操作审计支持Insight事件,帮助您从管控事件中发现异常行为。启用Insight事件后,操作审计将基于管控事件识别异常并生成Insight事件,然后将Insight事件投递到日志服务SLS或对象存储OSS。Insight事件帮助您及时洞察云上管控风险并尽快采取补救措施。

Insight事件与管控事件的区别

事件类型 说明 相关文档
管控事件 用户通过登录阿里云账号,使用阿里云上的身份对云资源进行管控而被记录的操作日志。每一条管控事件是一次操作日志。 管控事件结构定义
Insight事件 基于管控事件的分析结果,Insight事件呈现了一种异常情况的发生。目前仅支持IPInsight事件。您在跟踪中启用IPInsight事件功能后,操作审计会基于过去已有的管控操作事件分析出常规的来访IP特征,然后判断新的来访IP是否为异常IP。当发现一个异常IP,将生成一个IPInsight事件向您通报异常IP的情况。

Insight事件基于管控事件的分析结果而产生,一个Insight事件会关联多个管控事件。例如:一个IPInsight事件代表一个异常的来访IP,IPInsight事件会关联多个通过异常来访IP访问的管控事件。

 Insight事件结构定义

功能特性

  • 自动生成Insight事件:操作审计会分析过去一段时间您阿里云账号中事件的来访IP,总结正常来访IP的特征模型。在您后续长期的云上访问过程中,不断为您扫描并鉴别新出现的来访IP,识别其中的异常IP,然后生成Insight事件。
  • 快速查询Insight事件:您可以通过操作审计控制台查询最近90天的Insight事件的IP地址、开始时间、结束时间、IP异常事件数等基础信息,也可以查询Insight事件代码。
  • 长时间存储Insight事件:操作审计会将Insight事件投递到跟踪指定的日志服务SLS或对象存储OSS,以便长时间存储或分析Insight事件。

工作原理

  • Insight事件的生成条件:当您首次对跟踪启用Insight事件时,操作审计需要至少分析10000条管控事件来生成第一个Insight事件,所以当您现存的事件量不足时,将不会立即生成Insight事件。Insight事件是对异常行为的洞察,如果您的阿里云账号中不存在异常行为,也不会生成Insight事件。
  • Insight事件的统计范围:Insight事件是分地域的。针对同一个地域发生的管控事件进行Insight事件的分析,所以Insight事件与管控事件所在地域相同。对于全局事件,Insight事件只会在跟踪创建的地域进行分析。如果您关闭了跟踪,Insight事件也会停止记录。
  • Insight事件的判定规则:目前仅支持IPInsight事件,用于洞察异常IP的访问。IPInsight事件统计IP异常事件数时采用IP关联度算法,可能导致一些新出现的来访IP被错误地识别为异常IP,因此新出现的IP会在第一次被检测到时生成一个异常IP事件。在接下来的7天内,如果出现大于2天的访问则会自动认为该IP为正常IP,否则会被判定为异常IP,在第8天开始持续推送异常IP事件。

使用说明

  • 您需要通过提交工单,获取Insight事件的使用权限。
  • 操作审计暂不支持查询华南2(河源)、华南3(广州)和阿联酋(迪拜)地域的Insight事件。关于Insight事件支持的地域,请参见操作审计支持的地域中除华南2(河源)、华南3(广州)和阿联酋(迪拜)外的其他地域。
  • Insight事件功能目前支持免费试用,后续收费情况,请参见计费说明
  • 您需要创建跟踪的地域为全部地域、跟踪的事件类型为所有事件的单账号跟踪,并为跟踪开启Insight事件。对于全局事件,操作审计仅基于跟踪创建地域的全局管控事件生成Insight事件。
  • 如果只有一个跟踪启用了Insight事件,当您禁用Insight事件再次启用后,需要在第二天才能重新生成Insight事件。
  • 云上操作后10分钟才可以通过操作审计控制台查询相关Insight事件。

查询Insight事件

Insight事件详情

您可以通过操作审计控制台查询Insight事件详情,具体如下:

Insight事件
序号 说明 示例
1 Insight事件的查询时间范围(开始时间和结束时间)。 2021年08月03日13:55:00至2021年08月03日16:55:00
2 Insight类型。

