Agentic SOC mengintegrasikan log produk, log - Security Center

Ketika log tersebar di berbagai layanan cloud, alat pihak ketiga, atau aplikasi yang dikelola sendiri, deteksi ancaman terpadu dan analitik keamanan menjadi sulit dilakukan. Agentic SOC menyediakan pusat integrasi terpadu untuk membantu Anda mengumpulkan, menstandarkan, dan menganalisis data log dari berbagai sumber secara terpusat. Dengan demikian, Anda dapat menerapkan aturan deteksi yang konsisten di seluruh lingkungan teknis, memperoleh tampilan keamanan yang komprehensif, serta merespons ancaman secara efisien.

Cara kerja

Agentic SOC menggunakan sistem konfigurasi modular untuk mengotomatiskan integrasi dan standarisasi log mentah. Prinsip utamanya mengandalkan komponen-komponen inti berikut yang bekerja bersama:

Data Source: Menentukan lokasi penyimpanan log mentah, seperti Project dan Logstore di Alibaba Cloud Simple Log Service (SLS).
Catatan
Agentic SOC mendukung Agentic SOC Dedicated Collection Channel, User Log Service, dan Security Center Log Service. Untuk informasi lebih lanjut, lihat Perbandingan Jenis Data Source.
Standardized Rule:
- Sekumpulan instruksi parsing berdasarkan sintaks SPL yang mengekstraksi bidang kunci—seperti IP sumber dan port tujuan—dari berbagai jenis log mentah, lalu mengonversinya ke dalam format terstruktur terpadu Agentic SOC.
- Setiap Standardized Rule dikaitkan dengan Dataset, yaitu model yang telah ditentukan sebelumnya berisi bidang-bidang standar. Dataset ini menentukan bidang-bidang standar yang tersedia untuk analisis log. Untuk informasi lebih lanjut, lihat Dataset.
Standardization Method: Menentukan pola teknis untuk memproses dan mengakses log setelah distandarkan.
Catatan
Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan metode standarisasi.
Access Policy: Konfigurasi inti alur ingest log. Kebijakan ini mengaitkan konfigurasi Data Source, Standardization Method, dan Standardized Rule untuk menentukan cara log dibaca, diurai, dan diproses. Hal ini memungkinkan ingest dan standarisasi log secara otomatis.

Integrasikan produk Alibaba Cloud

Proses ini berlaku untuk produk Alibaba Cloud yang sudah mengirimkan log ke Logstore SLS Anda, seperti Web Application Firewall (WAF), Cloud Firewall (CFW), dan ActionTrail.

Bagan alir integrasi

Langkah 1: Aktifkan pengiriman log produk

Sebelum dapat mengintegrasikan log, Anda harus mengaktifkan fitur audit log untuk produk cloud target dan mengirimkan log-nya ke SLS. Hal ini memungkinkan Agentic SOC membaca datanya.

Penting

Untuk log alert dari produk keamanan Alibaba Cloud yang disimpan di Logstore pusat, data tersebut secara otomatis dikirimkan ke Agentic SOC. Anda dapat menyelesaikan integrasi tanpa perlu mengaktifkan layanan log produk cloud tersebut. Contohnya termasuk log alert WAF dan log alert Cloud Firewall.

Buka konsol produk cloud, seperti WAF atau CFW, lalu temukan titik masuk untuk Manajemen Log atau Simple Log Service. Untuk informasi lebih lanjut, lihat Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS.
Ikuti dokumentasi produk untuk mengaktifkan pengiriman log. Operasi ini biasanya secara otomatis membuat Project dan satu atau beberapa Logstore di SLS.
Catatan
Anda dapat login ke Konsol Simple Log Service untuk melihat Project dan Logstore untuk log yang dikirimkan oleh produk tersebut. Misalnya, nama project untuk log WAF biasanya wafnew-logstore.

