安全审计提供告警模块,您可以自定义告警通知规则与告警历史查看。
功能体验
阿里云Playground提供了云监控2.0主要功能的演示环境,便于您快速了解及体验云监控2.0。
请访问 Playground Demo 演示环境,默认进入工作空间:
o11y-demo-cn-hangzhou。选择导航栏日志审计或者在应用中心选择日志审计。
在日志审计导航栏选择、告警规则、威胁狩猎、事件列表,将会提供相关告警功能。
告警概览
登录云监控2.0控制台,单击目标工作空间后,在应用中心找到日志审计并单击,查看告警管理模块。安全审计的告警主要功能包括:
告警历史
告警详情
在告警历史列表对触发的告警进行详情查看,告警详情页展示内容包含:规则ID,触发时间,地域,告警名称,告警级别,告警状态等。
调查
仅使用模板创建的告警拥有调查功能。调查中包含:
风险详情页:展示告警中暴露的风险实体,以及实体详情信息。
溯源图:仅主机审计类模板规则创建的告警包含溯源图。溯源图展示风险实体的调用拓扑图,支持一级、二级拓扑展示。
告警规则
在告警规则中新建规则时,您可以直接新建规则,也可以选择从模板中创建,其中内置了操作审计、主机审计两类模板规则。具体参数配置请参考告警规则创建说明。
仅使用模板创建的告警拥有调查功能。
威胁狩猎
创建告警规则后,如果告警扫描到规则触发,默认支持将告警事件发送到告警事件库中。威胁狩猎基于告警事件库进行分析洞察,现在已经支持对操作审计和主机场景的告警进行威胁狩猎。
使用前提
已在资源中心接入对应资源。
操作审计威胁狩猎
展示基本的操作审计场景下的告警整体态势、例如告警触发事件数、告警规则数、事件严重分布。以及一些操作审计侧典型场景的告警,如 RAM 权限、行踪、 安全组、登录失败等。
主机场景威胁狩猎
展示基本的主机场景下的告警整体态势、例如告警触发事件数、告警规则数、事件严重分布。以及一些主机侧典型场景的告警,如暴力破解、身份认证等。
事件列表
操作审计、ECS 审计日志或 VPC 流日志,接入其中任一项都会自动创建告警事件库。告警规则触发后,默认把告警详情写入告警事件库中。具体日志内容及字段描述如下:
