资讯专栏INFORMATION COLUMN

阿里云操作审计 - 日志安全分析(一)

jk_v1 / 3256人阅读

摘要:阿里云操作审计日志实时分析概述目前,阿里云操作审计的已经与日志服务打通,提供实时分析与报表中心的功能。属性专属的日志库名字是阿里云跟踪名称,存放于用户所选择日志服务的项目中。

摘要: 阿里云操作审计ActionTrail审计日志已经与日志服务打通,提供准实时的审计分析、开箱机用的报表功能。本文介绍背景、配置和功能概览。

背景
安全形式与日志审计
伴随着越来越多的企业采用信息化、云计算技术来提高效率与服务质量。针对企业组织的网络、设备、数据的攻击从来没有停止过升级,这些针对性攻击一般以牟利而并是不破坏为目的,且越来越善于隐藏自己,因此发现并识别针这些攻击也变得越来越有挑战。
根据FileEye M-Trends 2018报告, 2017年的企业组织的攻击从发生到被发现,一般经过了多达101天,其中亚太地区问题更为严重,一般网络攻击被发现是在近498(超过16个月)之后。另一方面,根据报告,企业组织需要花费多达57.5天才能去验证这些攻击行为。
作为审计与安全回溯的基础,企业IT与数据资源的操作的日志一直以来是重中之重。随着网络信息化的成熟发展,并伴随[国家网络安全法规](http://www.itsec.gov.cn/fgbz/...
)的深入落实要求,企业组织也越来越重视操作日志的保存与分析,其中云计算中的资源的操作记录是一类非常重要的日志。

阿里云操作审计
阿里云操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将记录文件保存到您指定的OSS或日志服务中。利用 ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。

ActionTrail收集云服务的API调用记录(包括用户通过控制台触发的API调用记录),规格化处理后将操作记录以JSON形式保存并支持投递。一般情况下,当用户通过控制台或SDK发起操作调用之后,ActionTrail会在十分钟内收集到操作行为。

阿里云日志服务
阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能。

阿里云操作审计日志实时分析概述
目前,阿里云操作审计的已经与日志服务打通,提供实时分析与报表中心的功能。一般操作审计收集到(10分钟以内)操作日志,就会实时投递到日志服务中。

发布时间
2018年7月份

发布地域
国内
国际
政务云
适用客户
对日志存储有合规需求的大型企业与机构,如金融公司、政府类机构等。
需要实时了解云资产操作的整体状况,并对关键业务的操作进行深入分析与审计的企业,如金融类、电商类和游戏类企业等。
发布功能:
轻松配置,即可实时操作审计日志投递。
依托日志服务,提供实时日志分析,并提供开箱即用的报表中心(支持定制),对重要云资产的操作如指掌,并可实时挖掘细节。
提供每月500MB免费导入与存储额度,并可自由扩展存储时间,以便合规、溯源、备案等。支持不限时间的存储,存储成本低至0.35元/GB/月。
支持基于特定支持、特定操作,定制准实时监测与报警,确保关键业务异常及时响应。
可对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。
前提条件
开通日志服务。
开通操作审计服务
如何配置
进入ActionTrail控制台,选择任意区域,创建一个跟踪,在页面引导下开通日志服务以及授权后,输入想要导入的日志服务的项目(以及其所在区域),就可以在日志服务中查看到相关的日志了。

专属日志库
当您在操作审计控制台配置跟踪日志到日志服务中后, ActionTrail会实时将操作审计日志导入到您拥有的日志服务的专属日志库中。默认当前账户所有区域的云资源的操作日志都会被导入这一个专属日志库中。

属性
专属的日志库名字是${阿里云id}_actiontrail_${跟踪名称},存放于用户所选择日志服务的项目中。
默认的日志库的分区数量是2个, 并且打开了自动Split功能,默认的存储周期是90天(超过90天的日志会自动被删除,可以修改为更长时间)。

限制
专属的日志库用于存入专有的审计日志, 因此不允许用户通过API/SDK写入其他数据. 其他的查询、统计、报警、流式消费等功能与一般日志库无差别.