Langkah 2: Aktifkan kebijakan akses bawaan

Aktifkan secara batch secara otomatis

Agentic SOC mendukung integrasi batch log dari produk Alibaba Cloud. Fitur ini dapat secara otomatis mengaktifkan kebijakan akses dan menemukan sumber data. Prosedurnya sebagai berikut:

Masuk ke Konsol
Buka Konsol Security Center - Agentic SOC - Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Konfigurasi integrasi batch
Klik Batch Associate Settings dan ikuti petunjuk untuk menyelesaikan konfigurasi.
- Access Settings:
  - Increment Access: Mempertahankan semua kebijakan akses yang telah diaktifkan dan hanya menambahkan sumber data serta kebijakan dari konfigurasi saat ini.
  - Full Access: Menimpa dan mengganti semua pengaturan akses yang ada. Kebijakan apa pun yang tidak dipilih dalam konfigurasi saat ini akan dinonaktifkan.
    Peringatan
    Ini adalah operasi penimpaan yang berisiko menonaktifkan kebijakan yang sedang berjalan secara tidak sengaja dan menyebabkan gangguan integrasi data. Lakukan dengan hati-hati.
- Accessible Account: Pilih akun saat ini beserta akun anggotanya.
- Alibaba Cloud Services: Pilih produk cloud yang akan dihubungkan beserta sumber data yang sesuai.
  Catatan
  Untuk menyederhanakan konfigurasi, Agentic SOC menyertakan kebijakan akses yang direkomendasikan. Jika Anda mengklik Use Recommended Policy, sistem secara otomatis memilih sumber data dengan nilai analitik tertinggi untuk produk cloud yang dipilih berdasarkan praktik terbaik. Hal ini membantu Anda mengaktifkan analitik data dengan cepat.
- Auto-Add New Data Sources: Jika Anda mengaktifkan opsi ini, sistem secara otomatis menyertakan Logstore baru ke dalam cakupan pengumpulan sumber data saat ini. Anda tidak perlu menambahkannya secara manual.
Konfirmasi dan mulai integrasi data
Setelah konfigurasi selesai, klik OK. Sistem secara otomatis melakukan operasi berikut:
- Integrasi penuh: Secara otomatis mengintegrasikan semua Logstore yang diaktifkan dan terkait dengan sumber data produk cloud yang dipilih dalam akun yang dipilih di SLS.
- Aktivasi kebijakan: Secara otomatis mengaktifkan kebijakan akses yang sesuai dengan sumber data yang dipilih.
  Penting
  Kebijakan akses baru mungkin memerlukan waktu untuk diterapkan dan diinisialisasi. Harap tunggu hingga proses selesai.
Konfirmasi status yang diaktifkan
1. Kembali ke daftar akses, pilih produk yang akan diakses, lalu klik Access Settings di kolom Tindakan.
  Catatan
  Untuk akun anggota, pada tab Multi-account Access Settings, klik Multi-account Access di kolom Tindakan untuk sumber data target.
2. Anda dapat melihat status akses di halaman daftar Kebijakan Akses. Jika statusnya abnormal, periksa status sumber data. Untuk informasi lebih lanjut, lihat Periksa status koneksi sumber data.

