika Anda memilih China, log disimpan di wilayah China (Shanghai).
Jika Anda memilih Outside China, log disimpan di wilayah Singapura.
Anda dapat masuk ke konsol Simple Log Service untuk melihat proyek dan Logstore yang didedikasikan untuk fitur CTDR. Jangan hapus proyek atau Logstore tersebut.
Jika Anda secara tidak sengaja menghapus Logstore, sistem akan memberi tahu bahwa Logstore cloud_siem tidak ada. Semua data log dalam Logstore hilang. Dalam hal ini, ajukan tiket untuk membatalkan operasi. Setelah membatalkan operasi, Anda harus mengaktifkan kembali fitur CTDR untuk melanjutkan penggunaannya. Data log yang telah dihapus tidak dapat dipulihkan.
Setelah mengaktifkan pengiriman data untuk jenis log tertentu, fitur CTDR secara otomatis mengirimkan log ke Logstore cloud_siem. Sistem akan menyimpan log hingga durasi penyimpanan yang ditentukan berakhir. Saat durasi berakhir, sistem secara otomatis menghapus log. Jika kapasitas penyimpanan log habis, log baru tidak lagi dikirimkan untuk penyimpanan. Saat ukuran log melebihi 80% dari kapasitas penyimpanan log yang dibeli, Security Center mengirimkan notifikasi. Untuk informasi lebih lanjut tentang konfigurasi pengaturan notifikasi, lihat Konfigurasikan pengaturan notifikasi.
Penagihan
Metode penagihan berlangganan didukung. Biaya dikenakan berdasarkan kapasitas penyimpanan log dan durasi penyimpanan yang dibeli. Tidak ada biaya tambahan saat menanyakan dan mengekspor log di konsol Security Center.
Setelah log dikirimkan ke Logstore khusus, Anda mungkin dikenakan biaya untuk operasi yang dilakukan di konsol Simple Log Service, seperti mentransformasi dan mengirimkan log.
Jika Logstore menggunakan mode penagihan bayar-per-fitur, Anda dikenakan biaya saat mentransformasi atau mengirimkan log. Anda juga dikenakan biaya untuk lalu lintas baca melalui Internet dalam mode aliran. Biaya tersebut termasuk dalam tagihan Simple Log Service. Untuk informasi lebih lanjut, lihat Item yang dapat ditagih dari bayar-per-fitur.
Jika Logstore menggunakan mode penagihan bayar-per-data-ingested, Anda tidak dikenakan biaya saat mentransformasi atau mengirimkan data. Anda hanya dikenakan biaya untuk lalu lintas baca melalui Internet. Biaya tersebut termasuk dalam tagihan Simple Log Service. Untuk informasi lebih lanjut, lihat Item yang dapat ditagih dari bayar-per-data-ingested.
Manajemen multi-akun
Jika Anda mengonfigurasi fitur manajemen multi-akun dan menggunakan akun administrator global untuk masuk ke konsol Security Center, Anda harus memilih tampilan yang sesuai sebelum mengelola log pada halaman Log Management. Berikut adalah tampilan yang didukung:
Current Account View: Anda dapat melihat dan mengelola log dalam akun saat ini.
Global Account View: Anda dapat melihat dan mengelola data dalam akun Alibaba Cloud yang dikelola oleh fitur CTDR.
Jika Anda mengaktifkan pengiriman log dalam Current Account View dan Global Account View, kapasitas penyimpanan log yang dibeli menggunakan akun administrator global digunakan, dan data log yang dikirimkan disimpan dalam akun administrator global.
Jika akun Alibaba Cloud Anda dikelola oleh akun administrator global dan Anda ingin mengelola log menggunakan akun Anda, Anda harus membeli kapasitas penyimpanan log fitur CTDR secara terpisah dan mengaktifkan pengiriman log menggunakan akun Anda. Untuk mengaktifkan pengiriman log, buka halaman di konsol Security Center.
Prasyarat
Simple Log Service diaktifkan. Untuk informasi lebih lanjut, lihat Memulai cepat: Gunakan Logtail untuk mengumpulkan dan menganalisis log teks ECS.
