文档

查看异常泄露AK及其访问告警

更新时间:

数据检测响应服务检测到阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息泄露后,会进一步对已泄露和已录入的AK访问Bucket的风险行为进行跟踪,检测这些AK访问的Bucket文件信息,并提供相应的访问告警。建议您及时查看并处理外泄的AK访问事件。本文介绍如何查看异常AK访问告警的详情,帮助您定位风险位置并判断风险影响,以便后续选择适用的处理策略。

前提条件

背景信息

AK泄露检测和异常访问告警的工作原理和使用限制,请参见什么是数据检测响应

查看AK泄露的告警事件统计

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > OSS泄露(AK场景)

  3. OSS泄露(AK场景)页面,您可以查看已发现AK相关告警事件统计,包括使用GitHub平台、已授权OSS Bucket中明文存储的AK以及自建情报中AK,访问已授权Bucket文件的告警事件数量及总量。

    重要

    如果在一个Bucket文件中发现存在10个以上的AK信息,DSC仅采样保存检测到的前10个AK信息进行文件访问跟踪,并提供相应告警信息。您可在Bucket文件的敏感详情中查看AK信息命中数量、敏感等级和采样数据等。详细内容,请参见下文的查看异常AK访问的告警详情

    image

  4. 单击AK泄露情况区域的对应数字,可查看如下对应情报源已发现的AK信息、AK状态等。

    image

    • 单击操作列的刷新,可更新对应AK检测和状态信息。

    • 单击操作列的AK处置,可选择处理AK的方式,例如禁用该AK。详细内容,请参见处理AK泄露和异常访问告警

    • 单击操作列的情报源详情,可查看对应AK所属文件信息。例如GitHub的文件名、用户名、仓库名和检测时间等。

      image

查看异常AK访问的告警列表

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > OSS泄露(AK场景)

  3. OSS泄露(AK场景)页面下方的告警列表中,查看已泄漏和已录入AK访问已授权Bucket文件的告警事件。

    告警参数

    描述

    告警时间

    发现使用对应AK访问文件的时间。

    情报源

    访问文件的AK所属来源。

    归属账号

    AK所属账号的UID和登录的用户名。

    AccessKey ID

    AK明文。

    AK处置状态

    当前AK访问告警事件对应AK的状态,其中已禁用已删除未处置已加白为处理AK告警事件的状态,未泄露疑似泄露为自建情报时设置的AK状态。

    告警事件处置的详细说明,请参见处理AK泄露和异常访问告警

    Bucket名称/敏感等级

    该AK访问的Bucket名称,以及对应识别模板扫描判定的敏感等级。

    Bucket治理进度

    DSC针对Bucket访问提供三个逐步细化的访问策略:Bucket ACL、限制访问IP和限制访问敏感文件等级。

    DSC会根据已配置策略显示对应治理进度:已处理策略个数/3的百分比。

    文件数/敏感等级

    该AK访问的Bucket内的文件数及对应识别模板扫描判定的敏感等级。您可以单击操作列的详情,在告警详情页面,查看该文件列表,以及命中的敏感识别模型。

查看异常AK访问的告警详情

  1. OSS泄露(AK场景)页面下方的告警列表中,找到目标AK信息,单击操作列的详情

  2. 告警详情页面,查看目标AK的详情以及访问Bucket文件的详情。

    • 基础信息:包含告警内容、风险等级、告警时间和AK归属账号。

    • AK详情:包含发现该AK泄露的首次检测时间和最新检测时间,以及AK所属情报源的详细信息。例如:

      • GitHub平台的文件名、用户名、SK有效性、仓库名。您可以单击文件名、用户名或仓库名,进入GitHub平台查看具体对应内容。

      • Bucket的名称、文件名、文件更新时间、文件路径。您可以单击文件名,查看该AK信息命中的识别模型信息。

      • 自建情报的录入用户名和备注。您可以单击情报管理查看详情,在情报管理面板新建或删除AK信息。

      您可单击AK状态右侧的AK处置,对AK进行禁用或加白处理。详细内容,请参见处理AK泄露和异常访问告警

    • 访问Bucket详情:包含Bucket名称、首次访问时间、访问IP、最新访问时间、归属账号以及对应敏感等级文件数统计等。

      • 单击访问IP右侧的查看详情,可在Bucket访问IP详情列表,查看IP、所属地域(仅公网IP显示)和访问次数。该IP列表按照访问次数倒序排列。

      • 单击Bucket治理进度右侧的前往处置,可以限制Bucket和文件的访问权限。详细内容,请参见处理AK泄露和异常访问告警

      • 单击右侧的查看Bucket详情,在Bucket详情面板,可以查看如下信息。

        image

    • 访问文件列表:展示该AK访问的文件信息,包含文件名称、文件大小、文件类型、被访问次数、访问时间、分类分级等。

      • 单击文件ACL列的权限下拉列表,可修改文件的ACL。ACL详细说明,请参见OSS的Object ACL

      • 单击操作列的敏感详情,查看AK信息命中数量、敏感等级和采样数据等。识别模型的更多说明,请参见配置识别模板

        image

  3. 告警详情页面,单击右上方的日志分析,可跳转到数据审计 > 日志分析页面,查看对应Bucket的操作日志。详细说明,请参见查看审计日志

  4. 告警详情页面,单击右上方的操作记录,可跳转到操作审计控制台的事件查询页面,查看对应AK针对数据安全中心的操作日志。详细说明,请参见事件查询说明

后续操作

根据泄露AK的告警详情和DSC提供的响应措施,进行相关AK泄露和访问事件的处理。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。具体内容,请参见处理AK泄露和异常访问告警

相关文档

  • 将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中,方便后续根据文件敏感等级标签管控对应文件的访问权限。具体操作,请参见同步敏感等级标签至OSS文件

  • 实时获取已泄露和已录入AK的告警事件,跟进AK访问记录,确认是否涉及重要数据泄露风险。具体内容,请参见设置异常AK访问告警通知