操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。
安全风险
在等保2.0等安全合规标准中,日志记录操作、变更等行为是基本要求,并要求保存不少于规定的天数。ActionTrail记录用户自身、云服务(角色扮演、使用用户权限时)所做的云操作,满足合规要求。此外日志中记录关乎异常操作的线索,如认证、鉴权失败的操作,请求来源地的IP,使用的云凭据ID,请求参数和其他元数据,可以用于行为异常分析,发现潜在的恶意行为。
最佳实践
1. 启用ActionTrail日志跟踪
操作审计默认在云平台记录您最近90天的事件,如果您不进行转存保留,每过去一天就会清除最早一天的记录。当您需要存储超过90天的事件时,请创建单账号跟踪或者创建多账号跟踪,支持将事件持续投递到对象存储OSS或者日志服务SLS中进行监控和分析,如果是单纯的归档存储诉求,推荐您存储到对象存储OSS。
2. 设置ActionTrail事件告警
操作审计的事件告警功能可以帮您实时监测与快速响应云上资源的异常。当设定的告警规则识别到潜在的安全威胁或不符合规范的操作事件时,将通过多种通知方式向用户和用户组发送告警通知,便于快速响应处理。更多信息,参见设置事件告警。
您可以使用模板创建告警规则,其中预定了较多安全相关的告警规则,如账号连续登录失败告警、Root账号连续登录告警、未授权的IP登录告警、非工作时间登录告警等。
您也可以自定义告警规则,设置自定义关注的字段和告警条件。更多信息,创建自定义告警规则。
3. 使用Insights智能分析日志
Insights是基于数学模型的智能分析工具,通过分析关键操作与历史调用情况的差异(如某API调用率显著升高),发现差异大的情况并生成Insights事件,便于您及时洞察云上管控风险并尽快采取补救措施。Insights可识别存在风险的API调用事件、API错误事件、IP请求事件、AccessKey调用事件、权限变更事件、密码变更事件和隐匿行踪事件。更多参见Insights事件概览。