产品日志接入策略需要绑定数据源,Agentic SOC目前仅接收阿里云日志服务(SLS)的日志,支持自定义日志库,也支持Agentic SOC专属日志库。
前提条件
已购买并开通Agentic SOC服务。
数据源类型说明
数据源类型名称 | 推荐使用场景 | 说明 | 支持的操作 |
自定义日志服务 | 日志已接入SLS。 | 由用户或阿里云其他产品在日志服务(SLS)创建的项目日志库,该数据源产生的费用与Agentic SOC无关。Agentic SOC会为阿里云产品初始化一些自定义日志服务数据源,初始化规则如下:
|
|
Agentic SOCAgentic SOC专属数据采集通道 | 日志尚未接入SLS。 | 由Agentic SOC服务在日志服务(SLS)创建的,为Agentic SOC专属项目日志库,该数据源产生的费用由Agentic SOC服务承担。 项目命名规范为aliyun-cloudsiem-channel-阿里云账号ID-cn-地域ID,日志库名称支持用户自定义。 说明 若同地域下已经创建Agentic SOC专属项目,系统将不会重复创建。新的日志库会自动追加至Agentic SOC项目下,同时不影响已存在的日志库。 |
|
预定义日志服务 | 阿里云产品直接投递的日志。 | 阿里云产品会将部分日志直接提供给Agentic SOC,无需配置。如阿里云云安全产品的告警日志:WAF的告警日志、云防火墙告警日志等。 | 查看 |
创建数据源:日志已接入日志服务(SLS)
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在数据源页签内,单击左上角创建数据源。您可参考以下信息,进行配置。
配置项名称
配置项说明
数据源名称
自定义。
数据源类型
若您的产品日志已经接入阿里云SLS日志服务,推荐选择自定义日志服务,避免重复对接,降低成本。
重要若您的产品尚未接入阿里云SLS日志服务,但仍想选择此方式,请您先前往日志服务控制台,创建对应的日志库,然后将日志接入该日志库。
地域(Region))
日志库所在存储地域。
项目(Project)
自定义日志服务:同步该账号下SLS所有的项目,选择目标项目。
日志库(Logstore)
自定义日志服务:同步项目(Project)下的所有日志库,选择目标日志库。
单击创建页左下角的确定按钮,创建完毕可在数据源列表中查看新建的数据。
创建数据源:日志未接入日志服务(SLS)
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在数据源页签内,单击左上角创建数据源。不同的数据源类型配置各不相同,您可参考以下信息,进行配置。
重要数据源类型不可修改,请谨慎选择。
自定义日志服务
警告若您的产品尚未接入阿里云SLS日志服务,但仍想自定义日志服务类型,请您先前往日志服务控制台,创建对应的日志库,然后将日志接入该日志库。
配置项名称
配置项说明
数据源名称
自定义。
数据源类型
自定义日志服务
地域(Region))
日志库所在存储地域。
项目(Project)
自定义日志服务:同步该账号下SLS所有的项目,选择目标项目。
日志库(Logstore)
自定义日志服务:同步项目(Project)下的所有日志库,选择目标日志库。
Agentic SOC专属数据采集通道
配置项名称
配置项说明
数据源名称
自定义。
数据源类型
选择Agentic SOC专属数据采集通道
重要若您有多个同地域产品并且均选择此方式,则这些产品日志会存储在一个项目Project(aliyun-cloudsiem-channel-账号UID-cn-地域ID)下。
地域(Region))
日志库所在存储地域。
项目(Project)
Agentic SOC专属数据采集通道:固定项目名称aliyun-cloudsiem-channel-账号UID-cn-地域ID,不可更改。
日志库(Logstore)
Agentic SOC专属数据采集通道:需要手动填写日志库名称,具体操作请参见创建日志库。
创建日志库
若您选择的是日志库类型为Agentic SOC专属数据采集通道,需要先在SLS中完成项目及日志库创建,操作步骤入下:
单击创建Logstore后填写日志库名称,日志库名称仅支持小写字母、数字和连字符(-)和下划线(_)。
在Logstore创建提示框中,确认信息后单击确定。
创建完毕后,您可在日志服务控制台,查看创建Project(aliyun-cloudsiem-channel-账号UID-cn-地域ID)和日志库。
重要若已经创建Agentic SOC专属项目Project, 系统将不会重复创建。新的日志库会自动追加至Agentic SOC项目下,同时不影响已存在的日志库。
若日志库已经创建,系统将不会重复创建,新的日志数据会自动追加至该日志库下。若您有日志数据分类存储需求,请谨慎设置。
单击创建页左下角的确定按钮,创建完毕可在数据源列表中查看新建的数据。
编辑数据源
若数据源类型为预定义日志服务,则不支持修改。
若数据源已绑定接入策略,且接入策略已开启,则不允许修改。若您想要修改请先关闭接入策略,具体操作请参见数据源为什么不可修改?。
跨账号接入成员账号日志后,自动创建的数据源不支持修改,若您想要修改需要取消接入配置,具体操作请参见取消接入成员账号。
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在数据源页签内,找到需要编辑的数据源,单击操作列的编辑。您可参考以下信息,进行配置。
配置项名称
配置项说明
数据源名称
自定义
地域(Region))
日志库所在存储地域。
项目(Project)
自定义日志服务:
同步该账号下SLS所有的项目。
Agentic SOC专属数据采集通道:
固定项目名称aliyun-cloudsiem-channel-账号UID-cn-地域ID,不可更改。
日志库(Logstore)
自定义日志服务:
同步项目(Project)下的所有日志库。
Agentic SOC专属数据采集通道:
需要手动填写日志库名称,具体操作请参见创建日志库。
单击编辑页左下角的确定按钮。
删除数据源
数据源类型为预定义日志服务则不可删除。
已绑定接入策略(包含跨账号接入策略)的数据源不可删除。
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在数据源页签内,找到需要删除的数据源,单击操作列的删除按钮。