专属报表
另一方面,ActionTrail也会自动给用户配置的日志服务项目中创建对应日志报表。日志报表的名字是:
${阿里云id}_actiontrail_${跟踪名称}_audit_center

功能概览
配置后即可使用跳转的链接对审计日志进行实时分析功能,并使用自带的报表.

场景一: 实时云资源操作异常排查与问题分析,意外删除,高危操作等
例如:查看ECS删除操作日志等。

更多:

场景二: 重要资源操作的分布与来源追踪,溯源并辅助应对策略等
例如:查看删除RDS机器的操作者的国家分布等。

更多:

场景三: 整体资源操作分布,运维可靠性指标一目了然
例如:查看失败的操作的趋势等

更多:

场景四: 运营分析,资源使用状况,用户登录等
例如:查看来自各个网络运营商的操作者的频率分布等。

更多:

进一步参考
我们会介绍更多关于如何配置并使用ActionTrail审计日志对云资产登录、操作和安全状况进行详细分析的内容,敬请期待。

原文链接

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11407.html

相关文章

  • DRDS SQL 审计分析——全面洞察 SQL 之利器

    背景 数据库存储着系统的核心数据,其安全方面的问题在传统环境中已经成为泄漏和被篡改的重要根源。而在云端,数据库所面临的威胁被进一步的放大。因此,对云数据库的操作行为尤其是全量 SQL 执行记录的审计日志,就显得尤为重要,是保障云数据库安全的最基本要求。那么针对云数据库的 SQL 审计,您是否存在如下疑问: SQL 审计对数据库的性能有影响吗? 数据被篡改,但是没启用 SQL 审计,还能追溯篡改者...

    WalkerXu 评论0 收藏0
  • APP漏洞自动化扫描专业评测报告(下篇)

    摘要:上篇中篇回顾通过收费情况样本测试后的扫描时间漏洞项对比以及扫描能力这几个方面对阿里聚安全漏洞扫描腾讯金刚审计系统百度移动云测试中心以及进行了对比分析。我推测百度对于此类漏洞的检测规则是判断是否有这个函数。 上篇、中篇回顾:通过收费情况、样本测试后的扫描时间、漏洞项对比以及扫描能力这几个方面对阿里聚安全[1]、360App漏洞扫描[2]、腾讯金刚审计系统[3]、百度移动云测试中心[4]以...

    zone 评论0 收藏0
  • APP漏洞自动化扫描专业评测报告(下篇)

    摘要:上篇中篇回顾通过收费情况样本测试后的扫描时间漏洞项对比以及扫描能力这几个方面对阿里聚安全漏洞扫描腾讯金刚审计系统百度移动云测试中心以及进行了对比分析。我推测百度对于此类漏洞的检测规则是判断是否有这个函数。 上篇、中篇回顾:通过收费情况、样本测试后的扫描时间、漏洞项对比以及扫描能力这几个方面对阿里聚安全[1]、360App漏洞扫描[2]、腾讯金刚审计系统[3]、百度移动云测试中心[4]以...

    young.li 评论0 收藏0
  • PB 级数据处理挑战,Kubernetes如何助力基因分析

    摘要:阿里云基因数据服务不断提升极致弹性的计算能力,和大规模并行处理能力,以及海量高速存储来帮助基因公司快速自动化处理每天几十上百的下机数据,并产通过标准产出高质量的变异数据。 摘要: 一家大型基因测序功能公司每日会产生 10TB 到 100TB 的下机数据,大数据生信分析平台需要达到 PB 级别的数据处理能力。这背后是生物科技和计算机科技的双向支撑:测序应用从科研逐步走向临床应用,计算模...

    forsigner 评论0 收藏0

发表评论

0条评论

jk_v1

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<