OSS Bucket及其文件出現(xiàn)流轉異常、行為異常等攻擊行為(例如文件下載量異常、登錄地址異常、多次嘗試訪問不存在的文件等),會威脅存儲數(shù)據(jù)的安全。您可以使用數(shù)據(jù)安全中心 DSC(Data Security Center)的異常檢測功能來識別并預防數(shù)據(jù)安全威脅的異常操作,根據(jù)發(fā)現(xiàn)威脅提供的處置建議,及時構建一個主動防御體系,確保數(shù)據(jù)處理活動符合安全合規(guī)要求。
方案概覽
某個OSS Bucket的日常數(shù)據(jù)訪問量比較穩(wěn)定(例如每小時訪問目標OSS Bucket次數(shù)最大沒超過1.5萬次),為了確保能及時發(fā)現(xiàn)針對該Bucket訪問次數(shù)異常的事件,使用DSC的異常告警功能,通過配置自定義檢測模型(例如在1小時內訪問目標OSS Bucket次數(shù)超過2萬次)檢測異常訪問行為進行告警,并上報告警通知給指定的安全管理員。安全管理員可以立即查看當前告警事件,確認當前異常操作是否正常,并進行處理。
實現(xiàn)以上異常行為告警,只需三步:
將OSS Bucket接入DSC:DSC授權接入OSS Bucket,確保DSC能審計存儲OSS Bucket的活動日志。
配置OSS Bucket的審計、異常檢測模型和告警通知:打通DSC與OSS數(shù)據(jù)的采集鏈路,使DSC采集OSS Bucket和文件的活動日志,對應操作觸發(fā)異常檢測模型后,上報告警到DSC并發(fā)送告警通知給指定安全管理員。
查看和處理告警事件:通過告警事件詳情,確認當前操作是否對OSS數(shù)據(jù)安全造成威脅并及時處理。
前提條件
當前賬號已購買數(shù)據(jù)安全中心實例并授權數(shù)據(jù)安全中心訪問其他阿里云資源。
因數(shù)據(jù)安全中心服務僅企業(yè)版實例支持異常告警功能,異常告警事件依托于審計日志,所以必須購買數(shù)據(jù)安全中心的企業(yè)版,本示例針對OSS Bucket異常審計,需開啟OSS數(shù)據(jù)管理服務,選擇業(yè)務需要的OSS防護容量,開通增值模塊的日志存儲,購買足量的日志存儲量用于存儲OSS Bucket審計日志。對于數(shù)據(jù)庫管理和增值模塊的其他服務可以全部關閉。
當前賬號已開通對象存儲OSS,并添加OSS Bucket存儲業(yè)務數(shù)據(jù)。具體操作,請參見創(chuàng)建存儲空間。
步驟一:將OSS Bucket接入DSC
在數(shù)據(jù)安全中心的授權管理頁面,單擊資產授權管理。
在資產授權管理面板的非結構化數(shù)據(jù)下,選擇OSS,單擊資產同步。
資產同步完成后,找到目標OSS Bucket,然后單擊操作列的授權。
授權完成后,在資產授權管理頁面,找到該OSS Bucket,然后單擊操作列的一鍵連接。
在提示框中,無需選中數(shù)據(jù)掃描和識別,直接單擊確定。
等待OSS Bucket的連接狀態(tài)變?yōu)?b data-tag="uicontrol" id="68bea08104bd8" class="uicontrol">已連接。
步驟二:配置OSS Bucket的審計、異常檢測模型和告警通知
2.1 開啟原生日志采集
在數(shù)據(jù)安全中心審計配置頁面的審計模式頁簽,單擊點擊去授權,完成日志服務訪問云資源的授權。
在審計模式頁簽的非結構化數(shù)據(jù)下,選擇OSS。
找到新接入的目標OSS Bucket,單擊審計模式列的原生日志采集,在彈出的對話框中,單擊確定。
2.2 配置并啟用自定義異常檢測模型
在數(shù)據(jù)安全中心的異常檢測模型頁簽,單擊自定義檢測模型。
單擊添加規(guī)則,在新增規(guī)則對話框,完成自定義模型參數(shù)配置,并單擊確定。
完成模型創(chuàng)建后,在模型列表中打開模型狀態(tài)列的開關,啟用該模型進行檢測。
3.3 配置告警通知
在告警通知頁簽,單擊新增告警配置。
