Insights事件概览

操作审计支持Insights事件,帮助您从管控事件中发现异常行为。开通Insights事件后,操作审计将基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件、AccessKey调用事件、权限变更事件、密码变更事件和隐匿行踪事件并生成Insights事件,便于您及时洞察云上管控风险并尽快采取补救措施。

Insights事件与管控事件的区别

事件类型

说明

相关文档

管控事件

用户通过登录阿里云账号,使用阿里云上的身份对云资源进行管控而被记录的操作日志。每一条管控事件是一次操作日志。

管控事件结构定义

Insights事件

基于云上记录的管控事件,Insights事件通过数学模型分析了可能存在风险的API调用事件(ApiCallRateInsight)、API错误事件(ApiErrorRateInsight)、IP请求事件(IpInsight)、AccessKey调用事件(AkInsight)、权限变更事件(PolicyChangeInsight)、密码变更事件(PasswordChangeInsight)和隐匿行踪事件(TrailConcealmentInsight),例如:您的账号被一个外部IP地址入侵后,如果对某一个资源进行大量的写事件(例如:删除操作),则会触发针对该IP地址的IP请求事件,以及该删除操作的API调用事件。

Insights事件结构定义

功能特性

操作审计的Insights功能会分析过去一段时间内您阿里云账号中的全部管控事件来形成API调用事件(ApiCallRateInsight)、API错误事件(ApiErrorRateInsight)、IP请求事件(IpInsight)、AccessKey调用率事件(AkInsight)、权限变更事件(PolicyChangeInsight)、密码变更事件(PasswordChangeInsight)和隐匿行踪事件(TrailConcealmentInsight)。每一条Insights事件包含该事件发生时的一条开始事件和该事件结束时的一条结束事件。

  • API调用事件(ApiCallRateInsight)会分析您阿里云账号中的全部写事件,其基于API的调用率并结合数学模型来分析API当前调用与历史调用行为相较是否发生显著变化,并生成Insights事件。

  • API错误事件(ApiErrorRateInsight)会分析您阿里云账号中API错误调用的全部管控事件,其基于API的错误调用率并结合数学模型来分析API当前调用错误与历史调用错误行为相较是发生显著变化,并生成Insights事件。

  • IP请求事件(IpInsight)会总结正常来访IP地址的特征模型。在您后续长期的云上访问过程中,不断为您扫描并鉴别新出现的来访IP地址,识别其中的异常IP地址,并生成Insights事件。

  • AccessKey调用事件(AkInsight)会分析您阿里云账号中所有的AccessKey ID,基于AccessKey的调用率并结合数学模型分析AccessKey当前调用与历史调用行为相较是否发生显著变化,并生成Insights事件。

  • 权限变更事件(PolicyChangeInsight)会分析您阿里云账号中具备权限变更能力的所有云产品,例如:RAM、OSS、资源管理等,并依据机器学习过滤模型所认为的常用操作者的操作,针对不常用操作者的行为,产生对应的insights事件。

  • 密码变更事件(PasswordChangeInsight)会分析您阿里云账号中具备密码变更能力的所有云产品,例如:KMS、AasCustomer(云账号登录服务)、AasSub(RAM用户登录服务)等,并依据机器学习过滤模型所认为的常用操作者的操作,针对不常用操作者的行为,产生对应的insights事件。

  • 隐匿行踪事件(TrailConcealmentInsight)会分析您阿里云账号在操作审计上的停止跟踪或删除跟踪的行为,并依据机器学习过滤模型所认为的常用操作者的操作,针对不常用操作者的行为,产生对应的insights事件。

工作原理

  • Insights事件的生成条件:当您开通Insights功能后,操作审计会持续分析您开通Insights功能后所产生的全部管控事件,并在至少24小时后为您产生第一条Insights事件。Insights事件是对可能存在风险的行为的洞察,如果您的阿里云账号中不存在风险行为,则不会生成Insights事件。

  • Insights事件的统计范围:Insights事件是分地域的。针对同一个地域发生的管控事件进行Insights事件的分析,所以Insights事件与管控事件所在地域相同。

  • Insights事件的判定规则如下:

    • API调用事件(ApiCallRateInsight)用于分析API调用率相较历史调用率的异常。采用数学模型来分析当前API的调用行为与调用方式与历史调用是否存在明显差异,如果该API的当前调用与历史调用存在明显差异,则会产生针对当前API的Insights事件。

      说明

      API调用事件(ApiCallRateInsight)针对写事件分析更为敏感。

    • API错误事件(ApiErrorRateInsight)用于分析API错误率相较历史调用率的异常。采用数学模型来分析当前API错误的调用(调用行为和调用方式)与历史调用是否存在明显差异,如果该API错误的当前调用与历史调用存在明显差异,则会产生针对当前API错误的Insights事件。

      说明

      API错误事件(ApiErrorRateInsight)针对读写事件分析敏感度一致。

    • IP请求事件(IpInsight)用于洞察风险IP地址的访问。采用IP地址关联度算法可能导致一些新出现的来访IP地址被错误地识别为风险IP地址。当IP请求事件产生后,会在当天仅形成一条关于该IP地址第一次访问的IP请求事件。

    • AccessKey调用事件(AkInsight)用于分析AccessKey调用率相较历史调用率的异常。采用数学模型来分析当前AccessKey的调用行为与调用方式与历史调用是否存在明显差异,如果该AccessKey的当前调用与历史调用存在明显差异,则会产生针对当前AccessKey的Insights事件。

      说明

      AccessKey调用事件(AkInsight)针对写事件分析更为敏感。

    • 权限变更事件(PolicyChangeInsight)用于分析非常规操作者的权限变更行为,采用机器学习算法产生频繁项集与关联关系,过滤常规操作者的权限变更行为,针对非常规操作者的权限变更行为产生Insights事件。

    • 密码变更事件(PasswordChangeInsight)用于分析非常规操作者的密码变更行为,采用机器学习算法产生频繁项集与关联关系,过滤常规操作者的密码变更行为,针对非常规操作者的密码变更行为产生Insights事件。

    • 隐匿行踪事件(TrailConcealmentInsight)用于分析非常规操作者的删除跟踪或停止跟踪行为,采用机器学习算法产生频繁项集与关联关系,过滤常规操作者对跟踪的配置行为,针对非常规操作者的行为产生Insights事件。

使用说明

  • 操作审计暂不支持查询Insights事件的地域:

    • 华南2(河源)

    • 华东5(南京-本地地域)

    • 华南3(广州)

    • 华东6(福州-本地地域)

    • 华中1(武汉-本地地域)

    • 韩国(首尔)

    • 菲律宾(马尼拉)

    • 阿联酋(迪拜)

    说明

    关于Insights事件支持的地域,请参见操作审计支持的地域中除以上地域外的其他地域。

  • Insights功能目前支持免费试用,后续收费情况,请参见计费说明

  • Insights功能开启后,将持续分析您在Insights功能所支持的地域产生的全部管控事件。

  • 开通Insights后,至少需要24小时才会产生第一条Insights事件。Insights会在您的账号中产生异常事件时,产生Insights事件。

查询Insights事件

您开通Insights功能后,可以通过操作审计控制台查询当前地域最近一个月的Insights事件。具体操作,请参见通过操作审计控制台查询Insights事件