Aktifkan secara manual

Konfigurasikan sumber data
Agentic SOC telah menyiapkan konfigurasi sumber data untuk produk Alibaba Cloud utama. Anda harus memeriksa konfigurasi ini untuk memastikan sesuai dengan informasi Logstore Anda.
1. Temukan produk cloud
  1. Login ke Konsol Security Center dan buka Agentic SOC > Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
  2. Pada tab Service Integration, atur filter Service Provider ke Alibaba Cloud, pilih produk yang akan diintegrasikan (misalnya Web Application Firewall), lalu klik Access Settings di kolom Tindakan.
2. Periksa status sumber data
  1. Klik nama sumber data yang terkait dengan produk tersebut. Halaman akan dialihkan ke tab Data Source.
  2. Temukan sumber data tersebut dan periksa status koneksi-nya:
    - Normal: Menunjukkan bahwa Agentic SOC dapat mengakses Logstore. Anda dapat melanjutkan ke langkah berikutnya.
    - Abnormal: Menunjukkan bahwa konfigurasi salah. Klik Edit di kolom Actions sumber data tersebut, lalu verifikasi informasi berikut:
      - Informasi instans: Periksa apakah Region, Project, dan Logstore yang Anda catat di Langkah 1 cocok persis.
      - Layanan log sumber: Pastikan layanan Logstore SLS sedang berjalan. Misalnya, Project tidak dinonaktifkan dan log masih terus ditulis.
    - Not connected: Menunjukkan bahwa sumber data belum dikonfigurasi.
      - Klik Edit di kolom Actions sumber data tersebut.
      - Klik Create Instance dan pilih informasi Logstore yang dibuat secara otomatis di Langkah 1 (Region ID, Project, dan Logstore).
Aktifkan kebijakan akses bawaan
Jalankan pipeline pemrosesan log agar Agentic SOC dapat menganalisis log produk secara otomatis.
1. Kembali ke tab Service Integration dan buka kembali halaman Access Settings untuk produk tersebut.
2. Ubah metode standarisasi (opsional)
  Untuk beberapa kebijakan produk, Anda dapat mengubah Standardization Method di halaman edit. Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan Metode Standarisasi.
  Penting
  - Jika jenis sumber data adalah Security Center Log Service atau log alert, metode standarisasi-nya adalah Real-time Consumption dan tidak dapat diubah.
  - Jika dataset (StoreView) yang terkait dengan Standardization Category or Structure sudah memiliki lima kebijakan akses dengan pola "Scan Query", Anda harus memilih "Real-time Consumption" untuk kebijakan saat ini. Jika tidak, kebijakan akses tidak dapat diaktifkan.
3. Uji standarisasi log
  Jika Anda mengubah metode standarisasi, Anda harus melakukan uji standarisasi log.
  Peringatan
  Pastikan Logstore untuk Data Source berisi data. Uji standarisasi log tidak dapat dilakukan jika Logstore kosong.
  1. Klik tombol . Sistem akan mengurai data log menggunakan sintaks SPL dan mengembalikan hasilnya.
  2. Pilih item dari daftar drop-down hasil untuk digunakan sebagai data uji, lalu klik Parse and Test.
  3. Setelah uji berhasil, klik Complete.
    Catatan
    Jika uji gagal, lihat Apa yang harus saya lakukan jika uji standarisasi log gagal atau data tidak dapat diurai? untuk solusinya.
4. Aktifkan kebijakan
  Nyalakan sakelar di kolom Enabling Status kebijakan tersebut.
  Penting
  Jika Anda mengaktifkan kebijakan akses yang direkomendasikan saat membeli Agentic SOC, kebijakan bawaan untuk Security Center, WAF, Cloud Firewall, dan ActionTrail diaktifkan secara default. Untuk mengaktifkan kebijakan akses yang direkomendasikan, lihat Aktifkan kebijakan akses untuk langganan dan Aktifkan kebijakan akses log untuk bayar sesuai penggunaan.

Langkah 3: Tambahkan kebijakan akses baru (opsional)

Beberapa produk mendukung kebijakan akses kustom. Prosedur untuk menambahkan kebijakan akses kustom adalah sebagai berikut:

Pada daftar kebijakan akses, klik Create Access Policy.
Catatan
Jika tombol Create Access Policy tidak ditampilkan, berarti produk tersebut tidak mendukung fitur ini.
Pada halaman Create Access Policy, pilih Data Source, Standardized Rule, dan Standardization Method. Jika tidak tersedia sumber data atau aturan standarisasi yang sesuai, Anda dapat membuat sumber data baru dan aturan standarisasi kustom.
Penting
Anda hanya dapat memilih sumber data yang dimiliki akun saat ini. Sumber data dari akun anggota tidak didukung.
Selesaikan Test Log Standardization dan aktifkan kebijakan tersebut.

