在遵循CIS (Center for Internet Security) 網絡安全框架的過程中,當您需要監測和審計高危訪問事件時,可以通過操作審計事件高級查詢功能中的系統模板,進行快速查詢。系統模板包括:查詢審計跟蹤的變更事件、查詢審計跟蹤的停止事件、查詢RAM角色變更事件和云防火墻關閉事件等。本文以查詢審計跟蹤的變更事件為例,為您介紹如何通過操作審計查詢CIS標準相關的事件詳情。
前提條件
背景信息
CIS(Center for Internet Security)網絡安全框架檢查,為您動態且持續地監控您保有在阿里云上的資源是否符合CIS網絡安全框架要求。滿足這些要求,可以大幅度降低網絡安全風險。
操作步驟
登錄操作審計控制臺。
在左側導航欄,選擇。
在查詢范圍-跟蹤選擇已創建的跟蹤。
在查詢范圍區域的模板庫頁簽,選擇。
在查詢審計跟蹤的變更事件頁簽,先設置查詢事件的時間段,再單擊運行。
說明操作審計默認查詢7天的事件。
您可以單擊右側的事件告警,為當前事件設置告警。具體操作,請參見創建自定義告警規則。
您可以對系統模板默認的SQL語句進行修改,然后單擊保存,將其另存為自定義模板,進行二次應用。
查看事件的查詢結果。
原始日志
在原始日志頁簽,單擊目標事件對應操作列的查看事件詳情,查看事件的基本信息和事件記錄。
說明通過查看事件詳情面板可知,操作記錄顯示某RAM用戶在華北3(張家口)地域的2024年01月10日11:06:40進行了啟用跟蹤操作。
查詢直方圖
在查詢直方圖頁簽,查看事件發生的直方圖。
相關文檔
您還可以通過設置篩選條件或SQL語句,查詢事件詳情。具體操作,請參見自定義查詢事件。
文檔內容是否對您有幫助?