Threat Detection and Response (CTDR) dari Alibaba Cloud Security Center adalah solusi SIEM cloud-native yang mengatasi tantangan operasi keamanan di lingkungan IT kompleks—seperti data keamanan yang terfragmentasi, waktu respons lambat, kesulitan mendeteksi serangan canggih, dan persyaratan kepatuhan. CTDR mengagregasi peringatan dan data log dari lingkungan multi-cloud, beberapa akun Alibaba Cloud, serta berbagai layanan, lalu menyediakan standarisasi log, pembuatan peringatan, agregasi dan analisis, serta orkestrasi respons insiden.

Ikhtisar Fitur

Alur Pemrosesan Inti

CTDR menerima log dari platform multi-cloud, beberapa akun Alibaba Cloud, berbagai layanan Alibaba Cloud, dan vendor keamanan pihak ketiga. Dengan menggunakan aturan deteksi bawaan dan kustom, CTDR menganalisis log yang dikumpulkan untuk mengidentifikasi ancaman, merekonstruksi rantai serangan, dan menghasilkan insiden keamanan. Ketika ancaman terdeteksi, CTDR memicu orkestrasi respons otomatis dan berintegrasi dengan layanan cloud terkait untuk menjalankan tindakan keamanan—seperti memblokir alamat IP jahat atau melakukan pemagaran file jahat.

Alur Penggunaan

1. Beli dan aktifkan CTDR

Anda dapat mengaktifkan CTDR menggunakan metode penagihan langganan atau pay-as-you-go. Topik ini menggunakan metode langganan sebagai contoh. Untuk aktivasi pay-as-you-go, lihat Langkah 1: Aktifkan Agentic SOC secara pay-as-you-go. Untuk detail penagihan CTDR, lihat Detail Penagihan.

Masuk ke Security Center console.
Di panel navigasi sebelah kiri, pilih Detection and Response > Agentic SOC.
Di halaman Agentic SOC, klik Subscription.
Di halaman pembelian, konfigurasikan parameter seperti dijelaskan di bawah ini. Lalu klik Order Now dan selesaikan pembayaran.
Item berikut wajib diisi. Anda dapat memilih atau mengonfigurasi item lain sesuai kebutuhan. Untuk informasi selengkapnya, lihat Beli Security Center.
- Metode pembelian: Subscription
- Versi: Value-added Plan
- Threat Detection and Response:
  - Pembelian: Pilih Yes.
  - Trafik ingest log: Atur ke 100 GB/hari.
  - Kapasitas penyimpanan log: Atur ke 1000 GB.
  - Peran terkait layanan: Klik Create Service-linked Role.
  - Kebijakan ingest: Pilih After you enable the recommended log collection policy, the Agentic SOC service automatically collects logs and bills you the next day based on actual log volume.

2. Ingest log layanan cloud

Jika Anda mengaktifkan kebijakan ingest log yang direkomendasikan, CTDR secara otomatis mengingest log dari Security Center, Web Application Firewall (WAF), Cloud Firewall, dan ActionTrail di akun Alibaba Cloud Anda saat ini. Tabel berikut mencantumkan sumber data dan kemampuan keamanan yang didukung.

Penting

Log event ActionTrail hanya diingest secara otomatis jika Anda telah membeli Edisi Anti-virus, Edisi Premium, Edisi Perusahaan, atau Edisi Ultimate Security Center. Jika Anda belum membeli versi berbayar Security Center, log event ActionTrail tidak diingest secara otomatis.
Jika Anda tidak mengaktifkan kebijakan ingesti log yang direkomendasikan atau ingin meng-ingesti log dari layanan cloud pihak ketiga, lihat Ingesti Log Layanan Cloud.

