Alibaba Cloud Simple Log Service dan Security Center bersama-sama meluncurkan fitur analisis log yang memungkinkan Anda untuk mengumpulkan, menanyakan, menganalisis, mentransformasi, dan menggunakan data risiko secara real-time. Dengan fitur ini, Anda dapat memantau dan menangani potensi risiko pada server serta menerapkan manajemen terpusat sumber daya cloud. Topik ini menjelaskan aset, penagihan, dan batasan fitur analisis log.
Batasan
Anda hanya dapat menulis log Security Center ke Logstore Khusus. Atribut Logstore seperti periode retensi log tidak dapat diubah.
Log Security Center harus disimpan setidaknya selama 180 hari untuk mematuhi Undang-Undang Keamanan Siber Republik Rakyat Tiongkok. Kami menyarankan Anda mengalokasikan kapasitas penyimpanan log sebesar 40 GB untuk setiap server.
Security Center Basic Edition tidak mendukung fitur analisis log. Security Center Ultimate Edition dan Enterprise Edition mendukung pencarian untuk log jaringan, log keamanan, dan log host. Security Center Advanced Edition dan Anti-virus Edition mendukung pencarian untuk log keamanan dan log host. Untuk informasi lebih lanjut tentang penagihan edisi-edisi ini, lihat Ikhtisar Penagihan.
Aset
Proyek Khusus dan Logstore
Setelah mengaktifkan fitur analisis log, Simple Log Service membuat proyek bernama sas-log-ID akun Alibaba Cloud-ID Wilayah dan Logstore Khusus bernama sas-log secara default. Tabel berikut menjelaskan wilayah-wilayah tersebut.
Wilayah Security Center
Wilayah Proyek Simple Log Service
Tiongkok
Tiongkok (Hangzhou)
Luar Tiongkok
Singapura
PentingJangan hapus proyek atau Logstore yang terkait dengan log Security Center. Jika tidak, log Security Center tidak dapat dikirim ke Simple Log Service.
Jika Anda secara tidak sengaja menghapus Logstore Khusus, Anda akan diberi tahu bahwa Logstore sas-log tidak ada, dan semua data log dalam Logstore dihapus. Dalam hal ini, ajukan Tiket untuk memulihkan Logstore. Jika Anda mengaktifkan kembali fitur analisis log setelah Logstore dipulihkan, log yang hilang tidak dapat dipulihkan.
Jika Anda telah mengaktifkan mode penagihan berdasarkan data yang dimasukkan, Simple Log Service membuat Logstore Khusus yang menggunakan mode penagihan berdasarkan data yang dimasukkan secara default. Jika Anda ingin beralih mode penagihan dari berdasarkan data yang dimasukkan ke berdasarkan fitur, Anda dapat mengubah konfigurasi Logstore. Untuk informasi lebih lanjut, lihat Ubah konfigurasi Logstore.
Dashboard Khusus
Log Security Center diklasifikasikan menjadi tiga jenis. Setelah mengaktifkan fitur analisis log Security Center, Simple Log Service menghasilkan sembilan dashboard secara default.
PentingKami menyarankan Anda untuk tidak melakukan perubahan pada dashboard khusus karena dashboard tersebut dapat diperbarui atau ditingkatkan kapan saja. Anda dapat membuat dashboard kustom untuk menampilkan hasil pencarian. Untuk informasi lebih lanjut, lihat Buat Dashboard.
Jenis log yang didukung
Security Center Enterprise Edition dan Ultimate Edition mendukung 16 subtipe log yang termasuk dalam jenis log host, keamanan, dan jaringan. Security Center Anti-virus Edition dan Advanced Edition mendukung 12 subtipe log yang termasuk dalam jenis log host dan keamanan.
