Dalam lingkungan multi-cloud, log keamanan sering tersebar di berbagai platform cloud, sehingga menyulitkan deteksi ancaman terpadu dan respons insiden. Fitur Agentic SOC di Security Center memungkinkan Anda mengimpor dan menganalisis log keamanan dari produk Huawei Cloud — termasuk Web Application Firewall (WAF) dan Cloud Firewall (CFW) — secara terpusat, sehingga Anda dapat mengelola keamanan di seluruh lingkungan cloud dari satu tempat.
Panduan ini akan memandu Anda melalui langkah-langkah berikut:
Kirim log WAF atau CFW Huawei Cloud ke Log Tank Service (LTS).
Pilih metode impor: Kafka (DMS) atau OBS.
Konfigurasikan saluran data dan tugas impor.
Atur kebijakan ingest dan aturan deteksi ancaman untuk mulai menganalisis log.
Cara kerja
Log mengalir dari Huawei Cloud ke Security Center melalui tahapan berikut:
Agregasi log: Log WAF dan CFW dikumpulkan ke Log Tank Service (LTS) Huawei Cloud.
Data export: LTS mengekspor data log ke Distributed Message Service (DMS) untuk Kafka atau Object Storage Service (OBS), yang berfungsi sebagai titik perantara untuk transfer lintas cloud.
Impor lintas cloud: Agentic SOC berlangganan dan menarik data log dari DMS untuk Kafka (menggunakan protokol Kafka) atau OBS (menggunakan protokol S3), lalu mengingestnya ke sumber data tertentu.
Ingesti dan standardisasi: Di dalam Agentic SOC, kebijakan ingesti menerapkan aturan standardisasi untuk mengurai dan menormalisasi log mentah sebelum menyimpannya di gudang data.
Tipe log yang didukung
Agentic SOC mendukung pengimporan tipe log berikut dari Huawei Cloud:
Log alert Web Application Firewall (WAF)
Log alert Cloud Firewall (CFW)
Langkah 1: Kirim log ke LTS
Sebelum mengimpor log, kirim semua log produk keamanan dari Huawei Cloud ke LTS.
Web Application Firewall
Untuk petunjuk lengkap, lihat dokumentasi Huawei Cloud: Menggunakan LTS untuk Mencatat Log WAF.
Masuk ke atau Konsol Web Application Firewall. Di sudut kiri atas, pilih wilayah atau proyek, lalu klik Events di panel navigasi kiri.
Di tab Log Settings, klik Connect to LTS dan konfigurasikan parameter berikut:
PentingKonfigurasi membutuhkan waktu sekitar 10 menit untuk berlaku.
Parameter Nilai Log Types Log akses WAF dan log serangan WAF Log Group Pilih kelompok log tempat Anda ingin menyimpan log. Klik Create Log Group untuk membuat yang baru. WAF Access Log Stream Jika Anda memilih WAF access logs, pilih aliran log akses WAF. Klik Create Log Stream untuk membuat yang baru. WAF Attack Log Stream Jika Anda memilih WAF attack logs, pilih aliran log serangan WAF. Klik Create Log Stream untuk membuat yang baru.
Cloud Firewall
Untuk petunjuk lengkap, lihat dokumentasi Huawei Cloud: Mengingest Log CFW ke LTS.
Buat kelompok log dan aliran log.
Masuk ke Konsol Layanan Log CloudKonsol Layanan Log Cloud. Pada halaman Log Ingestion, klik Create Log Group.
Di halaman Create Log Group, atur Log Group Name dan Log Retention Period (Days). > Note: Tambahkan akhiran
-cfwpada nama kelompok log (misalnya,mylog-cfw) agar lebih mudah diidentifikasi.Setelah kelompok log dibuat, temukan di daftar dan klik Create Log Stream di bawah ikon
.Di halaman Create Log Stream, atur Log Stream Name dan Log Storage Duration (Days).
PentingNote: Gunakan akhiran seperti
-attack,-access, dan-flowuntuk log peristiwa serangan, log kontrol akses, dan log trafik, masing-masing.CFW mendukung tiga jenis aliran log:
Tipe log Deskripsi Attack logs Mencatat alert serangan, termasuk jenis event, aturan proteksi, aksi, 5-tupel, muatan serangan, dan detail lainnya. Access logs Mencatat trafik yang sesuai dengan kebijakan ACL, termasuk waktu hit, 5-tupel, aksi respons, aturan kontrol akses, dan detail lainnya. Traffic logs Mencatat seluruh trafik yang melewati Cloud Firewall, termasuk waktu mulai, waktu selesai, 5-tupel, jumlah byte, jumlah paket, dan detail lainnya.