Integrasikan log pihak ketiga

Agentic SOC mendukung integrasi log dari cloud pihak ketiga, seperti Fortinet, Chaitin, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, Knownsec, dan Microsoft Cloud, serta aplikasi produk kustom. Prosedurnya sebagai berikut:

Integrasikan log dari produk cloud pihak ketiga

Log tidak di SLS

Untuk produk WAF dan CFW dari Tencent Cloud dan Huawei Cloud, Agentic SOC menyediakan fitur impor data untuk membantu Anda mengintegrasikan log.

Cakupan

Penyedia cloud	Produk	Tipe log
Tencent Cloud	Web Application Firewall (WAF)	Log serangan, log akses
Tencent Cloud	Cloud Firewall (CFW)	Log alert
HUAWEI CLOUD	Web Application Firewall (WAF)	Log serangan, log akses
HUAWEI CLOUD	Cloud Firewall (CFW)	Log alert

Bagan alir integrasi

Prosedur

Buat sumber data
Buat sumber data Agentic SOC khusus untuk data log cloud pihak ketiga. Jika Anda sudah membuatnya, Anda dapat melewati langkah ini.
1. Buka Konsol Security Center - Threat Analysis and Response - Integration Center. Di pojok kiri atas halaman, pilih wilayah untuk Aset yang ingin Anda lindungi: Chinese Mainland atau Outside Chinese Mainland.
2. Pada tab Data Source, buat sumber data untuk menerima log Tencent Cloud. Untuk informasi lebih lanjut, lihat Buat sumber data: Log tidak di SLS.
  - Source Data Source Type: Pilih User Log Service atau Agentic SOC Dedicated Collection Channel. Untuk informasi lebih lanjut, lihat Perbandingan jenis sumber data.
  - Add Instances: Kami menyarankan Anda membuat Logstore baru untuk mengisolasi data.
Impor data
Merujuk pada Impor data log Huawei Cloud dan Impor data log Tencent Cloud, impor data cloud pihak ketiga ke sumber data yang Anda buat di Langkah 1.
Konfigurasikan kebijakan akses
1. Kembali ke tab Service Integration dan atur filter Service Provider ke produsen pihak ketiga, seperti Huawei Cloud.
2. Di kolom Tindakan untuk produk target, klik Access Settings. Pada halaman detail kebijakan akses, klik Create Access Policy.
3. Konfigurasikan sumber data seperti dijelaskan di bawah ini:
  - Data Source Name: Pilih sumber data yang Anda buat di Langkah 1.
  - Standardized Rule: Kami menyarankan Anda memilih aturan standarisasi bawaan yang disediakan Agentic SOC yang kompatibel dengan Huawei Cloud atau Tencent Cloud.
    Catatan
    Anda juga dapat merujuk pada Aturan Standarisasi dan Dataset untuk membuat aturan standarisasi kustom.
  - Standardization Method: Hanya Real-time Consumption yang didukung. Scan Query tidak didukung.
4. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Uji Standarisasi Log.
  Peringatan
  Pastikan Logstore yang sesuai dengan Data Source berisi data. Jika tidak, Anda tidak dapat melakukan uji standarisasi log.
5. Setelah uji berhasil, klik Finish. Lalu, aktifkan kebijakan tersebut.

Log di SLS

Jika Anda sudah mengumpulkan log dari produk pihak ketiga—seperti Fortinet, Chaitin, dan Sangfor—ke Logstore SLS menggunakan metode seperti Logtail atau Syslog-ng, alur ingest-nya sebagai berikut. Untuk informasi tentang cara mengingest data ke SLS, lihat Ikhtisar pengumpulan data.