Log layanan cloud ditambahkan ke fitur CTDR. Untuk informasi lebih lanjut, lihat Tambahkan log layanan cloud.
Langkah 1: Aktifkan pengiriman log
Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi kiri, pilih .
Di sudut kanan atas halaman Service Integration, klik Log Settings.
Di bagian Log Delivery Management dari panel yang muncul, temukan jenis log yang ingin Anda kirimkan untuk penyimpanan, dan aktifkan sakelar di kolom Deliver Log to Hot Data/Enabled and Disabled At.
Anda dapat memilih beberapa jenis log, klik Batch Deliver Log To.
Anda juga dapat pergi ke halaman Log Management, temukan jenis log yang ingin Anda kirimkan untuk penyimpanan dari daftar drop-down Semua Sumber Data, lalu aktifkan sakelar di sebelah jenis log tersebut.
Opsional. Di panel navigasi kiri, pilih . Di halaman Log Management, aktifkan sakelar di sebelah Deliver All Data untuk mengaktifkan pengiriman log untuk semua jenis log yang termasuk dalam sumber data yang ditambahkan.
Jika Anda tidak ingin menyimpan jenis log tertentu untuk layanan cloud, Anda dapat mematikan sakelar untuk jenis log tersebut. Log baru dari jenis log tersebut tidak lagi dikirimkan untuk manajemen log.
Langkah 2: Kueri log
Di panel navigasi kiri, pilih .
Di halaman Log Management, klik All Data Sources di sudut kiri atas. Dalam daftar drop-down All Data Sources, tentukan layanan cloud dan jenis log sebagai sumber data log.
Tentukan rentang waktu kueri dan gunakan pernyataan kueri untuk menanyakan dan menganalisis log.
Anda dapat menggunakan fitur manajemen log CTDR dengan cara yang sama seperti fitur analisis log Security Center. Untuk informasi lebih lanjut, lihat Gunakan kueri dan analisis log kustom.
Operasi lainnya
Ubah durasi penyimpanan log
Secara default, log layanan cloud yang dikirimkan untuk penyimpanan disimpan selama 180 hari. Anda dapat mengubah durasi penyimpanan berdasarkan kebutuhan bisnis Anda.
Di panel navigasi kiri, pilih .
Di sudut kanan atas halaman Service Integration, klik Log Settings.
Di panel Log Management, klik Modify di kolom Retention Days untuk mengubah durasi penyimpanan.
Kelola kapasitas penyimpanan log
Anda dapat melihat penyimpanan log yang digunakan dan kapasitas total yang dibeli di halaman . Anda dapat meningkatkan kapasitas penyimpanan log saat ini atau membersihkan penyimpanan log berdasarkan kebutuhan bisnis Anda.
Klik Scale Out untuk membeli kapasitas penyimpanan log tambahan.
Pastikan Anda memiliki kapasitas penyimpanan log yang cukup. Jika tidak, log baru tidak dapat disimpan.
Klik Clear untuk membersihkan penyimpanan log.
PeringatanAnda tidak dapat memulihkan log setelah membersihkan penyimpanan log. Lanjutkan dengan hati-hati. Kami merekomendasikan agar Anda mengekspor log dan menyimpannya di komputer lokal sebelum membersihkan penyimpanan log.
Referensi
Anda dapat mengunduh log atau hasil kueri dan analisis ke komputer Anda menggunakan konsol Security Center, Cloud Shell, atau CLI. Untuk informasi lebih lanjut, lihat Ekspor log.
Anda dapat mengirimkan log yang disimpan ke OSS untuk penyimpanan. Untuk informasi lebih lanjut, lihat Buat pekerjaan pengiriman data OSS (versi baru).
Jika Anda tidak memiliki kapasitas penyimpanan yang cukup, log baru tidak dapat disimpan. Anda dapat mengaktifkan notifikasi untuk kapasitas penyimpanan log yang tidak mencukupi dari fitur analisis dan tanggapan log. Setelah menerima notifikasi, Anda dapat meningkatkan kapasitas penyimpanan log. Untuk informasi lebih lanjut, lihat Pengaturan notifikasi.