在新增告警通知配置面板,選擇郵箱告警方式,選中風險告警的所有等級,單擊確定。
步驟三:查看告警事件
當某個小時內,目標OSS Bucket的訪問次數(shù)觸發(fā)了異常檢測規(guī)則,會上報異常告警到數(shù)據(jù)安全中心控制臺,并發(fā)送對應告警通知給指定的告警聯(lián)系人。
3.1 查看郵箱告警通知
郵箱通知中設置的郵件接收人會接收到如下郵件告警信息。
3.2 查看告警事件
在數(shù)據(jù)安全中心的異常告警頁面的自定義異常頁簽,查看OSS的告警列表,可看到對應告警事件。
單擊操作列的查看詳情,查看異常事件詳情,包括基礎信息、對象信息、異常描述和處置建議方案等。
3.3 確認并處理告警事件
您可以單擊異常事件詳情頁面的日志分析,通過查看審計日志,跟蹤目標OSS Bucket訪問情況,調查安全事件原因。
例如,查看訪問目標OSS Bucket的IP分布情況,確認IP訪問量是否正常。
bucket : examplebucket* |select client_ip,count(*) as request_count group by client_ip order by request_count desc
根據(jù)日志分析結果,存在一個IP的訪問量明顯較高。
如果無法確認IP訪問量高的原因,建議立即通知安全技術團隊進行外部攻擊響應與溯源。
如果已確認當前所有IP訪問量正常,無需進行處理,可將異常事件加入白名單。DSC后續(xù)將不再對該事件進行告警提示。
在數(shù)據(jù)安全中心的異常告警頁面,找到OSS Bucket的目標告警事件,單擊操作列的處理。
單擊加入白名單頁簽,會自動匹配當前異常檢測模型的規(guī)則名稱、Bucket、賬號和IP,您可以單擊操作類型下拉框,選擇加入白名單的操作,添加事件處理記錄后,單擊確定。
總結
DSC支持從Bucket名稱、Object名稱、客戶端IP、訪問者(UID)、訪問AK、Object大小、敏感等級維度,自定義異常檢測模型,用戶可根據(jù)業(yè)務需求和安全策略來創(chuàng)建特定的數(shù)據(jù)檢測和告警規(guī)則,幫助用戶實現(xiàn)OSS數(shù)據(jù)活動精細化監(jiān)控、風險預警,從而保障數(shù)據(jù)資產不受威脅。更多內容,請參見自定義檢測模型。
靈活啟用異常檢測模型
DSC對OSS資產還支持如下內置異常檢測模型,您可以同時開啟多個檢測模型的開關,全面防護OSS數(shù)據(jù)安全。更多內容,請參見內置檢測模型說明。
流轉異常
異常地理位置下載敏感數(shù)據(jù)、異常終端下載敏感數(shù)據(jù)、異常時間下載敏感數(shù)據(jù)、初次下載敏感數(shù)據(jù)、文件下載量異常、下載非常用Bucket內敏感文件、下載敏感數(shù)據(jù)的IP數(shù)量過多、異常頻率下載敏感數(shù)據(jù)、異常Referer下載敏感數(shù)據(jù)、基于機器學習的OSS訪問異常行為告警。
行為異常
登錄時間異常、登錄使用終端異常、登錄地址異常、多次嘗試訪問不存在的文件、多次嘗試訪問沒有權限的文件。
敏感數(shù)據(jù)異常檢測和告警
如果需要針對敏感數(shù)據(jù)進行異常檢測和告警,需要完成敏感數(shù)據(jù)識別和分類分級。具體內容,請參見識別任務說明。
審計日志分析
審計日志記錄了OSS Bucket活動的詳細信息,通過查看審計日志,可以跟蹤相關OSS Bucket和文件潛在的惡意攻擊行為或未授權訪問、調查安全事件原因。具體內容,請參見查看審計日志。
異常告警處理
如果您確認異常檢測結果確實為異常事件,您需要根據(jù)告警處置建議,定位到該異常事件的位置,并在OSS Bucket中進行手動處理。確認違規(guī)的事件如未被處理,DSC將會一直對該事件進行異常事件告警。
處理告警事件完成后,需要在DSC側完成異常確認和處理結果標記。您可以添加處理記錄,方便后續(xù)回溯對應告警事件。更多內容,請參見發(fā)現(xiàn)和處理異常告警。
