CTDR 2.0 と 1.0 の違い - - Alibaba Cloud ドキュメントセンター

Cloud Threat Detection and Response (CTDR) 2.0 は、Simple Log Service (SLS) のクラウドネイティブ機能に基づいてログを標準化し、Alibaba Cloud サービス、サードパーティクラウドサービスプロバイダー、およびオンプレミスセキュリティベンダーからのログの迅速な統合を可能にし、ログデータ統合の複雑さを軽減します。

バージョンガイド

2025 年 4 月 3 日以降に CTDR サービスを有効にしたユーザーは、最新の CTDR 2.0 機能を利用できます。

2025 年 4 月 3 日より前に CTDR を有効にしたユーザーは、CTDR 1.0 のみにアクセスできます。Alibaba Cloud は、より良いサービスを楽しめるように、できるだけ早く CTDR 1.0 のアップグレードを計画します。詳細については、「[お知らせ] CTDR アップグレード」をご参照ください。

機能の違い

説明

CTDR 2.0 のセキュリティアラート、セキュリティイベント処理、Security Orchestration and Automation Response (SOAR) などの機能は、CTDR 1.0 と一貫性を保っています。

機能	CTDR 1.0	CTDR 2.0
サービス統合	Alibaba Cloud のクラウドネイティブサービスを中心に設計された CTDR 1.0 は、サービス間の統合アプローチを使用します。他のクラウドサービスプロバイダーおよびオンプレミスセキュリティベンダーからのログをサポートしますが、ログ統合には厳密な構造要件があります。	Integration Center へのアップグレードにより、標準化されたログ統合が可能になります。 Alibaba Cloud クラウドネイティブサービス、他のクラウドサービスプロバイダー、およびオンプレミスセキュリティベンダーからのログをサポートし、「リアルタイム消費」と「スキャンクエリ」の 2 つの標準化されたログ統合方法を備えています。重要 CTDR 1.0 とすでに統合されているログはそのまま残ります。
ルール管理	カスタムルールを設定するためのグラフィカルインターフェイスを備えています。	カスタムルールの SQL 構文にアップグレードされ、脅威検出のバッチ処理を利用し、履歴データ分析を可能にします。プレイブックに基づくカスタムルールをサポートします。
ログ管理	ワイドテーブルストレージ用に単一の Logstore を使用し、すべてのログはプロジェクト (cloud_siem-data-Alibaba Cloud アカウント-リージョン ID) の Logstore (cloud_siem) に保存されます。 Security Center クラウドネイティブ監査ログの直接配信はサポートしていません。ログはサービス統合後に配信する必要があります。配信は、統合されたベンダーとサービスに基づいています。	複数の標準化された Logstore が付属しています。重要アップグレード後、新しいログは V1.0 Logstore (cloud_siem) に書き込まれませんが、履歴ログは引き続きクエリできます。新しいログは、サービス統合設定に基づいて対応する新しい Logstore に転送されます。 Alibaba Cloud Security Center のログは、サービス統合ポリシーとは無関係にログ管理に直接配信されるため、必要に応じて配信を有効または無効にすることができます。 Log Storage Capacity を購入した場合、「リアルタイム消費」で統合されたログは自動的に配信されます。配信スイッチの有効化または無効化はサポートされていません。 CTDR 2.0 は、標準ログフィールドを更新します。フィールドの変更については、「標準ログフィールドの変更」をご参照ください。
マルチアカウントのセキュリティ管理	委任管理者（DA）はグローバルアカウント管理者としてバインドされます。 DA は「グローバルアカウントビュー」と「現在のアカウントビュー」を切り替えることができます。	CTDR 複数アカウント設定は Security Center 複数アカウント管理に統合されました。DA は Security Center を介して設定されます。 CTDR 複数アカウント管理シナリオでは、メンバーアカウントのアラートログは、Integration Center の「複数アカウント統合設定」機能を介して統合されます。ビューの切り替えはサポートされなくなりました。

コンソールの違い

モジュール	CTDR 1.0	CTDR 2.0
ダッシュボード	Logstore 統計。	サポートされていません。
セキュリティアラート	Alert Level: 注意、疑わしい、緊急。	Alert Level (CWPP を除く): 情報、低リスク、中リスク、高リスク、致命的。
セキュリティイベントの処理	Risk Level: 注意、疑わしい、緊急。	Risk Level: 情報、低リスク、中リスク、高リスク、致命的。
応答オーケストレーション	アラートのトリガー alert_level: 注意、疑わしい、緊急。イベントのトリガー threat_level: 注意、疑わしい、緊急。	アラートのトリガー alert_level: 情報、低リスク、中リスク、高リスク、致命的。イベントのトリガー threat_level: 情報、低リスク、中リスク、高リスク、致命的。
ログ管理	Log Type: Alibaba Cloud、Tencent Cloud、Huawei Cloud、およびその他のセキュリティベンダーからのログ。説明 Security Center ログ配信を使用するには、最初にサービスを Security Center と統合する必要があります。	Log Type: Security Center Logs: Security Center によって生成されたログは、デフォルトで直接配信されます。 Standardized Log: Integration Center を介して統合されたログ。説明 Tencent Cloud、Huawei Cloud、およびその他のセキュリティベンダーからのログは、Security Center で管理する前に、標準ログに変換する必要があります。ログ設定: ログ配信スイッチと日付マージ。
ルール管理	事前定義済みルール: 変更できない Flink エンジン SQL 構文を使用します。カスタムルール: Flink エンジン SQL 構文を使用します。 Dataset	事前定義済みルール: 変更できない Flink エンジン SQL 構文を使用します。カスタムルール: SLS SQL 構文を使用します。 Rule Template: 一般的なシナリオのテンプレートを提供して、カスタムルールの作成と理解にかかるコストを削減します。
プロダクトアクセス	Service Provider (固定): Alibaba Cloud Tencent Cloud Huawei Cloud その他のセキュリティベンダー: Chaitin WAF、Fortinet ファイアウォール、Microsoft Active Directory、F5 BIG-IP Local Traffic Manager (LTM)、Sangfor Unified Endpoint Security Management System aES (EDR)、cloudsiem 専用 Simple Log Service (ファイアウォール、WAF アラートログとトラフィックログ)。ログ設定	Service Provider (カスタマイズ可能): Alibaba Cloud Tencent Cloud Huawei Cloud Fortinet Chaitin Sangfor ...... 説明カスタムサービスプロバイダーを追加するには、標準化統合ルール、標準化方法、およびデータソースを手動で構成する必要があります。 Data Source Standardized Rule Observation List (以前のデータセット)
マルチアカウントのセキュリティ管理	委任管理者（DA）はグローバルアカウント管理者としてバインドされます。 DA は「グローバルアカウントビュー」と「現在のアカウントビュー」を切り替えることができます。	CTDR 複数アカウント設定は Security Center 複数アカウント管理に統合されました。DA は Security Center を介して設定されます。 CTDR 複数アカウント管理シナリオでは、メンバーアカウントのアラートログは Integration Center の「複数アカウント統合設定」機能を介して統合されます。ビューの切り替えはサポートされなくなりました。