Siapkan sinkronisasi LTS.
Masuk ke Konsol Cloud Firewall. Di pojok kiri atas, pilih wilayah dan instans firewall, lalu pilih Log Audit > Log Management di panel navigasi kiri.
Di halaman Log Management, klik Configure LTS Synchronization. Atur Log Group dan Log Source ke kelompok log dan aliran log yang telah Anda buat.
Langkah 2: Pilih metode impor
Dua metode tersedia untuk mengimpor log LTS Huawei Cloud ke Security Center. Pilih berdasarkan kebutuhan real-time, batasan biaya, dan kompleksitas konfigurasi.
| Aspek | Kafka (DMS) | OBS |
|---|---|---|
| Kinerja real-time | Hampir real-time (transfer real-time dapat dikonfigurasi) | Latensi tingkat menit |
| Kompleksitas konfigurasi | Lebih tinggi. Memerlukan konfigurasi instans Kafka, Alamat IP Elastis (EIP), security group, dan lainnya. | Lebih rendah. Hanya memerlukan konfigurasi tugas transfer. |
| Biaya (Huawei Cloud) | Instans Kafka, EIP dan trafik, Layanan Log | Penyimpanan OBS, Layanan Log |
| Biaya (Alibaba Cloud) | Trafik ingest log Agentic SOC | Trafik ingest log Agentic SOC |
| Paling cocok untuk | Skenario yang memerlukan analisis log hampir real-time, seperti komputasi keamanan berbasis aliran atau respons alert cepat | Skenario di mana kinerja real-time tidak kritis, fokus pada efisiensi biaya, pengarsipan log, atau analisis offline batch |
Langkah 3: Konfigurasikan impor data
Ikuti petunjuk sesuai metode impor yang Anda pilih.
Impor data menggunakan Kafka (DMS)
Siapkan saluran data Kafka di Huawei Cloud
Konfigurasikan instans Kafka
Buat instans Kafka.
Buka halaman Beli Instans Kafkahalaman Beli Instans Kafka. Di tab Quick Config, lengkapi konfigurasi dasar dan jaringan, termasuk spesifikasi instans dan Virtual Private Cloud (VPC).
Di area Access Mode, pilih Public Network Access dan konfigurasikan parameter berikut:
Parameter Nilai Public Network Access Pilih Ciphertext Access. Public IP Addresses Pilih Elastic IP Address (EIP) yang dapat diakses. Jika EIP Anda tidak mencukupi, klik Create Elastic IP untuk membuka halaman pembelian EIP. Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud: Mengajukan EIP. Setelah pembelian, klik ikon 
di samping Elastic IP Address dan pilih EIP yang baru dibeli dari daftar drop-down.Kafka Security Protocol SASL_SSL: menggunakan SASL untuk autentikasi dan sertifikat SSL untuk enkripsi data. SASL_PLAINTEXT: menggunakan SASL untuk autentikasi dan mentransmisikan data dalam teks biasa untuk kinerja lebih baik. SASL PLAIN Mechanism Jika Anda mengatur Kafka Security Protocol ke SASL_PLAINTEXT, pilih CRAM-SHA-512. Username / Password Kredensial yang digunakan klien untuk terhubung ke instans Kafka. Username tidak dapat diubah setelah akses terenkripsi diaktifkan. PentingImportant: Beli minimal tiga EIP. Simpan username dan password — Anda akan membutuhkannya nanti untuk memberikan akses Security Center ke Kafka.
Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud: Membeli Instans Kafka.
Buat topik.
Buka halaman Huawei Cloud - Manajemen Kafka. Di pojok kiri atas, pilih wilayah tempat instans Kafka Anda berada.
Di panel navigasi kiri, klik Kafka Instances. Klik nama instans target Anda untuk membuka halaman detailnya, lalu klik Topic Management.
Klik Create Topic dan konfigurasikan parameter. Pengaturan default sudah cukup untuk sebagian besar kasus penggunaan.
Untuk informasi lebih lanjut, lihat dokumentasi Huawei Cloud: Deskripsi Parameter Topik.
