阿里雲操做審計 - 日誌安全分析(一)

摘要: 阿里雲操做審計ActionTrail審計日誌已經與日誌服務打通,提供準實時的審計分析、開箱機用的報表功能。本文介紹背景、配置和功能概覽。html

背景
安全形式與日誌審計
伴隨着愈來愈多的企業採用信息化、雲計算技術來提升效率與服務質量。針對企業組織的網絡、設備、數據的攻擊歷來沒有中止過升級,這些針對性攻擊通常以牟利而並是不破壞爲目的,且愈來愈善於隱藏本身,所以發現並識別針這些攻擊也變得愈來愈有挑戰。
根據FileEye M-Trends 2018報告, 2017年的企業組織的攻擊從發生到被發現,通常通過了多達101天,其中亞太地區問題更爲嚴重,通常網絡攻擊被發現是在近498(超過16個月)以後。另外一方面,根據報告,企業組織須要花費多達57.5天才能去驗證這些攻擊行爲。
做爲審計與安全回溯的基礎,企業IT與數據資源的操做的日誌一直以來是重中之重。隨着網絡信息化的成熟發展,並伴隨[國家網絡安全法規](http://www.itsec.gov.cn/fgbz/...
)的深刻落實要求,企業組織也愈來愈重視操做日誌的保存與分析,其中雲計算中的資源的操做記錄是一類很是重要的日誌。安全

阿里雲操做審計
阿里雲操做審計(ActionTrail)會記錄您的雲帳戶資源操做,提供操做記錄查詢,並能夠將記錄文件保存到您指定的OSS或日誌服務中。利用 ActionTrail保存的全部操做記錄,您能夠實現安全分析、資源變動追蹤以及合規性審計。網絡

ActionTrail收集雲服務的API調用記錄(包括用戶經過控制檯觸發的API調用記錄),規格化處理後將操做記錄以JSON形式保存並支持投遞。通常狀況下,當用戶經過控制檯或SDK發起操做調用以後,ActionTrail會在十分鐘內收集到操做行爲。運維

阿里雲日誌服務
阿里雲的日誌服務(log service)是針對日誌類數據的一站式服務,無需開發就能快捷完成海量日誌數據的採集、消費、投遞以及查詢分析等功能,提高運維、運營效率。日誌服務主要包括 實時採集與消費、數據投遞、查詢與實時分析 等功能。阿里雲

圖片描述

阿里雲操做審計日誌實時分析概述
目前,阿里雲操做審計的已經與日誌服務打通,提供實時分析與報表中心的功能。通常操做審計收集到(10分鐘之內)操做日誌,就會實時投遞到日誌服務中。雲計算

發佈時間
2018年7月份spa

發佈地域
國內
國際
政務雲
適用客戶
對日誌存儲有合規需求的大型企業與機構,如金融公司、政府類機構等。
須要實時瞭解雲資產操做的總體情況,並對關鍵業務的操做進行深刻分析與審計的企業,如金融類、電商類和遊戲類企業等。
發佈功能:
輕鬆配置,便可實時操做審計日誌投遞。
依託日誌服務,提供實時日誌分析,並提供開箱即用的報表中心(支持定製),對重要雲資產的操做如指掌,並可實時挖掘細節。
提供每個月500MB免費導入與存儲額度,並可自由擴展存儲時間,以便合規、溯源、備案等。支持不限時間的存儲,存儲成本低至0.35元/GB/月。
支持基於特定支持、特定操做,定製準實時監測與報警,確保關鍵業務異常及時響應。
可對接其餘生態如流計算、雲存儲、可視化方案,進一步挖掘數據價值。
前提條件
開通日誌服務。
開通操做審計服務
如何配置
進入ActionTrail控制檯,選擇任意區域,建立一個跟蹤,在頁面引導下開通日誌服務以及受權後,輸入想要導入的日誌服務的項目(以及其所在區域),就能夠在日誌服務中查看到相關的日誌了。日誌

圖片描述

專屬日誌庫
當您在操做審計控制檯配置跟蹤日誌到日誌服務中後, ActionTrail會實時將操做審計日誌導入到您擁有的日誌服務的專屬日誌庫中。默認當前帳戶全部區域的雲資源的操做日誌都會被導入這一個專屬日誌庫中。htm

屬性
專屬的日誌庫名字是${阿里雲id}_actiontrail_${跟蹤名稱},存放於用戶所選擇日誌服務的項目中。
默認的日誌庫的分區數量是2個, 而且打開了自動Split功能,默認的存儲週期是90天(超過90天的日誌會自動被刪除,能夠修改成更長時間)。遊戲

限制
專屬的日誌庫用於存入專有的審計日誌, 所以不容許用戶經過API/SDK寫入其餘數據. 其餘的查詢、統計、報警、流式消費等功能與通常日誌庫無差異.

專屬報表
另外一方面,ActionTrail也會自動給用戶配置的日誌服務項目中建立對應日誌報表。日誌報表的名字是:
${阿里雲id}_actiontrail_${跟蹤名稱}_audit_center

功能概覽
配置後便可使用跳轉的連接對審計日誌進行實時分析功能,並使用自帶的報表.
圖片描述

場景一: 實時雲資源操做異常排查與問題分析,意外刪除,高危操做等
例如:查看ECS刪除操做日誌等。

更多:
圖片描述

場景二: 重要資源操做的分佈與來源追蹤,溯源並輔助應對策略等
例如:查看刪除RDS機器的操做者的國家分佈等。

更多:
圖片描述

場景三: 總體資源操做分佈,運維可靠性指標一目瞭然
例如:查看失敗的操做的趨勢等

更多:
圖片描述

場景四: 運營分析,資源使用情況,用戶登陸等
例如:查看來自各個網絡運營商的操做者的頻率分佈等。

更多:
圖片描述

進一步參考
咱們會介紹更多關於如何配置並使用ActionTrail審計日誌對雲資產登陸、操做和安全情況進行詳細分析的內容,敬請期待。

原文連接

相關文章
相關標籤/搜索