购买及开通Agentic SOC，开通Agentic SOC - 云安全中心

Agentic SOC是云安全中心内置的威胁检测与响应模块，提供统一日志分析、自动化事件响应、开箱即用威胁检测规则等安全能力。本文介绍如何选择计费方式并开通服务。

购买选型

需要根据实际情况，选择合适的购买方式。Agentic SOC按照已接入的日志流量计费和使用的存储容量计费。参考如下：

说明

支持根据需求为日志接入流量、日志存储容量灵活选择购买方式。例如，使用包年包月模式购买日志接入流量，使用按量付费模式开通日志管理服务。

购买方式	适用场景	计费项说明
包年包月模式	可预估资源使用周期。具有较稳定的业务场景。需要长期使用资源。	日志接入流量：采用阶梯到达计费，起售量100 GB/天，购买步长为100 GB/天。日志存储容量：1,000 GB起售，购买步长为1,000 GB。
按量付费模式	不可预估资源使用周期。业务流量波动较大。	Agentic SOC：按照每天实际日志接入流量进行阶梯累计计费，最低计费步长1G。日志管理：按每天使用的日累计存储量计费。最低计费步长1TB。

购买步骤

包年包月

登录云安全中心控制台，在左侧导航栏，选择检测响应 > Agentic SOC。
在Agentic SOC页面，单击包年包月购买，在快速购买页签，购买方式保持默认选项包年包月。
单击创建服务关联角色，完成云产品服务访问授权，若您创建过角色，可忽略此步骤。
说明
执行完授权操作后，云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem，以便Agentic SOC使用该服务关联角色访问您其他云产品中的资源。更多信息，请参见云安全中心服务关联角色。
选择需要购买的服务。
- Agentic SOC：支持跨云、跨账号、跨产品（例如Web应用防火墙、云防火墙、专有网络VPC等）日志的统一接入，对安全告警、事件进行检测与响应处置闭环，帮助实现安全运营提效、满足等保合规日志审计需求。
- 安全运营 Agent：基于 Agentic SOC 提供的高阶智能增值服务，以 Agentic AI 为核心引擎，深度融合阿里云原生安全数据与基础设施，利用Agent的自主感知-推理-执行能力，对安全事件进行自主研判，帮助快速实现安全事件响应。
根据选择购买的服务，设置购买数量。
- Agentic SOC：按日志接入流量与日志存储容量独立计费，可根据实际需求分别选购。
- 安全运营 Agent：除购买 Agentic SOC的基础上，额外需要购买智能分析用量和托管实例数。
日志接入流量
- 定义：选择每天需接入Agentic SOC进行分析的日志流量，单位为GB/天。
- 购买量说明：可以通过以下方式估算需购买的日志接入流量：
  - 根据已开通的日志服务容量评估：
    日志接入流量（GB/天）=日志存储容量/TTL
    日志存储容量为需接入Agentic SOC的日志源已使用的日志存储空间。
    TTL为日志保存时间。
  - 根据日志接入数量EPS评估：
    日志接入流量（GB/天）=EPS*86400s*SIZE/(1024*1024)
    EPS全称为Event Per Second，指一天内接入威胁分析的原始日志的数量。
    SIZE为每条日志的大小，一般范围为3~7 KB。
- 计费说明：采用阶梯到达计费，起售量100 GB/天，购买步长为100 GB/天。具体计费价格如下（X为一天内接入的流量）：
  X=100 GB：0.45美元/GB/天。
  200 GB=<X<9,999,999,999 GB：0.42美元/GB/天。
日志存储容量
- 定义：选择每天需Agentic SOC存储的日志容量。
- 购买量说明：建议为每台服务器配置120 GB日志存储容量，或按照云安全中心日志分析存储容量的3倍进行配置。更多信息，请参见日志管理。
- 计费说明：1,000 GB起售，购买步长为1,000 GB。具体价格为100美元/1000GB/月。
智能分析用量
- 定义：仅购买安全运营 Agent时需配置此项，用于对风险事件进行告警研判、事件调查、溯源、归因、输出安全报告所消耗的分析用量。
- 购买量说明：不支持自动填写，需与日志接入流量保持一致。
- 计费说明：
  - 起售量100 GB/天，购买数量不支持自动填写，需与日志接入流量保持一致。
  - 计费价格：9.6美元/100GB/天。
    说明
    每天零点用量清零，超过后系统将自动限流。
托管实例数
- 定义：用于安全运营 Agent跨实例进行安全运营和自动处置时纳管的实例数量。
- 购买量说明：每个被调用的实例都会计入费用。如ECS、WAF、ALB、跨云产品、线下安全厂商产品等，均会计为实例数。
- 计费说明：
  - 10个实例/月起售，购买步长为10个实例/月。
  - 1.434美元/个实例/月。
    说明
    同一实例只计算一次，自动去重。
根据业务需求，选择是否开启接入策略。
- 若选中接入策略，开通Agentic SOC后将自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的部分日志源。更多信息，请参见推荐日志接入策略。
- 若未选中接入策略，系统将不会进行任何预定义接入设置。购买完成后，您可根据实际需求，自定义选择需要接入的产品日志。具体操作，可参考产品接入。