Konfigurasikan aturan security group. Setelah mengaktifkan akses publik, konfigurasikan aturan security group untuk mengizinkan koneksi ke Kafka.
Di halaman detail instans Kafka, klik Overview di panel navigasi kiri. Di bagian Network, klik ikon
di samping Security Group.Di halaman konfigurasi kebijakan, buka tab Inbound Rules, klik Add Rule, dan atur berikut ini:
Field Nilai Policy Allow Type IPv4 Protocol Custom TCP Port 9095 Source 0.0.0.0/0
Catat parameter koneksi Kafka. Di halaman Overview instans Kafka, catat Address (Public Network, Ciphertext), Security Protocol yang diaktifkan, dan SASL PLAIN Mechanism. Anda akan membutuhkan informasi ini saat menghubungkan Security Center ke Kafka.
Buat tugas transfer dari LTS ke Kafka
Untuk petunjuk lengkap, lihat dokumentasi Huawei Cloud: Transfer Log ke DMSMentransfer Data Log ke DMS.
Masuk ke Konsol Layanan Log. Di panel navigasi kiri, klik Log Transfer, lalu klik Configure Log Transfer di pojok kanan atas.
Atur parameter transfer berikut:
Parameter Nilai Transfer Mode Transfer periodik Transfer Destination DMS Log Group Name / Log Stream Name Kelompok log dan aliran log yang Anda konfigurasi di Langkah 1 (misalnya, log serangan WAF) Kafka Instance Instans Kafka yang Anda konfigurasi Topic Topik yang Anda buat Transfer Interval Real-time Format Format Log Mentah atau JSON
Konfigurasikan impor log Kafka di Alibaba Cloud
Berikan akses Security Center ke Kafka
Buka Konsol Security Center > Agentic SOC > Integration Center. Di pojok kiri atas, pilih wilayah aset Anda: Chinese Mainland atau Outside Chinese Mainland.
Di tab Multi-cloud Configuration Management, pilih Multi-cloud Assets, klik Grant Permission, dan pilih IDC dari daftar drop-down. Di panel yang muncul, atur berikut ini:
Parameter Nilai Vendor Apache Connection Type Kafka Endpoint Titik akhir Publik IPv4 Terenkripsi untuk Kafka yang Anda catat dari Huawei Cloud Username / Password Kredensial Kafka yang Anda konfigurasi di Huawei Cloud Communication Protocol Protokol keamanan yang Anda aktifkan di Huawei Cloud SASL Authentication Mechanism Mekanisme SASL PLAIN yang Anda konfigurasi di Huawei Cloud Di bawah Configure synchronization policy, atur AK Service Status Check ke interval pemeriksaan validitas kunci akses Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan pemeriksaan ini.
Buat tugas impor data
Buat sumber data untuk data log Huawei Cloud. Lewati langkah ini jika Anda sudah membuatnya.
Buka Konsol Security Center > Agentic SOC > Integration Center. Di pojok kiri atas, pilih wilayah aset Anda.
Di tab Data Source, buat sumber data untuk log Huawei Cloud. Untuk petunjuk, lihat Buat sumber data: Log tidak diingest ke Simple Log Service (SLS).
Parameter Nilai Source Data Source Type Pilih User Log Service atau Agentic SOC Dedicated Collection Channel. Add Instances Buat Logstore baru untuk mengisolasi data.
Di tab Data Import, klik Add Data. Di panel yang muncul, atur berikut ini: Transfer format to value type mapping:
Parameter Nilai Endpoint Titik akhir Publik IPv4 Terenkripsi untuk Kafka Topics topik yang Anda buat di Huawei Cloud Value Type Lihat pemetaan di bawah Format transfer Tipe nilai Format JSON json Format Log Mentah text Di bawah Configure the destination data source, atur berikut ini:
Data Source Name: Pilih sumber data yang telah Anda buat.
Destination Logstore: Logstore di bawah sumber data yang dipilih dimuat secara otomatis.
Klik OK. Security Center mulai menarik log dari Huawei Cloud secara otomatis.
Impor data menggunakan OBS
Siapkan data OBS di Huawei Cloud
Konfigurasikan LTS untuk mentransfer log ke OBS
Buat tugas transfer.
Masuk ke . Di panel navigasi kiri, klik Log Transfer, lalu klik Configure Log Transfer di pojok kanan atas.
