：威脅分析與響應1.0和2.0差異

產品功能

CTDR 1.0

CTDR 2.0

產品接入

• 圍繞阿里雲雲原生產品接入設計，服務對服務接入方案。

• 支援第三方雲廠商、IDC下安全產生日誌接入，對接入日誌有嚴格的結構化要求。

• 升級為接入中心，通過配置標準化規則實現日誌通用化接入，包括阿里雲雲原生產品、第三方雲和安全廠商產品。

• 提供“即時消費”和“掃描查詢”兩種日誌標準化接入方式。

規則管理

圖形互動配置自訂規則

• 升級為SQL文法自訂規則，通過批處理方式進行威脅檢測，並且可對歷史資料進行威脅分析。

• 支援劇本自訂規則。

日誌管理

• 單Logstore寬表格儲存體方式，全部日誌儲存在專案（cloud_siem-data-阿里雲帳號-RegionID）日誌庫（cloud_siem）中。

• 不支援Security Center原生日誌的投遞，必須通過產品接入後進行投遞。

• 基於廠商、產品接入維度控制投遞開關。

• 存在多個標準化結構Logstore。

  重要

  升級後增量日誌不再寫入原V1.0專案日誌庫（cloud_siem）中，但仍可查詢歷史日誌，增量日誌會根據產品接入原則設定寫入對應新的日誌庫中。

• Security Center原生日誌，從業務中心側直接投遞到日誌管理中，不依賴產品接入策略，支援投遞開關的啟停操作。

• “即時消費”接入的日誌若購買了日志存储容量會自動投遞，不支援投遞開關的啟停操作。

• CTDR2.0更新了日誌標準化欄位，欄位變化請參見日誌標準化欄位變更。

多帳號管理

• DA綁定為全域帳號管理員

• DA帳號可切換“全域帳號視圖”和“當前帳號視圖”

• 威脅分析多帳號管理設定融合入Security Center多帳號管理設定，通過Security Center多帳號管理統一設定DA委派管理員。

• CTDR的多帳號管理情境，通過接入中心“多帳號接入設定”功能實現成員帳號警示日誌的接入，不再支援視圖切換。

控台功能

CTDR 1.0

CTDR 2.0

儀表板

Logstore日誌統計

暫時不支援

安全警示

警示等級：提醒、可疑、緊急。

警示等級（除CWPP外）：資訊、低危、中危、高危、嚴重。

安全事件處置

事件等級：提醒、可疑、緊急。

事件等級：資訊、低危、中危、高危、嚴重。

響應編排

• 警示觸發

  alert_level：提醒、可疑、緊急。

• 事件觸發

  threat_level：提醒、可疑、緊急。

• 警示觸發

  alert_level：資訊、低危、中危、高危、嚴重。

• 事件觸發

  threat_level：資訊、低危、中危、高危、嚴重。

日誌管理

日誌分類：阿里雲、騰訊雲、華為雲、安全廠商。

日誌種類：

• Security Center日誌：Security Center產生的日誌，預設直接投遞，無需通過產品接入設定。

• 標準化日誌：接入中心產品接入的日誌。

  說明

  騰訊雲、華為雲、其他安全廠商都時通過標準化日誌接入。

日誌管理設定：投遞開關與日期合并。

規則管理

• 預定義規則：Flink引擎的SQL文法，不可修改。

• 自訂規則：Flink引擎的SQL文法。

• 資料集

• 預定義規則：Flink引擎的SQL文法，不可修改。

• 自訂規則：SLS的SQL文法。

• 規則模板：提供常用情境的模板，降低自訂規則建立及理解成本。

接入中心/產品接入

• 廠商類型（固定類型，不可新增）：

  • 阿里雲

  • 騰訊雲

  • 華為雲

  • 其他安全廠商：長亭WAF、飛塔防火牆、微軟Active Directory、F5 BIG-IP本地流量管理員(LTM)、）深信服統一端點安全管理系統aES(EDR)，cloudsiem專用Log ServiceSLS（防火牆、WAF的警示日誌和流量日誌）。

• 日誌管理設定

• 廠商類型（可自訂新增）：

  • 阿里雲

  • 騰訊雲

  • 華為雲

  • 飛塔

  • 長亭

  • 深信服

  • ......

• 資料來源

• 標準化規則

• 觀察列表（原資料集）

多帳號管理

• DA綁定為全域帳號管理員

• DA帳號可切換“全域帳號視圖”和“當前帳號視圖”

• 威脅分析多帳號管理設定融合入Security Center多帳號管理設定，通過Security Center多帳號管理統一設定DA委派管理員，不再需要為CTDR模組單獨進行威脅分析多帳號管理設定。

• CTDR的多帳號管理情境，通過接入中心“多帳號接入設定”功能實現成員帳號警示日誌的接入，不再支援視圖切換。