CTDR の購入と有効化 - Security Center - Alibaba Cloud ドキュメントセンター

Cloud Threat Detection and Response (CTDR) は、サブスクリプションまたは従量課金制の課金方法を通じて利用できます。このトピックでは、CTDR を購入して有効化する方法について説明します。

購入方法の比較

CTDR の課金は、取り込まれたログトラフィックと使用されたストレージ容量に基づいています。次の表は、2 つの課金方法を比較したものです。

説明

要件に基づいて、ログの取り込みトラフィックとログのストレージ容量に対して異なる課金方法を柔軟に選択できます。たとえば、ログの取り込みトラフィックのサブスクリプションを購入し、ログ管理サービスには従量課金制を使用できます。

購入方法	シナリオ	課金の説明
サブスクリプション	リソースの使用期間を推定できます。ビジネスシナリオは比較的安定しています。リソースの長期使用が必要です。	ログの取り込みトラフィック: 段階的価格設定が使用されます。最小購入量は 1 日あたり 100 GB で、購入の増分は 1 日あたり 100 GB です。ログストレージ容量: 最小購入量は 1,000 GB で、購入の増分は 1,000 GB です。
従量課金	リソースの使用期間を推定できません。サービストラフィックが大きく変動します。	CTDR: 実際の 1 日のログの取り込みトラフィックに基づいて段階的価格設定が使用されます。ログ管理: 毎日の累積ストレージ使用量に基づいて課金されます。

手順

サブスクリプション購入

Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、レスポンス検出 > 脅威の分析と応答 を選択します。
脅威の分析と応答 ページで、Activate Subscription をクリックします。
Quick Purchase タブで、購入方法 をデフォルト値の サブスクリプション に設定したまま、脅威の分析と応答 セクションで、購入するかどうか を Yes に設定します。
Create Service-linked Role をクリックして、クラウドサービスへのアクセスを承認します。ロールがすでに存在する場合は、この手順をスキップできます。
説明
承認を付与すると、Security Center は自動的に AliyunServiceRoleForSasCloudSiem サービスリンクロールを作成します。このロールにより、CTDR は他のクラウドサービスのリソースにアクセスできます。詳細については、「Security Center のサービスリンクロール」をご参照ください。

承認が完了したら、購入する ログアクセストラフィック と Log Storage Capacity を設定します。

重要

Security Center エディションを購入していない場合は、保護要件に基づいて選択する必要があります。 Security Center エディションの選択方法と他のサービスの購入方法の詳細については、「Security Center の購入」をご参照ください。
有料の CTDR サービスを有効にしている場合、ログ取り込みトラフィックパラメーターは表示されません。
従量課金制のログ管理サービスを有効にしている場合、ログストレージ容量パラメーターは表示されません。

脅威分析および対応の購入オプションの設定方法について、以下に説明します。

購入項目	請求の説明

ログ取り込みトラフィック	分析のために CTDR に取り込む必要がある 1 日あたりのログトラフィックを GB/日で選択します。段階的な価格設定が使用されます。最小購入量は 1 日あたり 100 GB で、購入の増分は 1 日あたり 100 GB です。具体的な価格は次のとおりです（X は 1 日に取り込まれるトラフィックの量を表します）。 X = 100 GB：0.45 米ドル/GB/日 200 GB <= X < 9,999,999,999 GB：0.42 米ドル/GB/日次のいずれかの方法を使用して、ログ取り込みトラフィックパラメーターの値を評価できます。購入したログストレージ容量に基づいて値を評価する：ログ取り込みトラフィック (GB/日) = ログストレージ容量/TTL ログストレージ容量は、CTDR 機能に追加するログが使用するストレージ容量を指定します。有効期間 (TTL) は、ログの保存期間を指定します。 CTDR 機能に追加するログの 1 秒あたりのイベント数 (EPS) に基づいて値を評価する：ログ取り込みトラフィック (GB/日) = EPS × 86400 秒 × サイズ/(1024 × 1024) EPS は、1 日以内に CTDR 機能に追加される生のログの数を指定します。サイズは各ログのサイズを指定します。ほとんどの場合、サイズは 3 KB から 7 KB の範囲です。
ログストレージ容量	使用するログストレージ容量を選択します。最小購入量は 1,000 GB で、購入の増分は 1,000 GB です。具体的な価格は 0.1 米ドル/GB/月です。サーバーごとに 120 GB のログストレージ容量を設定するか、Security Center ログ分析のログストレージ容量の 3 倍を設定することをお勧めします。詳細については、「ログ管理」をご参照ください。

ビジネス要件に基づいて、Access Policy を有効または無効にします。
- この機能を有効にすると、CTDR は Alibaba Cloud アカウントに関連付けられている Security Center、Web Application Firewall、Cloud Firewall、および ActionTrail などのソースから自動的にデータを収集します。詳細については、「推奨されるログアクセスポリシー」をご参照ください。
- この機能を有効にしない場合、事前定義されたアクセス設定は構成されません。購入が完了したら、取り込む製品ログをカスタマイズできます。詳細については、「製品統合」をご参照ください。