异常行为的类型。

 异常IP访问
3 异常来访IP。

您可以单击异常来访IP地址访问Insight页面,查询该IP地址的所有Insight事件。

42.120.XX.XX
4 异常事件数。

查询时间范围内来自该异常IP的管控事件数的总和。

 115个事件
5 IP异构度基准值,包含Insight平均值和基线阈值。
说明 异构度=(基线阈值-实际值)/基线阈值*100。
  • IP异构度基准值:本次访问IP与常用IP之间的关联关系。异构度越高,表明该IP特征越不符合常规,风险越高。
  • Insight平均值:Insight事件的实际预测值。如果实际预测值大于标准阈值,则视为正常,否则视为异常。此处为选定时间内的平均值。
  • 基线阈值:Insight事件的标准阈值。如果实际预测值大于基线阈值,则视为正常,否则视为异常。
  • Insight平均值:0.0121
  • 基线阈值:0.6
6 异常访问次数趋势图。 参见控制台图形
7 过滤器IP地址和图表时间范围(查询时间范围)。
  • 过滤器:42.120.XX.XX
  • 图表时间范围:
    • 开始时间:2021年08月03日14:00:00
    • 结束时间:2021年08月03日17:00:00
8 Insight事件ID、开始时间和持续时间。

单个Insight事件分析窗口持续时间固定为5分钟。
  • ID:2D30****
  • 开始:2021年08月03日15:30:00
  • 持续时间:5分钟
9 选中Insight事件ID后,查询异常来访IP对应的管控事件及代码。 事件代码示例:
{
  "eventId": "DFB8EB15-8F65-1B88-8F9E-6D8A5865****",
  "eventVersion": 1,
  "eventSource": "actiontrail.cn-hangzhou.aliyuncs.com",
  "requestParameters": { // API请求的输入参数
    "AcsProduct": "Actiontrail",
    "EndTime": "2021-08-03T07:35:00Z",
    "NextToken": "eyJhY2NvdW50IjoiMTU5NDk4NjkzODI2ODg5OCIsImV2ZW50SWQiOiIwRDMwMjYxNS03NDJFLTEyRjQtODM1Ri0xNDMzNUUyM0RFRDkiLCJpcCI6IjQyLjEyMC43NS4xNTQiLCJsb2dJZCI6IjYyLTE1OTQ5ODY5MzgyNjg4OTgiLCJ0aW1lIjoxNjI3OTc1ODQwMD****",
    "MaxResults": 20,
    "StartTime": "2021-08-03T07:30:00Z",
    "AcceptLanguage": "zh-CN",
    "Region": "cn-hangzhou",
    "LookupAttribute.1.Value": "42.120.XX.XX",
    "RegionId": "cn-hangzhou",
    "LookupAttribute.1.Key": "SourceIpAddress"
  },
  "sourceIpAddress": "42.120.XX.XX", // 事件发起的源IP地址
  "userAgent": "actiontrail.console.aliyun.com",
  "eventType": "ApiCall",
  "userIdentity": { // 请求者的身份信息
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false"
      }
    },
    "accountId": "159498693826****", // 阿里云账号ID
    "principalId": "159498693826****", // 当前请求者的ID
    "type": "root-account", // 阿里云账号
    "userName": "root"
  },
  "serviceName": "Actiontrail", // 事件相关的云服务名称
  "apiVersion": "2020-07-06",
  "requestId": "DFB8EB15-8F65-1B88-8F9E-6D8A586580A7",
  "eventTime": "2021-08-03T07:58:56Z", // 事件的发生时间(UTC格式)
  "isGlobal": false,
  "acsRegion": "cn-hangzhou", // 阿里云地域
  "eventName": "LookupEvents" // 事件名称
}

关于管控事件的字段含义,请参见管控事件结构定义
10 选中Insight事件ID后,查询Insight事件代码。 事件代码示例:
{
  "event": {
    "eventVersion": "1",
    "eventTime": "2021-03-10T21:00:00Z",
    "acsRegion": "cn-hangzhou",
    "eventID": "F23A3DD5-7842-4EF9-9DA1-3776396A****",
    "eventType": "ActionTrailInsight",
    "recipient": "116214297662****",
    "insightDetails": {
      "sourceIpAddress": "42.120.XX.XX",
      "insightType": "IpInsight",
      "insightContext": {
        "statistics": {
          "baseline": {
            "threshold": 0.6
          },
          "insight": {
            "predict": 0.12
          },
          "insightDuration": 300,
          "insightCount": 10
        }
      }
    },
    "userIdentity": {
      "accountId": "112432432434****",
      "principalId": "231321312321****"
    },
    "eventCategory": "Insight"
  }
}
关于Insight事件的字段含义,请参见Insight事件结构定义