威脅分析與響應(CTDR)是Security Center內建的威脅檢測與響應模組,提供統一日誌分析、自動化事件響應、開箱即用威脅檢測規則等安全能力。本文介紹如何選擇計費方式並開通服務。
購買選型
需要根據實際情況,選擇合適的購買方式。威脅分析與響應按照已接入的日誌流量計費和使用的儲存容量計費。參考如下:
支援根據需求為日誌接入流量、日誌儲存容量靈活選擇購買方式。例如,使用訂用帳戶模式購買日誌接入流量,使用隨用隨付模式開通日誌管理服務。
購買方式 | 適用情境 | 計費項目說明 |
訂用帳戶模式 |
|
|
隨用隨付模式 |
|
|
購買步驟
訂用帳戶
在左側導覽列,選擇。
在威脅分析與響應頁面,單擊訂用帳戶購買。
在快速購買頁簽,購買方式保持預設選項訂用帳戶,將威脅分析與響應地區的是否選購置為是。
單擊建立服務關聯角色,完成雲產品服務訪問授權,若您建立過角色,可忽略此步驟。
說明執行完授權操作後,Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用該服務關聯角色訪問您其他雲產品中的資源。更多資訊,請參見Security Center服務關聯角色。
完成授權後,設定需要購買的日志接入流量和日誌儲存容量。
重要若您尚未購買任意版本的Security Center,請先根據您的防護情境選擇版本。關於Security Center版本選擇和其他服務選購說明,請參見購買Security Center。
如果您已開通威脅分析與響應付費服務,訂用帳戶購買項中將不顯示日誌接入流量。
如果您已開通日誌管理隨用隨付服務,訂用帳戶購買項中將不顯示日誌儲存容量。
您可以參考下文設定威脅分析與響應的購買項:
購買項
計費說明
日誌接入流量
選擇每天需接入威脅分析與響應進行分析的日誌流量,單位為GB/天。採用階梯到達計費,起售量100 GB/天,購買步長為100 GB/天。具體計費價格如下(X為一天內接入的流量):
X=100 GB:0.45美元/GB/天
200 GB=<X<9,999,999,999 GB:0.42美元/GB/天
您可以通過以下方式估算需購買的日誌接入流量:
根據已開通的Log Service容量評估:
日誌接入流量(GB/天)=日誌儲存容量/TTL
日誌儲存容量為需接入威脅分析與響應的日誌源已使用的日誌儲存空間。
TTL為日誌儲存時間。
根據日誌接入數量EPS評估:
日誌接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)
EPS全稱為Event Per Second,一天內接入威脅分析的原始日誌的數量。
SIZE為每條日誌的大小,一般範圍為3~7 KB。
日誌儲存容量
選擇需使用的日誌儲存容量,1,000 GB起售,購買步長為1,000 GB。具體價格為100美元/1000GB/月。
推薦為每台伺服器配置120 GB日誌儲存容量,或按照Security Center日誌分析儲存容量的3倍進行配置。更多資訊,請參見日誌管理。
根據業務需求,選擇是否開啟接入策略。
仔細閱讀Security Center產品相關協議後,單擊立即下單。開通後享受的功能如下:
CTDR 功能模組
CTDR 1.0
CTDR 2.0
僅購買日志接入流量
購買日志接入流量
和日誌儲存容量
僅購買日志接入流量
僅購買日誌儲存容量
購買日志接入流量
和日誌儲存容量
儀表板
安全事件處置
安全警示
說明其中自訂分析警示需購買日誌管理後付費功能,才能完全支援。
處置中心
響應編排
日誌管理
Security Center日誌:
標準化日誌:僅支援查詢標準化方式為“掃描查詢”的日誌。
說明若同時開通了日誌管理後付費功能,則支援全部服務。
Security Center日誌:
標準化日誌:
规则管理
預定義:
自訂:
預定義:
自訂:僅支援檢測標準化方式為“掃描查詢”的日誌。
說明若同時開通日誌管理後付費功能,則支援全部服務。
接入中心/產品接入
隨用隨付
如果您已通過訂用帳戶方式購買日誌接入流量,不支援再開通威脅分析與響應隨用隨付。
在左側導覽列,選擇。
在威脅分析與響應頁面,單擊開通隨用隨付。
在正在開通Security Center隨用隨付對話方塊,仔細閱讀計費規則說明。開通隨用隨付後,按照每天產品接入的日誌流量進行階梯累計計費,最終每天的賬單為各用量區間產生的費用之和。計費樣本說明如下:
說明威脅分析與響應隨用隨付的最小計費單位為GB,不足1 GB的部分,按照1 GB計費。
日誌接入流量區間(GB/天)
價格(美元/GB)