Nomor urut	Layanan Alibaba Cloud	Sumber data	Kategori log terstandarisasi	Kemampuan keamanan yang didukung
1	Security Center	Log peringatan keamanan	Log keamanan – Log peringatan	Aturan analisis bawaan Investigasi dan ketertelusuran insiden Respons dan koordinasi
2		Log kerentanan	Log keamanan – Log kerentanan	Investigasi dan ketertelusuran insiden
3		Log garis dasar	Log keamanan – Log garis dasar host	Investigasi dan ketertelusuran insiden
4		Log audit login	Log login – Log login host	Investigasi dan ketertelusuran insiden
6		Log baca/tulis file	Log host – Log baca/tulis file proses	Investigasi dan ketertelusuran insiden
7		Log startup proses	Log host – Log startup proses	Aturan analisis bawaan Investigasi dan ketertelusuran insiden
8		Log permintaan DNS	Log host – Log permintaan DNS proses	Aturan analisis bawaan Investigasi dan ketertelusuran insiden
9		Log koneksi jaringan	Log host – Log koneksi jaringan arah keluar proses	Aturan analisis bawaan Investigasi dan ketertelusuran insiden
10	Web Application Firewall	Log peringatan WAF	Log keamanan – Log peringatan Web Application Firewall	Aturan analisis bawaan Investigasi dan ketertelusuran insiden Respons dan koordinasi
11		Log lengkap/intersepsi/intersepsi-dan-pantau WAF 2.0	Log jaringan – Log HTTP	Aturan analisis bawaan
12		Log lengkap/intersepsi/intersepsi-dan-pantau WAF 3.0	Log jaringan – Log HTTP	Aturan analisis bawaan
13	Cloud Firewall	Log peringatan real-time Cloud Firewall	Log keamanan – Log peringatan firewall	Aturan analisis bawaan Investigasi dan ketertelusuran insiden Respons dan koordinasi
14	ActionTrail	Log event ActionTrail	Log audit – Log audit operasi platform	Investigasi dan ketertelusuran insiden

3. Aktifkan pengiriman log (Opsional)

Log yang diingest ke CTDR dapat disimpan menggunakan fitur Manajemen Log. Untuk menggunakan analisis log, ketertelusuran, atau kepatuhan perlindungan terklasifikasi, aktifkan pengiriman log untuk tipe log yang diperlukan. Anda harus mengaktifkan pengiriman log sebelum dapat menggunakan fitur CTDR Log Management, Rule Management (aturan kustom), dan Dashboard. Untuk informasi selengkapnya, lihat Manajemen Log.

Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset yang dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Di halaman Service Integration, klik Log Settings di pojok kanan atas.
Di bagian Log Delivery Management, aktifkan toggle di bawah kolom Deliver Log to Hot Data/Enabled and Disabled At untuk setiap tipe log yang ingin Anda kirimkan.
Pilih beberapa tipe log, lalu klik Batch Deliver Log To.
Di halaman Log Management, aktifkan toggle di sebelah tipe log target untuk mengirimkan tipe log tersebut langsung ke bucket.

4. Kelola aturan deteksi ancaman

CTDR menggunakan aturan deteksi bawaan yang telah ditentukan sebelumnya dan aturan deteksi kustom untuk menganalisis log yang diingest, mengidentifikasi rantai dan garis waktu serangan ancaman, serta menghasilkan laporan insiden keamanan.

Aturan bawaan

CTDR mengaktifkan semua aturan bawaan secara default. Aturan bawaan hanya mendeteksi ancaman dalam Log Scope yang ditentukan. Anda dapat melihat dan menyesuaikan status pengaktifan aturan bawaan di halaman Detection and Response > Detection Rules.

Aturan kustom

Jika Anda telah mengaktifkan pengiriman log di Langkah 3, Anda dapat membuat aturan deteksi ancaman kustom berdasarkan kebutuhan bisnis Anda. Untuk petunjuknya, lihat Buat Aturan Kustom.

5. Hasilkan peringatan keamanan

Ketika suatu ancaman atau serangan sesuai dengan aturan bawaan atau kustom yang diaktifkan, CTDR menghasilkan peringatan keamanan. Anda dapat melihat peringatan yang dihasilkan oleh aturan bawaan dan kustom di halaman Detection and Response > Alert, di bawah tab Aggregate and Analyze Alerts dan Custom Alert Analysis.

