OSS Bucket及其文件出现流转异常、行为异常等攻击行为(例如文件下载量异常、登录地址异常、多次尝试访问不存在的文件等),会威胁存储数据的安全。您可以使用数据安全中心 DSC(Data Security Center)的异常检测功能来识别并预防数据安全威胁的异常操作,根据发现威胁提供的处置建议,及时构建一个主动防御体系,确保数据处理活动符合安全合规要求。
方案概览
某个OSS Bucket的日常数据访问量比较稳定(例如每小时访问目标OSS Bucket次数最大没超过1.5万次),为了确保能及时发现针对该Bucket访问次数异常的事件,使用DSC的异常告警功能,通过配置自定义检测模型(例如在1小时内访问目标OSS Bucket次数超过2万次)检测异常访问行为进行告警,并上报告警通知给指定的安全管理员。安全管理员可以立即查看当前告警事件,确认当前异常操作是否正常,并进行处理。
实现以上异常行为告警,只需三步:
将OSS Bucket接入DSC:DSC授权接入OSS Bucket,确保DSC能审计存储OSS Bucket的活动日志。
配置OSS Bucket的审计、异常检测模型和告警通知:打通DSC与OSS数据的采集链路,使DSC采集OSS Bucket和文件的活动日志,对应操作触发异常检测模型后,上报告警到DSC并发送告警通知给指定安全管理员。
查看和处理告警事件:通过告警事件详情,确认当前操作是否对OSS数据安全造成威胁并及时处理。
前提条件
当前账号已购买数据安全中心实例并授权数据安全中心访问其他阿里云资源。
因数据安全中心服务仅企业版实例支持异常告警功能,异常告警事件依托于审计日志,所以必须购买数据安全中心的企业版,本示例针对OSS Bucket异常审计,需开启OSS数据管理服务,选择业务需要的OSS防护容量,开通增值模块的日志存储,购买足量的日志存储量用于存储OSS Bucket审计日志。对于数据库管理和增值模块的其他服务可以全部关闭。
步骤一:将OSS Bucket接入DSC
在数据安全中心的授权管理页面,单击资产授权管理。
在资产授权管理面板的非结构化数据下,选择OSS,单击资产同步。
资产同步完成后,找到目标OSS Bucket,然后单击操作列的授权。
授权完成后,在资产授权管理页面,找到该OSS Bucket,然后单击操作列的一键连接。
在提示框中,无需选中数据扫描和识别,直接单击确定。
等待OSS Bucket的连接状态变为已连接。
步骤二:配置OSS Bucket的审计、异常检测模型和告警通知
2.1 开启原生日志采集
在数据安全中心审计配置页面的审计模式页签,单击点击去授权,完成日志服务访问云资源的授权。
在审计模式页签的非结构化数据下,选择OSS。
找到新接入的目标OSS Bucket,单击审计模式列的原生日志采集,在弹出的对话框中,单击确定。
2.2 配置并启用自定义异常检测模型
在数据安全中心的异常检测模型页签,单击自定义检测模型。
单击添加规则,在新增规则对话框,完成自定义模型参数配置,并单击确定。
完成模型创建后,在模型列表中打开模型状态列的开关,启用该模型进行检测。
3.3 配置告警通知
在告警通知页签,单击新增告警配置。
在新增告警通知配置面板,选择邮箱告警方式,选中风险告警的所有等级,单击确定。
步骤三:查看告警事件
当某个小时内,目标OSS Bucket的访问次数触发了异常检测规则,会上报异常告警到数据安全中心控制台,并发送对应告警通知给指定的告警联系人。
3.1 查看邮箱告警通知
邮箱通知中设置的邮件接收人会接收到如下邮件告警信息。
3.2 查看告警事件
在数据安全中心的异常告警页面的自定义异常页签,查看OSS的告警列表,可看到对应告警事件。
单击操作列的查看详情,查看异常事件详情,包括基础信息、对象信息、异常描述和处置建议方案等。
3.3 确认并处理告警事件
您可以单击异常事件详情页面的日志分析,通过查看审计日志,跟踪目标OSS Bucket访问情况,调查安全事件原因。
例如,查看访问目标OSS Bucket的IP分布情况,确认IP访问量是否正常。
bucket : examplebucket* |select client_ip,count(*) as request_count group by client_ip order by request_count desc
根据日志分析结果,存在一个IP的访问量明显较高。
如果无法确认IP访问量高的原因,建议立即通知安全技术团队进行外部攻击响应与溯源。
如果已确认当前所有IP访问量正常,无需进行处理,可将异常事件加入白名单。DSC后续将不再对该事件进行告警提示。
在数据安全中心的异常告警页面,找到OSS Bucket的目标告警事件,单击操作列的处理。
单击加入白名单页签,会自动匹配当前异常检测模型的规则名称、Bucket、账号和IP,您可以单击操作类型下拉框,选择加入白名单的操作,添加事件处理记录后,单击确定。
总结
DSC支持从Bucket名称、Object名称、客户端IP、访问者(UID)、访问AK、Object大小、敏感等级维度,自定义异常检测模型,用户可根据业务需求和安全策略来创建特定的数据检测和告警规则,帮助用户实现OSS数据活动精细化监控、风险预警,从而保障数据资产不受威胁。更多内容,请参见自定义检测模型。
灵活启用异常检测模型
DSC对OSS资产还支持如下内置异常检测模型,您可以同时开启多个检测模型的开关,全面防护OSS数据安全。更多内容,请参见内置检测模型说明。
流转异常
异常地理位置下载敏感数据、异常终端下载敏感数据、异常时间下载敏感数据、初次下载敏感数据、文件下载量异常、下载非常用Bucket内敏感文件、下载敏感数据的IP数量过多、异常频率下载敏感数据、异常Referer下载敏感数据、基于机器学习的OSS访问异常行为告警。
行为异常
登录时间异常、登录使用终端异常、登录地址异常、多次尝试访问不存在的文件、多次尝试访问没有权限的文件。
敏感数据异常检测和告警
如果需要针对敏感数据进行异常检测和告警,需要完成敏感数据识别和分类分级。具体内容,请参见识别任务说明。
审计日志分析
审计日志记录了OSS Bucket活动的详细信息,通过查看审计日志,可以跟踪相关OSS Bucket和文件潜在的恶意攻击行为或未授权访问、调查安全事件原因。具体内容,请参见查看审计日志。
异常告警处理
如果您确认异常检测结果确实为异常事件,您需要根据告警处置建议,定位到该异常事件的位置,并在OSS Bucket中进行手动处理。确认违规的事件如未被处理,DSC将会一直对该事件进行异常事件告警。
处理告警事件完成后,需要在DSC侧完成异常确认和处理结果标记。您可以添加处理记录,方便后续回溯对应告警事件。更多内容,请参见发现和处理异常告警。