費用計算公式(Y為一天內接入的流量,單位為GB)
1~10
2.2
2.2×Y(美元)
11~50
1.6
1.6×(Y-10)+2.2×10(美元)
51~100
1.4
1.4×(Y-50)+1.6×40+2.2×10(美元)
>100
1.2
1.2×(Y-100)+1.4×50+1.6×40+2.2×10(美元)
根據業務需求,選擇是否勾選開啟日誌接入策略。
單擊立即開通並授權。
說明執行完該操作後,Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用該服務關聯角色訪問您其他雲產品中的資源。更多資訊,請參見Security Center服務關聯角色。
開通後享受的功能如下:
CTDR 功能模組
CTDR 1.0
CTDR 2.0
儀表板
安全事件處置
安全警示
處置中心
響應編排
日誌管理
Security Center日誌:
標準化日誌:僅支援查詢標準化方式為“掃描查詢”的日誌。
說明若同時開通了日誌管理後付費功能,則支援全部服務。
规则管理
預定義:
自訂:
預定義:
自訂:僅支援檢測標準化方式為“掃描查詢”的日誌。
說明若同時開通日誌管理後付費功能,則支援全部服務。
接入中心/產品接入
產品接入
開通CTDR後,需要完成產品日誌的接入,實現跨資源警示和日誌資料的統一監管與分析,提升警示分析和處理效率。具體操作請參見產品接入。
退訂說明
若不再需要CTDR服務,可選擇關閉功能。
附錄
其他購買入口
還可以在Security Center購買頁或控制台總覽頁,購買及開通威脅分析與響應功能。關於Security Center版本選擇和其他服務選購說明,請參見購買Security Center。
訂用帳戶
通過Security Center購買頁購買。
隨用隨付
Security Center購買頁
總覽頁
推薦日誌接入策略
在使用了推薦日誌接入策略後,無需您手動設定,CTDR會自動接入當前阿里雲帳號的Security Center、Web Application Firewall、Cloud Firewall和Action Trail產品的日誌。接入的資料來源及支援的安全能力如下表所示。
如果您的Security Center的版本為免費版或僅採購增值服務版,系統將不會接入Action Trail事件記錄。
序號 | 阿里雲產品 | 資料來源名稱 | 標準化規則名稱 | 標準化方式 | 標準化分類/結構 | 支援的安全能力 |
1 | Security Center | DNS請求日誌 | 主機DNS請求日誌標準化規則 | 掃描查詢 | 主機日誌-進程請求DNS日誌 |
|
2 | 基準日誌 | 基準日誌標準化規則 | 掃描查詢 | 安全日誌-主機基準日誌 |
| |
3 | 登入流水日誌 | 登入流水日誌標準化規則 | 掃描查詢 | 登入日誌-主機登入日誌 |
| |
4 | 網路連接日誌 | 網路連接日誌標準化規則 | 掃描查詢 | 主機日誌-進程網路外聯日誌 |
| |
5 | 進程開機記錄 | 進程開機記錄標準化規則 | 掃描查詢 | 主機日誌-進程開機記錄 |
| |
6 | 安全警示日誌 | 安全警示日誌標準化規則 | 即時消費 | 安全日誌-其他警示日誌 | 預定義劇本 | |
7 | 漏洞日誌 | 漏洞日誌標準化規則 | 掃描查詢 | 安全日誌-漏洞日誌 |
| |
8 | Web Application Firewall | WAF警示日誌 | WAF警示日誌標準化規則 | 即時消費 | 安全日誌-Web Application Firewall警示日誌 |
|
9 | WAF全量/攔截/攔截和觀察日誌 | WAF全量/攔截/攔截和觀察日誌標準化規則 | 即時消費 | 部落格-HTTP日誌 |
| |
10 | Cloud Firewall | Cloud Firewall警示日誌 | Cloud Firewall警示日誌標準化規則 | 即時消費 | 安全日誌-防火牆警示日誌 |
|
11 | Action Trail | Action Trail事件記錄 | Action Trail事件記錄標準化規則 | 即時消費 | 審計日誌-雲平台Action Trail日誌 |
|
相關文檔
若您想要瞭解Security Center版本和增值服務選購說明,請參見購買Security Center。
若您想瞭解CTDR架構資訊,請參見威脅分析與響應版本對比。
開通CTDR服務後,您需要接入產品日誌,請參見CTDR2.0產品接入。