6. Hasilkan dan tangani insiden keamanan

Cara insiden keamanan dihasilkan

Insiden keamanan dihasilkan ketika aturan bawaan atau kustom mengagregasi beberapa peringatan keamanan terkait, sehingga memungkinkan identifikasi dan respons yang cepat. Insiden keamanan dibagi menjadi dua kategori berdasarkan perangkat sumber:

Sisi jaringan: CTDR mendeteksi aktivitas pengintaian penyerang—seperti pemindaian atau probing—dan menghasilkan insiden dari peringatan sisi jaringan menggunakan aturan bawaan untuk mencegah pengumpulan informasi lebih lanjut.
Sisi host: CTDR menggunakan komputasi graf untuk mengagregasi peringatan sisi host yang memiliki hubungan—seperti hash MD5 atau ID proses induk yang cocok—untuk menghasilkan insiden dan membantu Anda menemukan titik masuk serangan.

Penting

Tidak semua peringatan menghasilkan insiden keamanan. Hanya peringatan yang memenuhi kondisi berikut yang memicu pembuatan insiden:

Peringatan sisi host selalu menghasilkan insiden keamanan. Peringatan sisi jaringan hanya menghasilkan insiden keamanan jika sesuai dengan kebijakan agregasi event dalam aturan bawaan atau kustom.
Jika Anda mengonfigurasi aturan daftar putih, peringatan yang sesuai dengan aturan tersebut tidak menghasilkan insiden.
Jika hanya aturan bawaan yang diaktifkan, hanya peringatan yang sesuai dengan Graph Compute atau Expert Rules dalam aturan bawaan yang menghasilkan insiden.

Lihat insiden keamanan

Di halaman Agentic SOC > Security Incidents, klik Details di kolom Actions untuk insiden target. Lihat detail insiden, garis waktu, peringatan keamanan, entitas terkait, dan penjelasan asisten AI untuk menentukan apakah insiden tersebut perlu ditangani. Untuk informasi selengkapnya, lihat Insiden Keamanan.

Wilayah	Deskripsi
Overview section	Menampilkan informasi dasar insiden dan fase MITRE ATT&CK. Anda dapat melihat jumlah aset terdampak, cara insiden dihasilkan, jumlah peringatan terkait, aturan deteksi, akun terkait, waktu kejadian, dan sumber peringatan.
Timeline tab	Lihat garis waktu peringatan dan graf ketertelusuran untuk insiden keamanan ini. Klik Full Screen untuk melihat garis waktu dan graf ketertelusuran dalam mode layar penuh. Dalam mode layar penuh, klik ikon peringatan untuk melihat detailnya. Dalam beberapa kasus, Anda dapat melihat titik masuk serangan spesifik di graf ketertelusuran.
Alert tab	Lihat daftar peringatan keamanan yang diagregasi ke dalam insiden ini. Gunakan statistik peringatan multidimensi—termasuk jumlah peringatan, tindakan pertahanan, dan waktu kejadian—untuk memahami metode serangan, tahapannya, dan respons yang tepat.
Entity tab	Menampilkan daftar entitas yang terlibat dalam insiden. Jenis entitas yang didukung meliputi host, file, proses, alamat IP, dan akun host. Dengan meninjau semua entitas, Anda dapat melihat informasi dasar tentang alamat IP, intelijen ancaman Alibaba Cloud, insiden terkait dalam 30 hari terakhir, peringatan terkait dalam 30 hari terakhir, dan tugas respons terkait. Hal ini membantu Anda mengidentifikasi entitas jahat dan aset terdampak.
Response Activity tab	Menampilkan catatan detail respons dan tindakan yang diambil untuk insiden ini.
Security AI Assistant section	Antarmuka obrolan berbasis AI yang didukung oleh Large Language Model (LLM) Security Center. Antarmuka ini merangkum insiden keamanan, memberikan intelijen ancaman untuk alamat IP terkait, dan merinci aset terdampak.

Tangani insiden keamanan

Security Center mendukung penanganan manual menggunakan kebijakan respons yang direkomendasikan atau penanganan otomatis menggunakan orkestrasi respons otomatis.