Atur parameter transfer berikut:
Parameter Nilai Transfer Mode Transfer periodik Transfer Destination Bucket OBS Log Group Name / Log Stream Name Kelompok log dan aliran log yang Anda konfigurasi di Langkah 1 (misalnya, aliran log akses WAF) OBS Bucket Pilih bucket OBS yang sudah ada atau buat yang baru di halaman Huawei Cloud - Daftar Bucket Custom Log Transfer Path Diaktifkan: atur jalur kustom dalam format /LogTanks/RegionName/%GroupName/%StreamName/<custom_transfer_path>(default:lts/%Y/%m/%d). Dinonaktifkan: log disimpan di jalur defaultLogTanks/RegionName/2019/01/01/<Log_Group>/<Log_Stream>/<log_file_name>.Compression Format uncompressed,gzip, atauzipCatatanNote: LTS dapat mentransfer log ke bucket OBS yang menggunakan kelas penyimpanan Standard atau Restored Archive.
PeringatanWarning: Security Center tidak mendukung penguraian file log yang dikompresi dalam format
snappy.
Untuk petunjuk lengkap, lihat dokumentasi Huawei Cloud: Mentransfer Log ke OBS.
Dapatkan endpoint bucket OBS.
Buka halaman Daftar Bucket Huawei Cloud. Temukan bucket OBS yang Anda konfigurasi untuk transfer log LTS dan buka halaman detailnya. Di panel navigasi kiri, klik Overview.
Di area Domain Name, catat Endpoint. Formatnya adalah
obs.${region}.myhuaweicloud.com.
Buat kunci akses
Buka halaman Huawei Cloud - Kredensial Saya. Di panel navigasi kiri, klik Access Keys.
Klik Create Access Key. Klik Download CSV File atau salin Access Key ID dan Secret Access Key ke file lokal untuk disimpan aman. Untuk informasi lebih lanjut, lihat Kunci AksesKunci Akses.
Konfigurasikan impor log OBS di Alibaba Cloud
Berikan akses Security Center ke OBS Huawei Cloud
Buka atau Konsol Security Center > Agentic SOC > Pusat Integrasi. Di sudut kiri atas, pilih wilayah aset Anda: Chinese Mainland atau Outside Chinese Mainland.
Di tab Multi-cloud Configuration Management, pilih Multi-cloud Assets, klik Grant Permission, dan pilih IDC dari daftar drop-down. Di panel yang muncul, atur berikut ini:
Parameter Nilai Vendor AWS-S3 Connection Type S3 Endpoint Endpoint bucket OBS (format: obs.${region}.myhuaweicloud.com)Access Key ID / Secret Access Key Kunci akses yang Anda buat di Huawei Cloud Di bawah Konfigurasi kebijakan sinkronisasi, atur AK Service Status Check ke interval yang digunakan oleh Pusat Keamanan untuk memeriksa validitas kunci akses Huawei Cloud. Pilih Disable untuk menonaktifkan pemeriksaan ini.
Buat tugas impor data
Buka atau konsol Security Center > Agentic SOC > Pusat Integrasi. Di sudut kiri atas, pilih wilayah aset Anda: Chinese Mainland atau Outside Chinese Mainland.
Di tab Data Import, klik Add Data. Di panel yang muncul, atur berikut ini:
Parameter Nilai Endpoint Endpoint bucket OBS OBS Bucket Bucket OBS tempat LTS mentransfer log Di bawah Configure the destination data source, atur berikut ini:
Data Source Name: Pilih sumber data kustom dengan status normal (Custom Log Capability atau Agentic SOC Dedicated Data Collection Channel). Jika tidak tersedia sumber data yang sesuai, buat yang baru. Untuk petunjuk, lihat Sumber data.
Destination Logstore: Logstore di bawah sumber data yang dipilih dimuat secara otomatis.
Klik OK. Security Center mulai menarik log dari Huawei Cloud secara otomatis.
Langkah 4: Analisis data yang diimpor
Setelah data diingest, atur aturan parsing dan deteksi.
Buat kebijakan ingest. Ikuti petunjuk di Hubungkan produk ke Agentic SOC 2.0 untuk membuat kebijakan ingest dengan pengaturan berikut:
Parameter Nilai Data Source Pilih sumber data tujuan yang Anda konfigurasi di tugas impor data. Standardized Rule Pilih dari aturan standarisasi bawaan untuk produk Huawei Cloud. Standardization Method Untuk log alert, ini diatur ke Real-time Consumption secara default dan tidak dapat diubah. 
