配置資料來源 - Security Center

產品日誌接入策略需要綁定資料來源，威脅分析與響應CTDR（Cloud Threat Detection and Response）目前僅接收阿里雲Log Service（SLS）的日誌，支援自訂日誌庫，也支援CTDR專屬日誌庫。

前提條件

資料來源類型說明

資料來源類型名稱	推薦使用情境	說明	支援的操作
自訂Log Service	日誌已接入SLS。	由使用者或阿里雲其他產品在Log Service（SLS）建立的專案日誌庫，該資料來源產生的費用與CTDR無關。CTDR會為阿里雲產品初始化一些自訂Log Service資料來源，初始化規則如下：若產品側有標準Logstore命名規範，CTDR會自動完成初始化，如Security Center的漏洞日誌、基準日誌，WAF的流日誌等。警告若對應的產品未開通Log Service，初始化的資料來源仍然不可用。請前往對應產品的控制台開通Log Service。若產品側無標準Logstore命名規範，則需要使用者在編輯頁面手動錄入，如Virtual Private Cloud 、Action Trail等。跨帳號接入成員帳號日誌後，會自動建立一個命名規範為“接入模板名稱_地區ID_成員帳號UID”的資料來源，跨帳號接入資訊請參見多帳號統一管理。	新增查看修改刪除
CTDR专属采集通道	日誌尚未接入SLS。	由CTDR服務在Log Service（SLS）建立的，為CTDR專屬專案日誌庫，該資料來源產生的費用由CTDR服務承擔。專案命名規範為aliyun-cloudsiem-channel-阿里雲帳號ID-cn-地區ID，日誌庫名稱支援使用者自訂。說明若同地區下已經建立CTDR專屬專案，系統將不會重複建立。新的日誌庫會自動追加至CTDR專案下，同時不影響已存在的日誌庫。	新增查看修改刪除
預定義Log Service	阿里雲產品直接投遞的日誌。	阿里雲產品會將部分日誌直接提供給CTDR，無需配置。如阿里雲雲安全產品的警示日誌：WAF的警示日誌、Cloud Firewall警示日誌等。	查看

建立資料來源：日誌已接入Log Service（SLS）

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇威脅分析與響應 > 接入中心。

在資料來源頁簽內，單擊左上方创建数据源。您可參考以下資訊，進行配置。

配置項名稱	配置項說明
資料來源名稱	自訂。
数据源类型	若您的產品日誌已經接入阿里雲SLSLog Service，推薦選擇自訂Log Service，避免重複對接，降低成本。重要若您的產品尚未接入阿里雲SLSLog Service，但仍想選擇此方式，請您先前往Log Service控制台，建立對應的日誌庫，然後將日誌接入該日誌庫。
地域（Region））	日誌庫所在儲存地區。
项目（Project）	自訂Log Service：同步該帳號下SLS所有的專案，選擇目標專案。
日誌庫（Logstore）	自訂Log Service：同步项目（Project）下的所有日誌庫，選擇目標日誌庫。

單擊建立頁左下角的確定按鈕，建立完畢可在資料來源列表中查看建立的資料。

建立資料來源：日誌未接入Log Service（SLS）

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇威脅分析與響應 > 接入中心。

在資料來源頁簽內，單擊左上方创建数据源。不同的資料來源類型配置各不相同，您可參考以下資訊，進行配置。

重要

資料來源類型不可修改，請謹慎選擇。

自訂Log Service

警告

若您的產品尚未接入阿里雲SLSLog Service，但仍想自訂Log Service類型，請您先前往Log Service控制台，建立對應的日誌庫，然後將日誌接入該日誌庫。

配置項名稱	配置項說明
資料來源名稱	自訂。
数据源类型	自訂Log Service
地域（Region））	日誌庫所在儲存地區。
项目（Project）	自訂Log Service：同步該帳號下SLS所有的專案，選擇目標專案。
日誌庫（Logstore）	自訂Log Service：同步项目（Project）下的所有日誌庫，選擇目標日誌庫。

CTDR專屬採集通道

配置項名稱	配置項說明
資料來源名稱	自訂。
数据源类型	選擇CTDR专属采集通道重要若您有多個同地區產品並且均選擇此方式，則這些產品日誌會儲存在一個專案Project（aliyun-cloudsiem-channel-帳號UID-cn-地區ID）下。
地域（Region））	日誌庫所在儲存地區。
项目（Project）	CTDR专属采集通道：固定專案名稱aliyun-cloudsiem-channel-帳號UID-cn-地區ID，不可更改。
日誌庫（Logstore）	CTDR专属采集通道：需要手動填寫日誌庫名稱，具體操作請參見建立日誌庫。

建立日誌庫

若您選擇的是日誌庫類型為CTDR专属采集通道，需要先在SLS中完成專案及日誌庫建立，操作步驟入下：

單擊建立Logstore後填寫日誌庫名稱，日誌庫名稱僅支援小寫字母、數字和連字號（-）和底線（_）。
在Logstore建立提示框中，確認資訊後單擊確定。
建立完畢後，您可在Log Service控制台，查看建立Project（aliyun-cloudsiem-channel-帳號UID-cn-地區ID）和日誌庫。

重要

若已經建立CTDR專屬專案Project，系統將不會重複建立。新的日誌庫會自動追加至CTDR專案下，同時不影響已存在的日誌庫。
若日誌庫已經建立，系統將不會重複建立，新的日誌資料會自動追加至該日誌庫下。若您有日誌資料分類儲存需求，請謹慎設定。

單擊建立頁左下角的確定按鈕，建立完畢可在資料來源列表中查看建立的資料。

編輯資料來源

說明

若資料來源類型為預定義Log Service，則不支援修改。
若資料來源已綁定接入策略，且接入策略已開啟，則不允許修改。若您想要修改請先關閉接入策略，具體操作請參見資料來源為什麼不可修改？。
跨帳號接入成員帳號日誌後，自動建立的資料來源不支援修改，若您想要修改需要取消接入配置，具體操作請參見取消接入。

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇威脅分析與響應 > 接入中心。

在資料來源頁簽內，找到需要編輯的資料來源，單擊操作列的編輯。您可參考以下資訊，進行配置。

配置項名稱	配置項說明
資料來源名稱	自訂
地域（Region））	日誌庫所在儲存地區。
项目（Project）	自訂Log Service：同步該帳號下SLS所有的專案。 CTDR专属采集通道：固定專案名稱aliyun-cloudsiem-channel-帳號UID-cn-地區ID，不可更改。
日誌庫（Logstore）	自訂Log Service：同步项目（Project）下的所有日誌庫。 CTDR专属采集通道：需要手動填寫日誌庫名稱，具體操作請參見建立日誌庫。

單擊編輯頁左下角的確定按鈕。

刪除資料來源

重要

資料來源類型為預定義Log Service則不可刪除。
已綁定接入策略（包含跨帳號接入策略）的資料來源不可刪除。

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇威脅分析與響應 > 接入中心。
在資料來源頁簽內，找到需要刪除的資料來源，單擊操作列的刪除按鈕。

Security Center：配置資料來源