以图形日志(录像)、字符日志的形式记录对资产执行的运维操作、并提供运维对话审计,帮助您在威胁发生的事中及事后进行对应的事件回溯。

背景信息

运维审计提供以下审计信息:
  • 历史会话:提供单个用户对资产进行运维的历史会话信息,包括运维的资产信息、端口、开会开始时间和结束时间、用户ID等。
  • 命令字符:提供单个用户对资产进行运维时执行的命令操作,包括运维的资产信息、端口、操作时间、命令内容、用户ID等。
  • 告警:提供PAM检测到的命中智能风控和威胁检测引擎规则的告警事件。目前,仅支持异常登录告警。

支持的资产类型

目前,仅支持对ECS进行运维审计。

操作步骤

  1. 登录特权访问管理中心控制台
  2. 在左侧导航栏,单击运维审计
  3. 运维审计页面,查看资产相关的运维审计信息和历史操作记录。
    您可以在运维审计页面进行以下操作:
    • 查看运维人员对资产进行运维的历史会话、执行的字符命令操作记录、告警信息。
    • 历史会话页面和字符命令页面,单击列表右侧操作栏的播放,回看PAM保存的相关操作视频记录。
    • 使用普通搜索功能,支持智能内容匹配搜索。例如:输入1.*.*.1,则会匹配为地址信息进行搜索。
    • 使用高级搜索功能,根据自定义的运维审计条件来定位具体的审计信息和告警事件。