Jenis log jaringan
Jenis log | __topic__ | Deskripsi | Siklus pengumpulan |
sas-log-http | Log permintaan pengguna ke server web dan respons dari server web, termasuk alamat IP pengguna, waktu permintaan, metode permintaan, URL permintaan, kode status HTTP, dan ukuran respons. Log akses web digunakan untuk menganalisis lalu lintas web dan perilaku pengguna, mengidentifikasi pola akses dan anomali, serta mengoptimalkan kinerja situs web. | Pada umumnya, log dikumpulkan 1 hingga 12 jam setelah log dihasilkan. | |
sas-log-dns | Log detail resolusi DNS, termasuk nama domain yang diminta, jenis query, alamat IP klien, dan nilai respons. Anda dapat memantau proses permintaan dan respons resolusi DNS, serta mengidentifikasi perilaku resolusi abnormal, pembajakan DNS, dan keracunan DNS berdasarkan log DNS. | ||
local-dns | Log query dan respons DNS pada server DNS lokal, termasuk nama domain yang diminta, jenis query, alamat IP klien, dan nilai respons. Anda dapat memperoleh informasi tentang query DNS di jaringan Anda, serta mengidentifikasi masalah seperti perilaku query abnormal, pembajakan domain, dan keracunan DNS berdasarkan log DNS internal. | ||
sas-log-session | Log koneksi jaringan dan transmisi data, termasuk detail sesi jaringan. Detail tersebut mencakup waktu mulai sesi, alamat IP sumber, alamat IP tujuan, protokol, dan port. Log sesi jaringan umumnya digunakan untuk memantau lalu lintas jaringan, mengidentifikasi ancaman potensial, dan mengoptimalkan kinerja jaringan. |
Jenis log host
Jenis log | __topic__ | Deskripsi | Siklus pengumpulan |
aegis-log-login | Log login pengguna ke server, termasuk waktu login, pengguna login, metode login, dan alamat IP login. Log login dapat membantu Anda memantau aktivitas pengguna, serta mengidentifikasi dan merespons perilaku abnormal sejak dini. Ini membantu memastikan keamanan sistem. Catatan Security Center tidak mengumpulkan log login ke server yang menjalankan Windows Server 2008. | Log dikumpulkan secara real-time. | |
aegis-log-network | Log koneksi jaringan, termasuk 5-tupel koneksi ke server, waktu koneksi, dan status koneksi. Log koneksi jaringan dapat membantu Anda mendeteksi koneksi mencurigakan, mengidentifikasi serangan jaringan potensial, dan mengoptimalkan kinerja jaringan. Catatan
| Log dikumpulkan secara real-time. | |
aegis-log-process | Log startup proses server, termasuk waktu startup, perintah startup, dan parameter. Anda dapat memperoleh status startup dan konfigurasi proses server, serta mengidentifikasi masalah seperti proses abnormal, intrusi malware, dan ancaman berdasarkan log startup proses. | Log dikumpulkan secara real-time. Saat proses dimulai, log segera dikumpulkan. | |
aegis-log-crack | Log serangan brute-force, termasuk informasi tentang upaya login, dan upaya untuk menjebol sistem, aplikasi, atau akun. Anda dapat memperoleh informasi tentang serangan brute-force pada sistem atau aplikasi, serta mengidentifikasi upaya login tidak biasa, kata sandi lemah, dan kebocoran kredensial berdasarkan log serangan brute-force. Anda juga dapat menggunakan log serangan brute-force untuk melacak pengguna jahat dan mengumpulkan bukti untuk membantu tim keamanan dalam merespons insiden dan investigasi. | Log dikumpulkan secara real-time. | |
aegis-snapshot-host | Log akun dalam sistem atau aplikasi, termasuk informasi dasar tentang akun. Informasi dasar mencakup nama pengguna, kebijakan kata sandi, dan riwayat login akun. Anda dapat memperoleh perubahan akun dan mengidentifikasi risiko potensial sejak dini dengan membandingkan log snapshot akun pada titik waktu yang berbeda. Risiko tersebut mencakup akses dari akun tidak sah dan status akun abnormal. |
| |
aegis-snapshot-port | Log koneksi jaringan, termasuk 5-tupel koneksi, status koneksi, dan proses terkait. Anda dapat memperoleh informasi tentang soket jaringan dalam sistem, mengidentifikasi koneksi abnormal dan serangan jaringan potensial, serta mengoptimalkan kinerja jaringan berdasarkan log snapshot jaringan. | ||
aegis-snapshot-process | Log proses dalam sistem, termasuk ID proses, nama proses, dan waktu mulai proses. Anda dapat memperoleh informasi tentang proses dalam sistem dan penggunaan sumber daya oleh proses, serta mengidentifikasi masalah seperti proses abnormal, pemanfaatan CPU berlebihan, dan kebocoran memori berdasarkan log snapshot proses. | ||