Konfigurasikan aturan deteksi ancaman. Aktifkan atau buat aturan deteksi log di manajemen aturan untuk menganalisis log, menghasilkan alert, dan membuat event keamanan. Untuk petunjuk, lihat Konfigurasikan aturan deteksi ancaman.
Penagihan
Solusi ini menimbulkan biaya dari kedua platform cloud. Tinjau dokumentasi penagihan untuk setiap produk sebelum melanjutkan.
Biaya Huawei Cloud (transfer dan penyimpanan data):
| Layanan | Item yang dapat ditagih | Dokumentasi penagihan |
|---|---|---|
| LTS | Penyimpanan log, operasi baca/tulis, dan lainnya | Huawei Cloud LTS - Ikhtisar penagihan |
| DMS for Kafka | Spesifikasi instans, trafik jaringan publik, dan lainnya | Huawei Cloud Kafka - Ikhtisar penagihan |
| OBS | Kapasitas penyimpanan, jumlah permintaan, trafik jaringan publik, dan lainnya | Huawei Cloud OBS - Ikhtisar penagihan |
Biaya Alibaba Cloud (tergantung metode penyimpanan data yang Anda pilih):
Untuk penagihan Agentic SOC, lihat Detail penagihan dan Penagihan pay-as-you-go untuk Analisis dan Respons Ancaman. Untuk penagihan Simple Log Service (SLS), lihat Ikhtisar penagihan SLS.
| Jenis sumber data | Item yang Dapat Ditagih Agentic SOC | Item yang dapat ditagih SLS | Catatan |
|---|---|---|---|
| Agentic SOC Dedicated Collection Channel | Biaya ingest log + biaya penyimpanan dan penulisan log (keduanya mengonsumsi Log Ingestion Traffic) | Biaya untuk item selain penyimpanan dan penulisan log (seperti trafik jaringan publik) | Agentic SOC membuat dan mengelola sumber daya SLS. Biaya penyimpanan dan penulisan log ditagih melalui Agentic SOC. |
| User Log Service | Biaya ingest log (mengonsumsi Log Ingestion Traffic) | Semua biaya terkait log (penyimpanan, penulisan, trafik jaringan publik, dan lainnya) | Semua sumber daya log dikelola oleh SLS. Semua biaya terkait log ditagih melalui SLS. |
FAQ
Tidak ada data log yang muncul di SLS setelah membuat tugas impor data
Periksa dalam urutan berikut:
Sisi Huawei Cloud: Masuk ke konsol Huawei Cloud dan pastikan log dihasilkan serta dikirim ke aliran log LTS, topik Kafka, atau bucket OBS yang dikonfigurasi.
Kredensial: Di Security Center, buka halaman Multi-cloud Assets dan pastikan status otorisasi normal serta kunci akses valid.
Konektivitas jaringan (hanya metode Kafka): Pastikan akses publik diaktifkan untuk layanan Kafka dan aturan security group mengizinkan lalu lintas masuk dari alamat IP layanan Security Center.
Data import task: Buka halaman Data Import di Security Center untuk meninjau status tugas dan log error, lalu lakukan koreksi.
Mengapa memilih `Apache` atau `AWS-S3` alih-alih `Huawei Cloud` saat memberikan izin?
Fitur impor log menggunakan antarmuka standar yang kompatibel protokol, bukan API khusus vendor.
IDC adalah nilai drop-down yang merepresentasikan vendor protokol.
Apachemerepresentasikan protokol Kafka, danAWS-S3merepresentasikan protokol penyimpanan objek yang kompatibel S3.Mengotorisasi Huawei Cloud sebagai vendor memungkinkan Agentic SOC mengoordinasikan respons event keamanan dengan Huawei Cloud — seperti memblokir alamat IP menggunakan aturan deteksi ancaman — tetapi tidak mengaktifkan impor log.
Langkah selanjutnya
Konfigurasikan aturan deteksi ancaman — Buat aturan deteksi untuk menganalisis log yang diimpor dan menghasilkan alert keamanan.
Hubungkan produk ke Agentic SOC 2.0 — Siapkan kebijakan ingest tambahan untuk sumber log lainnya.
Sumber data — Kelola sumber data dan Logstore Agentic SOC Anda.