`
猫耳呀
  • 浏览: 165649 次
社区版块
存档分类
最新评论

请您先登录,才能继续操作

阿里云操作审计 - 日志安全分析(一)

 
阅读更多

摘要: 阿里云操作审计ActionTrail审计日志已经与日志服务打通,提供准实时的审计分析、开箱机用的报表功能。本文介绍背景、配置和功能概览。

背景

安全形式与日志审计

伴随着越来越多的企业采用信息化、云计算技术来提高效率与服务质量。针对企业组织的网络、设备、数据的攻击从来没有停止过升级,这些针对性攻击一般以牟利而并是不破坏为目的,且越来越善于隐藏自己,因此发现并识别针这些攻击也变得越来越有挑战。
根据FileEye M-Trends 2018报告, 2017年的企业组织的攻击从发生到被发现,一般经过了多达101天,其中亚太地区问题更为严重,一般网络攻击被发现是在近498(超过16个月)之后。另一方面,根据报告,企业组织需要花费多达57.5天才能去验证这些攻击行为。
作为审计与安全回溯的基础,企业IT与数据资源的操作的日志一直以来是重中之重。随着网络信息化的成熟发展,并伴随[国家网络安全法规](http://www.itsec.gov.cn/fgbz/gjbz/201711/t20171127_17929.html
)的深入落实要求,企业组织也越来越重视操作日志的保存与分析,其中云计算中的资源的操作记录是一类非常重要的日志。

阿里云操作审计

阿里云操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将记录文件保存到您指定的OSS或日志服务中。利用 ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。

ActionTrail收集云服务的API调用记录(包括用户通过控制台触发的API调用记录),规格化处理后将操作记录以JSON形式保存并支持投递。一般情况下,当用户通过控制台或SDK发起操作调用之后,ActionTrail会在十分钟内收集到操作行为。

阿里云日志服务

阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能。

阿里云操作审计日志实时分析概述

目前,阿里云操作审计的已经与日志服务打通,提供实时分析与报表中心的功能。一般操作审计收集到(10分钟以内)操作日志,就会实时投递到日志服务中。

发布时间

2018年7月份

发布地域

  • 国内
  • 国际
  • 政务云

适用客户

  • 对日志存储有合规需求的大型企业与机构,如金融公司、政府类机构等。
  • 需要实时了解云资产操作的整体状况,并对关键业务的操作进行深入分析与审计的企业,如金融类、电商类和游戏类企业等。

发布功能:

  1. 轻松配置,即可实时操作审计日志投递。
  2. 依托日志服务,提供实时日志分析,并提供开箱即用的报表中心(支持定制),对重要云资产的操作如指掌,并可实时挖掘细节。
  3. 提供每月500MB免费导入与存储额度,并可自由扩展存储时间,以便合规、溯源、备案等。支持不限时间的存储,存储成本低至0.35元/GB/月
  4. 支持基于特定支持、特定操作,定制准实时监测与报警,确保关键业务异常及时响应。
  5. 可对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。

前提条件

  1. 开通日志服务。
  2. 开通操作审计服务

如何配置

进入ActionTrail控制台,选择任意区域,创建一个跟踪,在页面引导下开通日志服务以及授权后,输入想要导入的日志服务的项目(以及其所在区域),就可以在日志服务中查看到相关的日志了。

专属日志库

当您在操作审计控制台配置跟踪日志到日志服务中后, ActionTrail会实时将操作审计日志导入到您拥有的日志服务的专属日志库中。默认当前账户所有区域的云资源的操作日志都会被导入这一个专属日志库中。

属性
专属的日志库名字是${阿里云id}_actiontrail_${跟踪名称},存放于用户所选择日志服务的项目中。
默认的日志库的分区数量是2个, 并且打开了自动Split功能,默认的存储周期是90天(超过90天的日志会自动被删除,可以修改为更长时间)。

限制
专属的日志库用于存入专有的审计日志, 因此不允许用户通过API/SDK写入其他数据. 其他的查询、统计、报警、流式消费等功能与一般日志库无差别.