Konfigurasikan sumber data
1. Temukan produk integrasi
  1. Buka Konsol Security Center > Agentic SOC > Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset yang ingin Anda lindungi berada: Chinese Mainland atau Outside Chinese Mainland.
  2. Atur filter Service Provider ke vendor pihak ketiga (seperti Huawei Cloud). Pilih produk yang akan diintegrasikan (misalnya Web Application Firewall) dan klik Integration Settings di sebelah kanan.
2. Ubah sumber data
  1. Klik nama sumber data yang terkait dengan produk tersebut. Anda akan dialihkan ke tab Data Source. Lalu, klik Edit di kolom Actions sumber data tersebut.
  2. Klik Create Instance dan pilih Region ID, Project, dan Logstore tempat log produk pihak ketiga disimpan.
    Catatan
    Anda dapat login ke Konsol Simple Log Service untuk melihat informasi Logstore produk cloud tersebut.
Aktifkan kebijakan akses bawaan
1. Kembali ke tab Service Integration dan buka kembali halaman Access Settings untuk produk tersebut.
2. Klik tombol Edit di kolom Tindakan untuk kebijakan akses bawaan target. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Uji Standarisasi Log.
3. Setelah uji berhasil, klik Complete. Lalu, aktifkan kebijakan tersebut.

Integrasikan log dari aplikasi produk kustom

Bagan alir integrasi

Tambahkan produk
1. Buka Konsol Security Center - Agentic SOC - Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Pada tab Service Integration, di area Multi-cloud Service Access, klik Add Service dan masukkan Vendor Name dan Service Name.
Tambahkan sumber data
Pada tab Data Source, klik Add Data Source. Untuk informasi lebih lanjut, lihat Sumber Data. Konfigurasikan parameter berikut:
- Jika log produk sudah dikumpulkan di SLS, atur Data Source Type ke User Log Service dan pilih Logstore yang sesuai.
  Catatan
  Anda dapat login ke Konsol Simple Log Service untuk melihat informasi Logstore produk tersebut.
- Jika log produk belum dikumpulkan di SLS:
  - Jika Anda mengatur Data Source Type ke Agentic SOC Dedicated Data Collection Channel, Agentic SOC akan membuat Project khusus (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) dan Logstore khusus di SLS.
    Agentic SOC membuat Project khusus (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) dan Logstore khusus di SLS.
  - Jika Anda mengatur Data Source Type ke User Log Service, Anda harus terlebih dahulu membuka Konsol Simple Log Service dan membuat Logstore yang sesuai.
  Penting
  Setelah sumber data dikonfigurasi, merujuk pada Ikhtisar Pengumpulan Data atau hubungi helpdesk SLS untuk mengumpulkan log produk dan mengirimkannya ke Logstore SLS yang sesuai.
Tambahkan aturan standarisasi
Pada tab Standardized Rule, klik Create Custom Rule. Untuk informasi lebih lanjut, lihat Buat aturan standarisasi kustom.
Catatan
Pastikan vendor dan produk sesuai dengan produk yang Anda tambahkan di Langkah 1.
Tambahkan dan aktifkan kebijakan akses
1. Kembali ke tab Service Integration, temukan produk yang Anda tambahkan di Langkah 1, lalu klik Access Settings di kolom Tindakan.
2. Pada halaman Ingestion Settings, klik Create Access Policy. Pada halaman Create Ingestion Policy, konfigurasikan parameter berikut untuk Data Source dan Standardized Log:
  Data Source: Pilih sumber data yang Anda konfigurasi di Langkah 2.
  Standardized Rule: Pilih aturan yang Anda konfigurasi di Langkah 3.
  Standardization Method: Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan metode standarisasi.
  Penting
  Jika jenis sumber data adalah Agentic SOC Dedicated Data Collection Channel, pilih Real-time Consumption.
3. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Uji Standarisasi Log.
  Peringatan
  Pastikan Data Source Anda memiliki data di Logstore yang sesuai. Jika Logstore kosong, Anda tidak dapat melakukan uji standarisasi log.
4. Setelah uji berhasil, klik Complete. Lalu, aktifkan kebijakan tersebut.

Analisis data terintegrasi

Setelah log produk diintegrasikan, Anda harus mengonfigurasi aturan deteksi ancaman untuk menganalisis log, menghasilkan alert dan event keamanan, serta membantu Anda merespons dan menangani risiko keamanan cloud. Untuk informasi lebih lanjut, lihat Konfigurasikan aturan deteksi ancaman.