aegis-log-dns-query | Log permintaan DNS yang dikirim oleh server, termasuk nama domain yang diminta, jenis query, dan sumber query. Anda dapat memperoleh informasi tentang query DNS dalam jaringan, serta mengidentifikasi masalah seperti query abnormal, pembajakan domain, dan keracunan DNS berdasarkan log permintaan DNS. | Log dikumpulkan secara real-time. | |
aegis-log-client | Log peristiwa online dan offline agen Security Center. | Log dikumpulkan secara real-time. |
Jenis log keamanan
Jenis log | __topic__ | Deskripsi | Siklus pengumpulan |
sas-vul-log | Log kerentanan yang terdeteksi dalam sistem atau aplikasi, termasuk nama kerentanan, status kerentanan, dan tindakan penanganan. Anda dapat memperoleh informasi tentang kerentanan, risiko keamanan, dan tren serangan dalam sistem, serta mengambil langkah yang tepat sejak dini berdasarkan log kerentanan. | Log dikumpulkan secara real-time. | |
sas-hc-log | Log hasil pemeriksaan baseline, termasuk tingkat keparahan baseline, jenis baseline, dan tingkat risiko. Anda dapat memperoleh status keamanan baseline dan risiko potensial dalam sistem berdasarkan log baseline. Catatan Log hanya mencatat data item pemeriksaan yang gagal pada pemeriksaan pertama kali dan data item pemeriksaan yang telah lulus pemeriksaan sebelumnya tetapi gagal pada pemeriksaan baru. | ||
sas-security-log | Log peristiwa keamanan dan peringatan yang dihasilkan dalam sistem dan aplikasi, termasuk sumber data peringatan, detail peringatan, dan tingkat peringatan. Anda dapat memperoleh peristiwa keamanan dan ancaman dalam sistem serta mengambil langkah yang tepat sejak dini berdasarkan log peringatan. | ||
sas-cspm-log | Log terkait CSPM, termasuk hasil pemeriksaan CSPM dan operasi yang menambahkan item risiko ke daftar putih. Anda dapat memperoleh informasi tentang kesalahan dan risiko potensial dalam konfigurasi layanan cloud berdasarkan log CSPM. | ||
sas-net-block | Log peristiwa serangan jaringan, termasuk informasi kunci seperti jenis serangan, alamat IP sumber, dan alamat IP tujuan. Anda dapat memperoleh peristiwa keamanan jaringan dan menerapkan langkah respons dan pertahanan yang tepat untuk meningkatkan keamanan dan keandalan jaringan berdasarkan log pertahanan jaringan. | ||
sas-rasp-log | Log serangan pada aplikasi, termasuk informasi kunci seperti jenis serangan, pola serangan, dan alamat IP penyerang. Anda dapat memperoleh informasi tentang peristiwa keamanan yang terjadi dalam aplikasi dan menerapkan langkah respons dan pertahanan yang tepat untuk meningkatkan keamanan dan keandalan aplikasi berdasarkan log perlindungan aplikasi. | ||
sas-filedetect-log | Log deteksi file berbahaya, termasuk informasi file, skenario deteksi, dan hasil deteksi. Anda dapat mengidentifikasi virus umum seperti ransomware dan program penambangan dalam file offline dan objek Object Storage Service (OSS), serta menangani virus tersebut sejak dini untuk mencegah penyebaran dan eksekusi file berbahaya berdasarkan log. |
Penagihan
Jika mode penagihan berdasarkan fitur digunakan untuk Logstore Khusus, Anda tidak dikenakan biaya untuk lalu lintas baca dan tulis, lalu lintas indeks, penyimpanan, jumlah shard, atau jumlah operasi baca dan tulis dalam Logstore Khusus. Anda dikenakan biaya untuk lalu lintas Internet, transformasi data, dan pengiriman data. Biaya tersebut termasuk dalam tagihan Simple Log Service. Untuk informasi lebih lanjut, lihat Item yang dapat ditagih dari mode penagihan berdasarkan fitur.
Jika Logstore Khusus menggunakan mode penagihan berdasarkan data yang dimasukkan, Anda tidak dikenakan biaya untuk lalu lintas baca dan tulis, lalu lintas indeks, penyimpanan, jumlah shard, jumlah operasi baca dan tulis, transformasi data, atau pengiriman data dalam Logstore Khusus. Anda hanya dikenakan biaya untuk lalu lintas baca melalui Internet. Biaya tersebut termasuk dalam tagihan Simple Log Service. Untuk informasi lebih lanjut, lihat Item yang dapat ditagih dari mode penagihan berdasarkan data yang dimasukkan.
Biaya yang dihasilkan untuk fitur analisis log termasuk dalam tagihan Security Center. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
Referensi
Untuk informasi lebih lanjut tentang cara mengaktifkan fitur analisis log Security Center, lihat Aktifkan fitur analisis log.
Untuk informasi lebih lanjut tentang bidang dalam log Security Center, lihat Bidang log.