专属报表

另一方面,ActionTrail也会自动给用户配置的日志服务项目中创建对应日志报表。日志报表的名字是:
${阿里云id}_actiontrail_${跟踪名称}_audit_center

功能概览

配置后即可使用跳转的链接对审计日志进行实时分析功能,并使用自带的报表.

场景一: 实时云资源操作异常排查与问题分析,意外删除,高危操作等

例如:查看ECS删除操作日志等。

更多:
1

场景二: 重要资源操作的分布与来源追踪,溯源并辅助应对策略等

例如:查看删除RDS机器的操作者的国家分布等。

更多:

场景三: 整体资源操作分布,运维可靠性指标一目了然

例如:查看失败的操作的趋势等

更多:

场景四: 运营分析,资源使用状况,用户登录等

例如:查看来自各个网络运营商的操作者的频率分布等。

更多:

进一步参考

我们会介绍更多关于如何配置并使用ActionTrail审计日志对云资产登录、操作和安全状况进行详细分析的内容,敬请期待。

原文链接

分享到:
评论

相关推荐

    阿里云-操作审计-快速入门-D.docx

    阿里云操作审计(ActionTrail)是一项关键的安全与合规性服务,用于记录并追踪阿里云账号在控制台和API级别的所有操作。这篇文档是针对ActionTrail的快速入门指南,旨在帮助用户迅速了解并开始使用该服务。 1. **...

    阿里云-操作审计-快速入门.pdf

    阿里云操作审计(ActionTrail)是一项重要安全与监控服务,用于记录并跟踪用户在阿里云控制台和API的活动,确保云环境的操作透明度和可审计性。本快速入门主要涵盖了如何创建和管理ActionTrail,以及如何查看和分析...

    阿里云-日志服务最佳实践手册.pdf

    阿里云日志服务是一个功能强大且灵活的日志管理平台,旨在帮助用户统一管理和分析日志数据,提高系统的可靠性和安全性。本手册将指导用户如何使用阿里云日志服务实现日志管理、分析和处理,解决实际业务中遇到的问题...

    阿里云-操作审计产品简介-D.docx

    阿里云的操作审计(ActionTrail)是一款关键的安全与监控服务,旨在记录并跟踪用户在云环境中的各种操作,以便于安全分析、资源变更追踪和合规性审计。产品的主要功能包括: 1. **记录操作事件**:ActionTrail能够...

    阿里云迁移技术方案.pptx

    同时,企业还可以使用阿里云提供的数据备份、日志备份、SQL审计等服务。 * 后期业务架构:在该阶段,企业将其业务进一步优化,使用阿里云提供的云上架构区域服务,例如DDOS高防、DRDS、DataV等。同时,企业还可以...

    阿里云-操作审计产品简介.pdf

    阿里云的操作审计(ActionTrail)是一款关键的安全与监控服务,旨在记录并跟踪用户在云环境中的操作行为,以便进行安全分析、资源变更追踪和合规性审计。产品的主要特点包括快速推送、高清记录和稳定可靠。 1. **...

    阿里云-操作审计API参考手册.pdf

    1. **ActionTrail服务**:ActionTrail是阿里云提供的一种日志服务,能够记录用户的API操作历史和控制台操作,便于安全分析和审计。 2. **API接口**:手册列出了多个API接口,如`CreateTrail`(创建跟踪)、`...

    「安全人才」YunOS让机器跟人进行口语交互 - 日志审计.zip

    《YunOS让机器跟人进行口语交互 - 日志审计》是针对安全人才的一个主题,主要探讨了在YunOS操作系统环境下,如何实现机器与人类的自然语言交互,并结合日志审计来提升系统的安全性。这一领域的研究对于网络安全、Web...

    阿里云 专有云企业版 V3.6.2 日志服务 技术白皮书 - 20181228.pdf

    阿里云专有云企业版V3.6.2的日志服务技术白皮书详细阐述了阿里云为企业级用户提供的高效、稳定、安全的日志管理解决方案。日志服务旨在帮助企业收集、存储、分析以及检索海量日志数据,助力企业实现监控、运维、安全...