Kuota dan batasan

Batas mode Scan Query: dataset (terkait dengan Standardized Rule) dapat dilampirkan ke maksimal lima kebijakan akses dalam mode "Scan Query".
Batas integrasi multi-akun:
- Log dari akun anggota hanya dapat diingest menggunakan mode Real-time Consumption. Scan Query tidak didukung. Untuk informasi lebih lanjut, lihat Fitur manajemen multi-akun.
- Anda tidak dapat menambahkan kebijakan akses kustom untuk sumber data yang dimiliki akun anggota.
Batasan metode standarisasi: Jika jenis sumber data adalah Agentic SOC Dedicated Collection Channel atau jenis log yang diingest adalah "log alert", hanya Real-time Consumption yang didukung.

Informasi penagihan

Mengintegrasikan log menggunakan Agentic SOC dapat menimbulkan biaya berikut, tergantung pada jenis sumber data yang Anda pilih:

Catatan

Penagihan untuk Agentic SOC langganan dan Agentic SOC bayar sesuai penggunaan.
Ikhtisar Penagihan SLS.

Jenis sumber data	Item penagihan Agentic SOC	Item penagihan SLS	Catatan
Agentic SOC Dedicated Collection Channel	Biaya ingest log Biaya penyimpanan dan penulisan log Catatan Item-item ini mengonsumsi Log Ingestion Traffic.	Biaya untuk layanan selain penyimpanan dan penulisan log, seperti lalu lintas internet.	Agentic SOC membuat dan mengelola sumber daya SLS. Oleh karena itu, biaya penyimpanan dan penulisan Logstore ditagih oleh Agentic SOC.
User Log Service	Ingest log menimbulkan biaya dan mengonsumsi Log Ingestion Traffic.	Semua biaya untuk log, termasuk penyimpanan, penulisan, dan transfer data.	SLS mengelola semua sumber daya log. SLS menagih semua biaya untuk sumber daya ini.
Security Center Log Service	Ingest log mengonsumsi Log Ingestion Traffic.	Tidak ada	Ini adalah log internal Security Center. Tidak ada biaya SLS yang berlaku.

Referensi

Standardization Method perbandingan

Dimensi perbandingan	Real-time Consumption	Scan Query
Cara kerja	Standarisasi saat penulisan: Agentic SOC mengonsumsi log dari sumber data, menstandarkannya, lalu menyimpannya di ruang log Agentic SOC.	Schema-on-read: Membaca log langsung dari instans sumber data tanpa menyimpan replika.
Keunggulan utama	Kinerja kueri tinggi dan analisis cepat.	Deploy ringan dan biaya lebih rendah.
Penyimpanan log dan biaya	Jika Anda membeli Log Storage Capacity, log yang distandarkan secara otomatis dikirimkan ke Log Management di Agentic SOC. Pengiriman ini mengonsumsi Log Storage Capacity Agentic SOC Anda dan tidak dapat dinonaktifkan.	Replika log tidak disimpan. Sumber, seperti SLS, menagih penyimpanan log mentah.
Jenis sumber data yang berlaku	Security Center Log Service User Log Service Agentic SOC Dedicated Collection Channel	User Log Service (tidak termasuk log alert)
Kinerja dan kuota	Tidak ada batas jumlah kebijakan akses.	Batas kebijakan: Setiap dataset mendukung maksimal lima kebijakan scan-and-query. Batas kinerja: Indeks lengkap tidak tersedia. Kinerja kueri menurun seiring peningkatan volume data yang dipindai. Batas operator: Beberapa operator SPL untuk parsing dan pemrosesan—seperti `parse-json`, `parse-kv`, `parse-regexp`, `parse-csv`, `expand-values`, dan `let`—tidak tersedia.
Akses multi-akun	Didukung.	Tidak didukung.
Batasan skenario	Anda harus memilih pola ini jika sumber data adalah saluran pengumpulan data khusus Agentic SOC atau jenis log-nya adalah log alert.	Tidak ada