仔细阅读云安全中心产品相关协议后，单击立即下单。开通后享受的功能如下：

功能模块	CTDR 1.0		CTDR 2.0（更名为 Agentic SOC）
功能模块	仅购买日志接入流量	购买日志接入流量和日志存储容量	仅购买日志接入流量	仅购买日志存储容量	购买日志接入流量和日志存储容量
仪表板	不支持	支持	不支持	不支持	不支持
安全事件	支持	支持	支持	不支持	支持
告警	支持	支持	支持说明其中自定义分析告警需购买日志管理后付费功能，才能完全支持。	不支持	支持
响应活动	支持	支持	支持	不支持	支持
响应规则	支持	支持	支持	不支持	支持
日志管理	不支持	支持	云安全中心日志：不支持标准化日志：支持仅支持查询标准化方式为“扫描查询”的日志。说明若同时开通了日志管理后付费功能，则支持全部服务。	云安全中心日志：支持标准化日志：不支持	支持
检测规则	预定义：支持自定义：不支持	支持	预定义：支持自定义：支持仅支持检测标准化方式为“扫描查询”的日志。说明若同时开通日志管理后付费功能，则支持全部服务。	不支持	支持
接入设置/产品接入	支持	支持	支持	不支持	支持

按量付费

重要

如果您已通过包年包月方式购买日志接入流量，不支持再开通Agentic SOC按量付费。

登录云安全中心控制台，在左侧导航栏，选择检测响应 > Agentic SOC。
在Agentic SOC页面，单击开通按量付费，并选择需要开通的服务。
- Agentic SOC：支持跨云、跨账号、跨产品（例如Web应用防火墙、云防火墙、专有网络VPC等）日志的统一接入，对安全告警、事件进行检测与响应处置闭环，帮助实现安全运营提效、满足等保合规日志审计需求。
- 安全运营 Agent：基于 Agentic SOC 提供的高阶智能增值服务，以 Agentic AI 为核心引擎，深度融合阿里云原生安全数据与基础设施，利用Agent的自主感知-推理-执行能力，对安全事件进行自主研判，帮助快速实现安全事件响应。

仔细阅读计费规则说明，开通不同服务的，计费规则也不相同。

计费方式：
- Agentic SOC：按每日接入的日志流量（GB）阶梯累计计费，每日费用为各阶梯区间费用之和。
  重要
  最小计费单位为GB，不足1GB的部分，按照1GB计费。
- 安全运营 Agent：除按每日接入的日志流量（GB）阶梯累计计费外，还包含以下计费项：
  - 智能分析用量：按AI 安全数字人对风险事件进行告警研判、事件调查、溯源、归因、输出安全报告所消耗的分析用量（GB）计费。
  - 托管实例数：按Agent实例调用数量（个）计费，ECS、WAF、ALB、跨云产品，线下安全厂商产品等各产品，均记为实例数。
    重要
    同一实例只计算一次，自动去重。
计费周期：按自然日结算。

价格：

日志接入流量：按每日接入的日志流量（GB）执行阶梯价格。

日志接入流量区间	价格	费用计算公式（Y为一天内接入的流量，单位为GB）
1~10（GB/天）	2.2美元/GB	2.2×Y（美元）
11~50（GB/天）	1.6美元/GB	2.2×10+1.6×(Y-10)（美元）
51~100（GB/天）	1.4美元/GB	2.2×10+1.6×40+1.4×(Y-50)（美元）
>100（GB/天）	1.2美元/GB	2.2×10+1.6×40+1.4×50+1.2×(Y-100)（美元）

智能分析用量：0.144美元/GB/天。
托管实例数：2.15美元 / 个实例 / 月。

根据业务要求，选择是否开启一键接入免配置。
- 若选中一键接入免配置，开通Agentic SOC后将自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的部分数据源。更多信息，请参见推荐日志接入策略。
  重要
  启用推荐日志接入策略后，系统将自动把指定的日志类型接入Agentic SOC。云安全中心将根据实际的日志接入量，在次日生成相应的账单。
- 若未开启一键接入免配置，可根据实际需求，自定义选择需要接入的产品日志，具体操作可参考产品接入。

单击立即开通并授权。

说明

执行完该操作后，云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem，以便Agentic SOC使用该服务关联角色访问您其他云产品中的资源。更多信息，请参见云安全中心服务关联角色。

开通后享受的功能如下：

功能模块	CTDR 1.0	CTDR 2.0（更名为Agentic SOC）
仪表板	不支持	不支持
安全事件	支持	支持
告警	支持	支持
响应活动	支持	支持
响应规则	支持	支持
日志管理	不支持	云安全中心日志：不支持标准化日志：支持仅支持查询标准化方式为“扫描查询”的日志。说明若同时开通了日志管理后付费功能，则支持全部服务。
检测规则	预定义：支持自定义：不支持	预定义：支持自定义：支持仅支持检测标准化方式为“扫描查询”的日志。说明若同时开通日志管理后付费功能，则支持全部服务。
接入设置/产品接入	支持	支持

产品接入

开通Agentic SOC后，需要完成产品日志的接入，实现跨资源告警和日志数据的统一监管与分析，提升告警分析和处理效率。具体操作请参见产品接入。

退订说明

若不再需要Agentic SOC服务，可选择关闭功能。

若是包年包月模式：在总览页面包年包月服务区域，单击变更配置 > 我要降配。进入订单升降配页面，在订单降配页签Agentic SOCAgentic SOC区域，将是否选购置为否，具体操作可参考降配。
说明
具体退款金额以降配页面显示的金额为准，关于退款后的资金流向，请参见退款流向。
若是按量付费模式：在云安全中心控制台的总览页面的按量付费服务区域，关闭Agentic SOCAgentic SOC或日志管理开关。
重要
- 关闭后不再产生新的费用。除用户侧投递的日志外的其他数据和配置，如安全告警、安全事件、接入配置等内容将在15天后被清空。
- 关闭日志管理开关后，日志投递会自动关闭，对应的Logstore会被删除，删除的日志数据不支持恢复。建议您谨慎操作。

附录

其他购买入口

还可以在云安全中心购买页或控制台总览页，购买及开通Agentic SOC功能。关于云安全中心版本选择和其他服务选购说明，请参见购买云安全中心。

包年包月

通过云安全中心购买页购买。

按量付费

云安全中心购买页
总览页

序号	阿里云产品	数据源名称	标准化规则名称	标准化方式	标准化分类/结构	支持的安全能力
1	云安全中心	DNS请求日志	主机DNS请求日志标准化规则	扫描查询	主机日志-进程请求DNS日志	预定义分析规则预定义剧本
2		基线日志	基线日志标准化规则	扫描查询	安全日志-主机基线日志	事件调查溯源预定义剧本
3		登录流水日志	登录流水日志标准化规则	扫描查询	登录日志-主机登录日志	自定义分析规则事件调查溯源预定义剧本
4		网络连接日志	网络连接日志标准化规则	扫描查询	主机日志-进程网络外联日志	预定义分析规则预定义剧本
5		进程启动日志	进程启动日志标准化规则	扫描查询	主机日志-进程启动日志	预定义分析规则自定义分析规则事件调查溯源预定义剧本
6		安全告警日志	安全告警日志标准化规则	实时消费	安全日志-其他告警日志	预定义剧本
7		漏洞日志	漏洞日志标准化规则	扫描查询	安全日志-漏洞日志	事件调查溯源预定义剧本
8	Web应用防火墙	WAF告警日志	WAF告警日志标准化规则	实时消费	安全日志-Web应用防火墙告警日志	预定义分析规则自定义分析规则预定义剧本
9	Web应用防火墙	WAF全量/拦截/拦截和观察日志	WAF全量/拦截/拦截和观察日志标准化规则	实时消费	网络日志-HTTP日志	预定义分析规则自定义分析规则事件调查溯源预定义剧本
10	云防火墙	云防火墙告警日志	云防火墙告警日志标准化规则	实时消费	安全日志-防火墙告警日志	预定义分析规则自定义分析规则预定义剧本
11	操作审计	操作审计事件日志	操作审计事件日志标准化规则	实时消费	审计日志-云平台操作审计日志	自定义分析规则事件调查溯源

云安全中心：购买并开通Agentic SOC

购买选型

购买步骤

包年包月

日志接入流量

日志存储容量

智能分析用量

托管实例数

按量付费

产品接入

退订说明

附录

其他购买入口

包年包月

按量付费

推荐日志接入策略

相关文档