[Security Center サービス契約] を読んで同意し、[今すぐ購入] をクリックします。サービスを有効にすると、次の表に示す機能を使用できます。

CTDR 機能モジュール	CTDR 1.0		CTDR 2.0
CTDR 機能モジュール	ログ取り込みトラフィックのみを購入	ログ取り込みトラフィックを購入およびログストレージ容量	ログ取り込みトラフィックのみを購入	ログストレージ容量のみを購入	ログ取り込みトラフィックを購入およびログストレージ容量
ダッシュボード	❌	✅	❌	❌	❌
セキュリティイベント処理	✅	✅	✅	❌	✅
セキュリティアラート	✅	✅	✅	❌	✅
ログ管理	❌	✅	Security Center ログ ❌ 標準ログ ✅ 説明スキャンおよびクエリメソッドを使用して取り込まれた標準ログのみをクエリできます。	Security Center ログ ✅ 標準ログ ❌	✅
処理センター	✅	✅	✅	❌	✅
レスポンスオーケストレーション	✅	✅	✅	❌	✅
ルール管理	事前定義 ✅ カスタム ❌	✅	✅ 説明カスタムルールは、スキャンおよびクエリメソッドを使用して標準化されたログのみを検出できます。	❌	✅
統合センター/製品統合	✅	✅	✅	❌	✅

従量課金の有効化

重要

ログ取り込みトラフィックのサブスクリプションを購入した場合、CTDR に従量課金方式を使用することはできません。

Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、レスポンス検出 > 脅威の分析と応答 を選択します。
脅威の分析と応答 ページで、Activate Pay-as-you-go をクリックします。

[Security Center 従量課金の有効化] ダイアログボックスで、課金ルールを確認します。従量課金の課金方法を有効にすると、料金は、1 日に取り込まれるログデータの量に基づく段階的価格設定モデルを使用して計算されます。日次請求額は、各使用量階層の料金の合計です。次の表に課金の例を示します。

説明

従量課金制 CTDR の最小課金単位は GB です。データ量が 1 GB 未満の場合は、課金のために 1 GB に切り上げられます。

追加するログデータ (GB/日)	価格 (USD/GB)	請求式 (Y は 1 日あたりに追加されるデータ量 (GB 単位))
1 ～ 10	2.2	2.2 × Y (USD)
11 ～ 50	1.6	1.6 × (Y - 10) + 2.2 × 10 (USD)
51 ～ 100	1.4	1.4 × (Y - 50) + 1.6 × 40 + 2.2 × 10 (USD)
>100	1.2	1.2 × (Y - 100) + 1.4 × 50 + 1.6 × 40 + 2.2 × 10 (USD)

[ログアクセスポリシーを有効にする] を必要に応じて選択または選択解除します。
- [ログアクセスポリシーを有効にする] を選択すると、CTDR の有効化後に Security Center、Web Application Firewall、Cloud Firewall、および ActionTrail などのソースからのデータが Alibaba Cloud アカウントから自動的に収集されます。詳細については、「推奨されるログアクセスポリシー」をご参照ください。
  重要
  推奨されるログアクセスポリシーを有効にすると、システムは指定されたログタイプを CTDR に自動的に追加します。Security Center は、実際に取り込まれたログデータの量に基づいて翌日請求書を生成します。
- [ログアクセスポリシーを有効にする] を選択しない場合は、追加するプロダクトログを選択できます。詳細については、「プロダクトの統合」をご参照ください。

Activate and Authorize ボタンをクリックします。

説明

操作が完了すると、Security Center によって AliyunServiceRoleForSasCloudSiem サービスリンクロールが自動的に作成されます。このロールにより、CTDR は他のクラウドサービスのリソースにアクセスできます。詳細については、「Security Center のサービスリンクロール」をご参照ください。

サービスを有効化すると、次の表に記載されている機能を使用できます。

CTDR 機能モジュール	CTDR 1.0	CTDR 2.0
ダッシュボード	❌	❌
セキュリティイベント処理	✅	✅
セキュリティアラート	✅	✅
ログ管理	❌	✅ 説明スキャンおよびクエリメソッドを使用して取り込まれた標準化されたログのみをクエリできます。
対処センター	✅	✅
レスポンスオーケストレーション	✅	✅
ルール管理	事前定義済み ✅ カスタム ❌	✅ 説明カスタムルールは、スキャンおよびクエリメソッドを使用して標準化されたログのみを検出できます。
統合センター/製品統合	✅	✅

次のステップ

CTDR を有効にした後、リソース全体でアラートとログデータの統合監視と分析を有効にするために、プロダクトログを追加する必要があります。これにより、アラート分析と応答の効率が向上します。詳細については、「プロダクト統合」をご参照ください。