Data Source Perbandingan Jenis

Dimensi perbandingan	User Log Service	Agentic SOC Dedicated Collection Channel	Security Center Log Service
Penyimpanan dan pengelolaan log	Anda mengelola Project dan Logstore SLS Anda sendiri.	Agentic SOC secara otomatis membuat dan mengelola Project dan Logstore SLS khusus.	Security Center tidak menyimpan log internalnya di SLS Anda.
Metode standarisasi yang didukung	Real-time Consumption, Scan Query (tidak termasuk log alert)	Real-time Consumption	Real-time Consumption
Kasus penggunaan	Mengingest log yang dikirimkan ke SLS dari produk Alibaba Cloud seperti WAF dan CFW. Mengingest log yang dikumpulkan ke SLS dari produk pihak ketiga menggunakan alat seperti Logtail.	Mengumpulkan log dari cloud pihak ketiga—seperti Tencent Cloud dan Huawei Cloud—yang belum berada di SLS. Mengumpulkan log aplikasi kustom yang tidak memiliki metode pengiriman yang ada ke SLS.	Menganalisis log internal Security Center.

Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS

Web Application Firewall: Log WAF 3.0.
Cloud Firewall: Log Cloud Firewall.
Bastionhost: Arsipkan log audit ke Simple Log Service.
ActionTrail: Log operasi platform.
Anti-DDoS: Memulai analisis log lengkap.
CDN: Praktik terbaik untuk mengirimkan log real-time CDN ke SLS guna menganalisis data akses pengguna.
DCDN: Log akses Akselerator Global.
API Gateway: Log akses API Gateway.
Container Service for Kubernetes: Manajemen Log.
PolarDB: Analisis Log.
ApsaraDB for MongoDB: Log MongoDB.
RDS: Log Audit SQL RDS, Kirimkan log RDS MySQL ke Simple Log Service.
VPC: Log aliran VPC, Log Alamat IP Elastis.
Server Load Balancer (SLB): Log akses ALB, Log akses, Log akses Layer-7 untuk Classic Load Balancer (CLB), dan metrik pemantauan Layer-4 per detik untuk Classic Load Balancer (CLB).
Object Storage Service: Log akses OSS.
File Storage NAS: Analisis log berbasis SLS.
CloudConfig: Log Audit Konfigurasi.

FAQ

Mengapa status koneksi sumber data menunjukkan "Abnormal" atau "Not connected"?
Periksa item berikut secara berurutan:
1. Izin RAM: Periksa apakah role terkait layanan AliyunServiceRoleForSas untuk Agentic SOC memiliki izin untuk mengakses Logstore SLS (minimal AliyunLogReadOnlyAccess). Ini adalah penyebab paling umum.
2. Informasi konfigurasi: Pada halaman edit sumber data di Agentic SOC, periksa apakah nama Region, Project, dan Logstore SLS benar. Pastikan tidak ada kesalahan penulisan atau spasi tambahan.
3. Status Logstore sumber: Login ke konsol SLS dan pastikan Project tidak dinonaktifkan serta data baru masih ditulis ke Logstore.
Mengapa kebijakan akses gagal diaktifkan?
Satu dataset StoreView (ditentukan oleh Standardization Category or Structure dalam Standardized Rule) dapat dilampirkan ke maksimal lima kebijakan akses dalam mode 'Scan Query'. Jika Anda melebihi batas ini, kebijakan akses gagal diaktifkan. Untuk solusinya, lihat Kebijakan akses gagal diaktifkan.
Apa yang dapat saya lakukan jika uji standarisasi log gagal atau data tidak dapat diurai?
- Periksa apakah Logstore sumber berisi data: Pastikan log baru telah ditulis ke Logstore SLS, sebaiknya dalam satu jam terakhir. Jika Logstore kosong, uji tidak dapat dilanjutkan.
- Periksa apakah aturan standarisasi cocok: Jika Anda menggunakan aturan kustom, pastikan pernyataan SPL dapat mengurai format log mentah dengan benar. Anda dapat men-debug pernyataan SPL di halaman kueri dan analisis di konsol SLS.