    阿里云 专有云企业版 V3.6.1 日志服务 用户指南 - 20190322.pdf

    - 日志服务是阿里云为企业提供的一款全面的日志管理平台,它支持实时采集、处理、存储和分析各类系统的日志数据。 - 该服务能够帮助用户快速定位问题,优化系统性能,实现合规审计,以及进行大数据分析。 2. **...

    阿里云分布式数据库实践-文字版

    9. **安全与隐私保护**:分布式数据库的安全措施包括数据加密、访问控制、审计日志等,确保用户数据的安全。 10. **性能优化**:文档可能探讨了索引优化、SQL优化、缓存策略等方法,以提升数据库的读写性能。 通过...

    阿里云 专有云企业版 V3.6.1 日志服务 技术白皮书 - 20181105.pdf

    总之,阿里云专有云企业版V3.6.1的日志服务是一个全面的日志管理和分析平台,为企业提供了一站式的日志解决方案,涵盖了数据采集、存储、查询、分析以及安全等多个方面,助力企业提升运维效率,保障系统稳定,优化...

    阿里云 专有云企业版 V3.12.0 云原生分布式数据库 PolarDB-X 安全白皮书 20200622

    总的来说,阿里云专有云企业版V3.12.0的PolarDB-X在安全设计上涵盖了资源隔离、访问控制、数据加密、日志审计、备份恢复和合规性等多个方面,确保了用户数据的安全性和服务质量。用户在使用过程中,应遵循阿里云的...

    阿里云 专有云企业版 V3.8.2 日志服务 技术白皮书 20200416.pdf

    阿里云专有云企业版日志服务是一款针对大规模日志数据收集、存储、查询和分析的云端服务。在V3.8.2版本的技术白皮书中,它详细介绍了日志服务的功能、架构以及使用场景,旨在帮助企业更好地管理和利用日志数据。 1....

    阿里云 专有云Enterprise版 V3.5.0 日志服务 用户指南 - 20190322.pdf

    阿里云专有云Enterprise版V3.5.0的日志服务用户指南是一份详细阐述如何使用日志服务的文档,旨在帮助用户理解和操作阿里云的日志管理解决方案。该文档适用于专有云环境,特别强调了法律声明和一些通用约定,同时提供...

    阿里云 专有云企业版 V3.12.0 日志服务 运维指南 20200617.pdf

    1. **日志服务**:阿里云的日志服务是一款云端日志大数据处理平台,提供日志收集、存储、查询、分析和投递等功能,帮助企业快速解决日志管理问题。 2. **运维方式**:文档可能涵盖了不同级别的运维操作,包括日常...

    阿里云 专有云企业版 V3.8.0 日志服务 产品简介 20190621.pdf

    阿里云专有云企业版V3.8.0的日志服务是一款针对企业级用户设计的高效、稳定、安全的日志管理解决方案。该服务旨在帮助企业轻松收集、存储、查询、分析和可视化大量日志数据,从而提升运维效率,优化业务性能,以及...

    阿里云 专有云企业版 V3.8.0 分析型数据库PostgreSQL版 安全白皮书 20190621.pdf

    【阿里云专有云企业版 V3.8.0 分析型数据库PostgreSQL版 安全白皮书】是阿里云发布的一份关于其专有云平台的安全文档,旨在为用户详细阐述该版本分析型数据库的安全特性、保障措施以及使用规定。这份白皮书主要涉及...

    阿里云 专有云企业版 V3.8.2 日志服务 用户指南 20200420.pdf

    日志服务是阿里云提供的一项重要服务,它为企业提供了强大的日志数据管理和分析能力,支持实时日志收集、存储、查询、分析以及报警等功能,广泛应用于运维监控、安全审计、大数据分析等多个场景。 在使用此用户指南...

Global site tag (gtag.js) - Google Analytics