Menangani insiden keamanan secara manual: Tinjau insiden dan terapkan tindakan keamanan berdasarkan tingkat keparahan dan konteksnya. Gunakan pendekatan ini untuk insiden berkompleksitas tinggi yang memerlukan penilaian ahli atau untuk ancaman yang tidak diketahui.
Menangani insiden keamanan secara otomatis: Jalankan playbook dan aturan yang telah dikonfigurasi sebelumnya untuk mengeksekusi respons—seperti memagari host yang terinfeksi atau memblokir alamat IP mencurigakan. Gunakan pendekatan ini untuk insiden yang sudah dikenal dan terdefinisi dengan baik atau ancaman berkompleksitas rendah yang memerlukan respons cepat.

Tangani insiden keamanan secara manual

Untuk entitas jahat yang teridentifikasi, CTDR menyediakan pembuatan satu-klik kebijakan respons yang direkomendasikan yang secara otomatis menghasilkan tugas respons dan menjalankan playbook. Dengan berintegrasi dengan berbagai layanan keamanan Alibaba Cloud, CTDR dapat memblokir alamat IP inbound berisiko tinggi melalui WAF atau memagari file berisiko tinggi melalui Security Center.

Tabel berikut mencantumkan jenis entitas yang didukung oleh kebijakan respons yang direkomendasikan dan modul layanan cloud terintegrasi.

Jenis entitas	Playbook respons yang direkomendasikan	Produk Terintegrasi	Modul layanan terintegrasi
Alamat IP	Blokir IP inbound berisiko tinggi menggunakan Alibaba Cloud WAF bawaan	Alibaba Cloud Web Application Firewall	Konfigurasikan kebijakan mitigasi kustom (WAF 2.0) Aturan kustom (WAF 3.0)
	Blokir IP outbound berisiko tinggi menggunakan Alibaba Cloud Cloud Firewall bawaan	Alibaba Cloud Cloud Firewall	Konfigurasikan kebijakan kontrol akses Batas Internet
	Blokir IP inbound berisiko tinggi menggunakan Alibaba Cloud Cloud Firewall bawaan	Alibaba Cloud Cloud Firewall	Konfigurasikan kebijakan kontrol akses Batas Internet
File	Pagari file berisiko tinggi menggunakan Alibaba Cloud Security Center bawaan	Alibaba Cloud Security Center	Evaluasi dan tangani peringatan keamanan
Proses	Hentikan proses berisiko tinggi menggunakan Alibaba Cloud Security Center bawaan
	Hentikan proses berisiko tinggi menggunakan CMD melalui Alibaba Cloud Security Center bawaan
	Hentikan dan pagari proses berisiko tinggi menggunakan Alibaba Cloud Security Center bawaan
	Hentikan proses berisiko tinggi berdasarkan hash MD5 menggunakan Alibaba Cloud Security Center bawaan
Kontainer	Hentikan kontainer berisiko tinggi menggunakan Alibaba Cloud Security Center bawaan
Host	Blokir IP inbound berisiko tinggi menggunakan security group Alibaba Cloud ECS bawaan	Security group Alibaba Cloud Elastic Computing Service	Kelola aturan grup keamanan
Host	Blokir seluruh trafik arah keluar dari host menggunakan security group Alibaba Cloud ECS bawaan	Security group Alibaba Cloud Elastic Computing Service	Kelola aturan grup keamanan
Nama domain	Blokir nama domain jahat menggunakan Pertahanan Perilaku Jahat Alibaba Cloud Security Center bawaan	Alibaba Cloud Security Center	Pertahanan Perilaku Jahat

Prosedur

Di panel navigasi sebelah kiri, pilih Agentic SOC > Security Incidents. Di pojok kiri atas konsol, pilih wilayah tempat aset yang dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Di halaman Security Incidents, klik Response > Use Recommended Handling Policy di kolom Actions untuk insiden target.
Di panel Use Recommended Handling Policy, pilih entitas jahat yang akan ditangani, lalu klik Confirm and update the incident status..
Untuk memodifikasi parameter seperti akun tujuan dan durasi aksi, klik Edit di kolom Actions untuk entitas target di panel Use Recommended Handling Policy, lalu perbarui di panel Edit Policy.
Di kotak dialog Update Incident Status, atur Event Status ke Handling atau Handled, lalu klik OK.
- Handling: Pilih opsi ini jika masih ada tindakan respons insiden tambahan yang perlu dilakukan—seperti remediasi segera, ketertelusuran, atau penerapan Patch kerentanan.
- Handled: Pilih opsi ini jika tidak diperlukan tindakan respons insiden lebih lanjut selain tindakan saat ini.
Setelah menyelesaikan langkah ini, CTDR secara otomatis membuat dan mengeksekusi kebijakan respons. Jika eksekusi gagal, status insiden diperbarui menjadi Failed. Jika tidak, status diperbarui ke nilai yang Anda pilih.
Di tab Response Activity > Handling Policies di halaman detail insiden, lihat kebijakan respons yang direkomendasikan yang secara otomatis dihasilkan oleh CTDR.