サブスクリプション解除手順

CTDR サービスが不要になった場合は、サブスクリプションを解除できます。

サブスクリプション課金方法を使用している場合: 概要ページの Subscription セクションで、設定の変更 > Downgrade をクリックします。 [ダウングレード] ページで、[注文ダウングレード] タブをクリックします。 [CTDR] セクションで、[購入] を [いいえ] に設定します。詳細については、「ダウングレード」をご参照ください。
重要
払い戻し額は、[ダウングレード] ページに表示される金額によって異なります。払い戻し後の資金の流れについては、「サブスクリプション解除後の資金の流れ」をご参照ください。
従量課金方法を使用している場合は、Security Center コンソールの [概要] ページの [従量課金サービス] セクションで、[CTDR] または [ログ管理] のスイッチをオフにします。
重要
- スイッチをオフにすると、新しい料金は発生しません。ユーザーが配信したログを除くデータと構成は、15 日後にクリアされます。これには、セキュリティアラート、セキュリティイベント、およびアクセス構成が含まれます。
- [ログ管理] のスイッチをオフにすると、ログ配信は自動的に無効になり、対応する Logstore が削除され、削除されたログデータは復元できません。慎重に操作することをお勧めします。

追加情報

購入エントリポイント

Security Center 購入ページまたはコンソールの [概要] ページで CTDR を購入して有効化することもできます。Security Center エディションの選択方法とその他の付加価値サービスの購入方法の詳細については、「Security Center の購入」をご参照ください。

サブスクリプション

Security Center 購入ページで購入します。

従量課金制

Security Center 購入ページ
概要ページ

推奨ログアクセスポリシー

推奨ログアクセスポリシーを使用する場合、手動構成は不要です。 CTDR は、Alibaba Cloud アカウントに関連付けられている Security Center、Web Application Firewall、Cloud Firewall、および ActionTrail からログを自動的に収集します。次の表は、収集されたデータソースと、サポートされているセキュリティ機能について説明しています。

重要

Security Center の Free エディションを使用している場合、または付加価値サービスのみを購入している場合、システムは ActionTrail イベントログを収集しません。

序数	Alibaba Cloud プロダクト	データソース名	標準化ルール名	標準化メソッド	標準化分類/構造	サポートされているセキュリティ機能
1	Security Center	DNS リクエストログ	ホスト DNS リクエストログ標準化ルール	スキャンおよびクエリ	ホストログ - プロセス DNS リクエストログ	事前定義された分析ルール事前定義されたプレイブック
2		ベースラインログ	ベースラインログ標準化ルール	スキャンおよびクエリ	セキュリティログ - ホストベースラインログ	イベントの調査と追跡事前定義されたプレイブック
3		ログインイベントログ	ログインイベントログ標準化ルール	スキャンおよびクエリ	ログインログ - ホストログインログ	カスタム分析ルールイベントの調査と追跡事前定義されたプレイブック
4		ネットワーク接続ログ	ネットワーク接続ログ標準化ルール	スキャンおよびクエリ	ホストログ - プロセス発信ネットワーク接続ログ	事前定義された分析ルール事前定義されたプレイブック
5		プロセス起動ログ	プロセス起動ログ標準化ルール	スキャンおよびクエリ	ホストログ - プロセス起動ログ	事前定義された分析ルールカスタム分析ルールイベントの調査と追跡事前定義されたプレイブック
6		セキュリティアラートログ	セキュリティアラートログ標準化ルール	リアルタイム消費	セキュリティログ - その他のアラートログ	事前定義されたプレイブック
7		脆弱性ログ	脆弱性ログ標準化ルール	スキャンおよびクエリ	セキュリティログ - 脆弱性ログ	イベントの調査と追跡事前定義されたプレイブック
8	Web Application Firewall	WAF アラートログ	WAF アラートログ標準化ルール	リアルタイム消費	セキュリティログ - Web Application Firewall アラートログ	事前定義された分析ルールカスタム分析ルール事前定義されたプレイブック
9	Web Application Firewall	WAF 全て/ブロック/ブロックおよび監視ログ	WAF 全て/ブロック/ブロックおよび監視ログ標準化ルール	リアルタイム消費	ネットワークログ - HTTP ログ	事前定義された分析ルールカスタム分析ルールイベントの調査と追跡事前定義されたプレイブック
10	Cloud Firewall	Cloud Firewall アラートログ	Cloud Firewall アラートログ標準化ルール	リアルタイム消費	セキュリティログ - ファイアウォールアラートログ	事前定義された分析ルールカスタム分析ルール事前定義されたプレイブック
11	ActionTrail	ActionTrail イベントログ	ActionTrail イベントログ標準化ルール	リアルタイム消費	監査ログ - Inner-ActionTrail ログ	カスタム分析ルールイベントの調査と追跡

参照資料

Security Center エディションの選択方法と付加価値サービスの購入方法の詳細については、「Security Center の購入」をご参照ください。
CTDR アーキテクチャの詳細については、「CTDR エディションの比較」をご参照ください。
CTDR サービスを有効にした後、プロダクトログを追加する必要があります。詳細については、「CTDR 2.0 プロダクト統合」をご参照ください。