操作審計支持Insights事件,幫助您從管控事件中發現異常行為。開通Insights事件后,操作審計將基于管控事件識別存在風險的API調用事件、API錯誤事件、IP請求事件、AccessKey調用事件、權限變更事件、密碼變更事件和隱匿行蹤事件并生成Insights事件,便于您及時洞察云上管控風險并盡快采取補救措施。
Insights事件與管控事件的區別
事件類型 | 說明 | 相關文檔 |
管控事件 | 用戶通過登錄阿里云賬號,使用阿里云上的身份對云資源進行管控而被記錄的操作日志。每一條管控事件是一次操作日志。 | |
Insights事件 | 基于云上記錄的管控事件,Insights事件通過數學模型分析了可能存在風險的API調用事件(ApiCallRateInsight)、API錯誤事件(ApiErrorRateInsight)、IP請求事件(IpInsight)、AccessKey調用事件(AkInsight)、權限變更事件(PolicyChangeInsight)、密碼變更事件(PasswordChangeInsight)和隱匿行蹤事件(TrailConcealmentInsight),例如:您的賬號被一個外部IP地址入侵后,如果對某一個資源進行大量的寫事件(例如:刪除操作),則會觸發針對該IP地址的IP請求事件,以及該刪除操作的API調用事件。 |
功能特性
操作審計的Insights功能會分析過去一段時間內您阿里云賬號中的全部管控事件來形成API調用事件(ApiCallRateInsight)、API錯誤事件(ApiErrorRateInsight)、IP請求事件(IpInsight)、AccessKey調用率事件(AkInsight)、權限變更事件(PolicyChangeInsight)、密碼變更事件(PasswordChangeInsight)和隱匿行蹤事件(TrailConcealmentInsight)。每一條Insights事件包含該事件發生時的一條開始事件和該事件結束時的一條結束事件。
API調用事件(ApiCallRateInsight)會分析您阿里云賬號中的全部寫事件,其基于API的調用率并結合數學模型來分析API當前調用與歷史調用行為相較是否發生顯著變化,并生成Insights事件。
API錯誤事件(ApiErrorRateInsight)會分析您阿里云賬號中API錯誤調用的全部管控事件,其基于API的錯誤調用率并結合數學模型來分析API當前調用錯誤與歷史調用錯誤行為相較是發生顯著變化,并生成Insights事件。
IP請求事件(IpInsight)會總結正常來訪IP地址的特征模型。在您后續長期的云上訪問過程中,不斷為您掃描并鑒別新出現的來訪IP地址,識別其中的異常IP地址,并生成Insights事件。
AccessKey調用事件(AkInsight)會分析您阿里云賬號中所有的AccessKey ID,基于AccessKey的調用率并結合數學模型分析AccessKey當前調用與歷史調用行為相較是否發生顯著變化,并生成Insights事件。
權限變更事件(PolicyChangeInsight)會分析您阿里云賬號中具備權限變更能力的所有云產品,例如:RAM、OSS、資源管理等,并依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
密碼變更事件(PasswordChangeInsight)會分析您阿里云賬號中具備密碼變更能力的所有云產品,例如:KMS、AasCustomer(云賬號登錄服務)、AasSub(RAM用戶登錄服務)等,并依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
隱匿行蹤事件(TrailConcealmentInsight)會分析您阿里云賬號在操作審計上的停止跟蹤或刪除跟蹤的行為,并依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
工作原理
Insights事件的生成條件:當您開通Insights功能后,操作審計會持續分析您開通Insights功能后所產生的全部管控事件,并在至少24小時后為您產生第一條Insights事件。Insights事件是對可能存在風險的行為的洞察,如果您的阿里云賬號中不存在風險行為,則不會生成Insights事件。
Insights事件的統計范圍:Insights事件是分地域的。針對同一個地域發生的管控事件進行Insights事件的分析,所以Insights事件與管控事件所在地域相同。
Insights事件的判定規則如下:
API調用事件(ApiCallRateInsight)用于分析API調用率相較歷史調用率的異常。采用數學模型來分析當前API的調用行為與調用方式與歷史調用是否存在明顯差異,如果該API的當前調用與歷史調用存在明顯差異,則會產生針對當前API的Insights事件。
說明API調用事件(ApiCallRateInsight)針對寫事件分析更為敏感。
API錯誤事件(ApiErrorRateInsight)用于分析API錯誤率相較歷史調用率的異常。采用數學模型來分析當前API錯誤的調用(調用行為和調用方式)與歷史調用是否存在明顯差異,如果該API錯誤的當前調用與歷史調用存在明顯差異,則會產生針對當前API錯誤的Insights事件。
說明API錯誤事件(ApiErrorRateInsight)針對讀寫事件分析敏感度一致。
IP請求事件(IpInsight)用于洞察風險IP地址的訪問。采用IP地址關聯度算法可能導致一些新出現的來訪IP地址被錯誤地識別為風險IP地址。當IP請求事件產生后,會在當天僅形成一條關于該IP地址第一次訪問的IP請求事件。
AccessKey調用事件(AkInsight)用于分析AccessKey調用率相較歷史調用率的異常。采用數學模型來分析當前AccessKey的調用行為與調用方式與歷史調用是否存在明顯差異,如果該AccessKey的當前調用與歷史調用存在明顯差異,則會產生針對當前AccessKey的Insights事件。
說明AccessKey調用事件(AkInsight)針對寫事件分析更為敏感。
權限變更事件(PolicyChangeInsight)用于分析非常規操作者的權限變更行為,采用機器學習算法產生頻繁項集與關聯關系,過濾常規操作者的權限變更行為,針對非常規操作者的權限變更行為產生Insights事件。
密碼變更事件(PasswordChangeInsight)用于分析非常規操作者的密碼變更行為,采用機器學習算法產生頻繁項集與關聯關系,過濾常規操作者的密碼變更行為,針對非常規操作者的密碼變更行為產生Insights事件。
隱匿行蹤事件(TrailConcealmentInsight)用于分析非常規操作者的刪除跟蹤或停止跟蹤行為,采用機器學習算法產生頻繁項集與關聯關系,過濾常規操作者對跟蹤的配置行為,針對非常規操作者的行為產生Insights事件。
使用說明
查詢Insights事件
您開通Insights功能后,可以通過操作審計控制臺查詢當前地域最近一個月的Insights事件。具體操作,請參見通過操作審計控制臺查詢Insights事件。