Tangani insiden keamanan secara otomatis

Aturan respons otomatis mengeksekusi tindakan yang telah ditentukan sebelumnya ketika dipicu oleh peringatan atau insiden—misalnya, memagari file jahat atau menghentikan koneksi jaringan sebagai respons terhadap infeksi malware atau upaya intrusi. Setelah Anda membuat aturan, sistem mencocokkan insiden keamanan baru dengan kebijakan yang Anda konfigurasi. Jika cocok, CTDR menjalankan playbook yang telah ditentukan untuk mempercepat respons terhadap ancaman. Untuk informasi selengkapnya, lihat Aturan Respons.

Catatan

Jika Anda memerlukan panduan profesional dari pakar keamanan saat mengonfigurasi aturan respons otomatis, pertimbangkan untuk membeli Managed Security Service Edisi Perusahaan. Untuk informasi selengkapnya, lihat Managed Security Service.

Contoh berikut menggunakan aturan respons otomatis untuk menangani insiden yang dihasilkan oleh peringatan serangan jaringan WAF dan menerapkan aturan pemblokiran IP di WAF.

Prasyarat

Anda telah mengingest log peringatan Alibaba Cloud WAF ke CTDR. Untuk petunjuknya, lihat Ingest Log Layanan Alibaba Cloud.
Anda telah mengonfigurasi daftar putih untuk permintaan terkait bisnis agar tidak diblokir. Untuk petunjuknya, lihat Insiden Keamanan.

Prosedur

Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Response Rules. Di pojok kiri atas konsol, pilih wilayah tempat aset yang dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Di halaman Response Rules, klik tab Automated Rules. Lalu klik Add Rule.
Di panel Create Automation Rule, konfigurasikan aturan respons seperti yang ditunjukkan pada gambar di bawah. Lalu klik OK.
Di halaman Response Rules, di tab Automated Rules, aktifkan sakelar di kolom Enabled Status untuk mengaktifkan aturan yang telah dibuat.
Tunggu hingga terjadi serangan pada nama domain yang telah diingest ke WAF. Setelah serangan terjadi, lihat insiden terkait di halaman Security Incidents.
Di tab Incident Response, lihat kebijakan dan tugas respons yang diterapkan oleh playbook setelah insiden sesuai dengan aturan respons otomatis.
- Kebijakan respons yang dibuat oleh aturan respons otomatis
- Tugas respons yang dibuat oleh aturan respons otomatis
Di konsol Web Application Firewall, lihat aturan pemblokiran IP yang secara otomatis ditambahkan oleh CTDR.
Langkah-langkah berikut menggunakan konsol WAF 3.0 sebagai contoh.
1. Masuk ke Web Application Firewall 3.0 console. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.
2. Di panel navigasi sebelah kiri, pilih Protection Config > Core Web Protection.
3. Di halaman Core Web Protection, buka bagian Custom Rule. Lihat aturan pemblokiran IP yang secara otomatis diterapkan oleh CTDR.

Referensi

Untuk mengelola data di beberapa akun Alibaba Cloud menggunakan CTDR, gunakan fitur manajemen multi-akun. Untuk informasi selengkapnya, lihat Manajemen Multi-akun.
Selain log Alibaba Cloud, Tencent Cloud, dan Huawei Cloud, CTDR juga mendukung log dari vendor keamanan pihak ketiga. Untuk informasi selengkapnya, lihat Ingest Log Vendor Keamanan.