数据检测响应服务检测到阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息泄露后,会进一步对已泄露和已录入的AK访问Bucket的风险行为进行跟踪,检测这些AK访问的Bucket文件信息,并提供相应的访问告警。建议您及时查看并处理外泄的AK访问事件。本文介绍如何查看异常AK访问告警的详情,帮助您定位风险位置并判断风险影响,以便后续选择适用的处理策略。
前提条件
已开通数据检测响应服务并购买了足够的OSS防护容量。具体内容,请参见开通数据检测响应服务。
已完成目标OSS Bucket授权。具体操作,请参见OSS授权和AK信息录入。
背景信息
AK泄露检测和异常访问告警的工作原理和使用限制,请参见什么是数据检测响应。
查看AK泄露的告警事件统计
登录数据安全中心控制台。
在左侧导航栏,选择
。在OSS泄露(AK场景)页面,您可以查看已发现AK相关告警事件统计,包括使用GitHub平台、已授权OSS Bucket中明文存储的AK以及自建情报中AK,访问已授权Bucket文件的告警事件数量及总量。
重要如果在一个Bucket文件中发现存在10个以上的AK信息,DSC仅采样保存检测到的前10个AK信息进行文件访问跟踪,并提供相应告警信息。您可在Bucket文件的敏感详情中查看AK信息命中数量、敏感等级和采样数据等。详细内容,请参见下文的查看异常AK访问的告警详情。
单击AK泄露情况区域的对应数字,可查看如下对应情报源已发现的AK信息、AK状态等。
单击操作列的刷新,可更新对应AK检测和状态信息。
单击操作列的AK处置,可选择处理AK的方式,例如禁用该AK。详细内容,请参见处理AK泄露和异常访问告警。
单击操作列的情报源详情,可查看对应AK所属文件信息。例如GitHub的文件名、用户名、仓库名和检测时间等。
查看异常AK访问的告警列表
登录数据安全中心控制台。
在左侧导航栏,选择
。在OSS泄露(AK场景)页面下方的告警列表中,查看已泄漏和已录入AK访问已授权Bucket文件的告警事件。
告警参数
描述
告警时间
发现使用对应AK访问文件的时间。
情报源
访问文件的AK所属来源。
归属账号
AK所属账号的UID和登录的用户名。
AccessKey ID
AK明文。
AK处置状态
当前AK访问告警事件对应AK的状态,其中已禁用、已删除、未处置、已加白为处理AK告警事件的状态,未泄露、疑似泄露为自建情报时设置的AK状态。
告警事件处置的详细说明,请参见处理AK泄露和异常访问告警。
Bucket名称/敏感等级
该AK访问的Bucket名称,以及对应识别模板扫描判定的敏感等级。
Bucket治理进度
DSC针对Bucket访问提供三个逐步细化的访问策略:Bucket ACL、限制访问IP和限制访问敏感文件等级。
DSC会根据已配置策略显示对应治理进度:已处理策略个数/3的百分比。
文件数/敏感等级
该AK访问的Bucket内的文件数及对应识别模板扫描判定的敏感等级。您可以单击操作列的详情,在告警详情页面,查看该文件列表,以及命中的敏感识别模型。
查看异常AK访问的告警详情
在OSS泄露(AK场景)页面下方的告警列表中,找到目标AK信息,单击操作列的详情。
在告警详情页面,查看目标AK的详情以及访问Bucket文件的详情。
基础信息:包含告警内容、风险等级、告警时间和AK归属账号。
AK详情:包含发现该AK泄露的首次检测时间和最新检测时间,以及AK所属情报源的详细信息。例如:
GitHub平台的文件名、用户名、SK有效性、仓库名。您可以单击文件名、用户名或仓库名,进入GitHub平台查看具体对应内容。
Bucket的名称、文件名、文件更新时间、文件路径。您可以单击文件名,查看该AK信息命中的识别模型信息。
自建情报的录入用户名和备注。您可以单击情报管理的查看详情,在情报管理面板新建或删除AK信息。
您可单击AK状态右侧的AK处置,对AK进行禁用或加白处理。详细内容,请参见处理AK泄露和异常访问告警。
访问Bucket详情:包含Bucket名称、首次访问时间、访问IP、最新访问时间、归属账号以及对应敏感等级文件数统计等。
单击访问IP右侧的查看详情,可在Bucket访问IP详情列表,查看IP、所属地域(仅公网IP显示)和访问次数。该IP列表按照访问次数倒序排列。
单击Bucket治理进度右侧的前往处置,可以限制Bucket和文件的访问权限。详细内容,请参见处理AK泄露和异常访问告警。
单击右侧的查看Bucket详情,在Bucket详情面板,可以查看如下信息。
访问文件列表:展示该AK访问的文件信息,包含文件名称、文件大小、文件类型、被访问次数、访问时间、分类分级等。
单击文件ACL列的权限下拉列表,可修改文件的ACL。ACL详细说明,请参见OSS的Object ACL。
单击操作列的敏感详情,查看AK信息命中数量、敏感等级和采样数据等。识别模型的更多说明,请参见配置识别模板。
在告警详情页面,单击右上方的日志分析,可跳转到查看审计日志。
页面,查看对应Bucket的操作日志。详细说明,请参见在告警详情页面,单击右上方的操作记录,可跳转到操作审计控制台的事件查询页面,查看对应AK针对数据安全中心的操作日志。详细说明,请参见事件查询说明。
后续操作
根据泄露AK的告警详情和DSC提供的响应措施,进行相关AK泄露和访问事件的处理。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。具体内容,请参见处理AK泄露和异常访问告警。
相关文档
将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中,方便后续根据文件敏感等级标签管控对应文件的访问权限。具体操作,请参见同步敏感等级标签至OSS文件。
实时获取已泄露和已录入AK的告警事件,跟进AK访问记录,确认是否涉及重要数据泄露风险。具体内容,请参见设置异常AK访问告警通知。