云审计服务 CTS | 大装置帮助中心
跳到主要内容

云审计服务 CTS

产品介绍

SenseCore云审计是针对SenseCore的各云产品的审计服务。通过监测、记录和分析云平台上云资源的各种操作、安全事件、访问权限等信息,以确保云平台的安全性、合规性,并提供审计日志。

在SenseCore云审计中,我们将云审计事件定义为:用户在SenseCore云平台上对其购买的云资源进行的重要操作记录。其中,云审计事件分为3种,管理事件、行为事件、数据事件。(目前仅支持管理事件和行为事件)

事件类型定义

术语含义
事件事件指的是用户通过各个入口访问和管理SenseCore云资源,对SenseCore云资源执行某些具体操作的重要行为记录。
管理事件管理事件指用户购买、开通等管理子产品相关云资源的操作行为记录。
行为事件行为事件指用户从其他入口登录后使用子产品的各种操作行为记录。
数据事件数据事件指用户在对象存储侧,上传、下载等对数据进行操作的行为记录。

产品功能

1.提供审计日志

  • CTS提供云资源及其使用的相关操作审计日志。

2.支持按不同条件筛选日志

  • CTS支持按事件名称、用户名称等筛选展示审计日志列表。

3.审计日志保存

  • 云审计服务支持保存14天的审计记录。

应用场景

  1. 合规审计
  • 在合规审计方面,针对拥有多个成员并使用访问控制来管理权限的组织。通过操作审计,可以获取每个成员的详细事件记录,以满足合规性审计的需求。根据审计人员的职责不同,还可以创建多个跟踪不同区域和事件类型的审计配置,并将审计日志存储在不同的存储空间中。
  1. 安全分析及问题定位
  • 云审计服务会详细记录用户对云资源的所有重要操作,当云账号或资源可能存在安全问题的时候,用户可以通过云审计记录,对账号和资源进行判断,判断其是否存在安全问题。同时,当用户的云资源发生重要变更时,用户可以通过云审计服务快速获取资源变更信息,快速定位资源变更的操作者。
  • 当云资源或账号出现问题时,用户可以通过云审计服务,快速追踪、溯源问题,及时获取账户内用户的操作记录和路径,以达到快速定位问题的目的。

计费说明

1.计费方式

云审计服务不收取费用。

2.使用规则

开箱即用

支持的子产品

子产品分类子产品名称子产品英文名称
AI云计算弹性计算集群AEC2
AI云计算高性能算力池ACP
AI云计算云容器实例CCI
AI云计算弹性裸金属服务器BMS
AI云计算云服务器ECS
AI云存储文件存储AFS
AI云存储块存储ABS
AI云存储对象存储AOSS
AI云存储缓存服务ACS
AI云网络私有网络VPC
AI云网络弹性公网IPEIP
AI云网络负载均衡SLB
AI云网络专线接入DC
AI开发平台云开发机AICL
AI开发平台模型平台AMP
开发者工具容器镜像服务CCR

用户指南

1.功能入口

云审计功能入口如图

cts-1

2.云审计功能开通说明

  1. 管理事件审计功能默认开通;
  2. 行为事件审计需要在【云产品接入管理】页面,根据需求按子产品开通,不同子产品的行为审计用户需要在云审计侧单独分别授权;
  3. 数据事件仅针对对象存储AOSS,仅需开通一次,开通时需要配置存储信息,配置完成后功能开通完成并生效;
  4. 数据事件可关闭,关闭后审计功能停止,但数据事件仍为【开通】状态;启用数据审计后,配置默认不变;

cts-1

3.行为事件功能授权开通

注意事项

  1. 云开发机:行为事件接入将导致code server、jupyterlab、ssh地址的访问入口不可用;为了保障云开发机实例行为数据的正常审计,请注意先停止运行中的云开发机,保存相关数据、环境。
  2. CCI 行为事件审计目前仅支持对 web terminal 中执行的所有命令进行记录,通过 EIP SSH 登录后执行的命令和界面修改配置等操作暂不在审计内容中。
  • 在需要开通行为事件的子产品侧点击开通,点击同意授权,点击确认后即可开通使用;

cts-1 cts-1

4.数据事件功能授权开通

  • 在需要开通行为事件的子产品侧点击开通,填写配置信息,点击确认后即可开通使用;

cts-1 cts-1

  • 开通后点击跳转到aoss侧查看审计记录文件

cts-1

5.审计日志列表

cts-1

6.审计日志详细信息示例

事件信息名称事件信息含义
事件名称事件的具体名称
资源类型事件的资源的类型
事件来源事件来源的云产品名称
资源ID资源ID
事件级别事件级别包括:normal(正常)、warning(警告)和incident(事故); normal:代表本次操作成功;warning:代表本次操作失败;incident:代表本次操作引起了比失败更严重的后果,比如会造成节点故障或用户业务故障等情况。
操作用户执行该操作的用户名称
操作时间操作的具体时间
事件详情一段事件代码详细记录,详情参照下方

事件详情:

{
"time":"2023-06-20T03:08:22.943592939Z"
"user":{
"user_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"user_name":"root1010"
"tenant_code":"code1010"
}
"request":{
"user":{
"id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"name":"code1010"
"source":"build_in"
"status":"valid"
"username":"root1010"
"mfa_state":"disabled"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"user_type":"admin"
"create_time":"2022-10-10T09:43:03.746624Z"
"tenant_code":"code1010"
"update_time":"2023-06-20T03:06:58.197327Z"
"console_state":"enabled"
"open_api_state":"disabled"
"credential_type":"bcrypt"
"last_login_time":"2023-06-20T03:06:58.197324Z"
"set_password_time":"2023-04-18T10:41:19.830267Z"
"password_updator_id":"00000000-0000-0000-0000-000000000000"
"set_password_next_login":"disabled"
"set_password_first_login":"enabled"
}
"challenge":"7d9097e8d8ee4986a739236ee70aa49b"
}
"event_id":"cdc8bc02-bf37-49a7-8a09-4ac346ed08f5"
"response":{
"id":"00000000-0000-0000-0000-000000000000"
"action":"login"
"object_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"create_time":"2023-06-20T03:08:22.940141673Z"
"object_name":"root1010"
"object_type":"user"
"operator_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_code":"code1010"
"action_result":true
"operator_username":"root1010"
}
"source_ip":"10.165.96.50"
"event_type":"ConsoleAction"
"api_version":"v1.0"
"record_time":"2023-06-20T03:08:22.946822084Z"
"event_rating":"normal"
"service_type":"IAM"
"resource_type":"cmp.iam.v1.user"
"operation_type":"login"
}

7.审计日志筛选

云审计服务支持按以下条件筛选展示:

筛选条件条件概述
按事件来源筛选按事件来源所属子产品名称筛选事件
按资源类型筛选按事件资源类型筛选展示事件
按事件ID筛选搜索事件ID筛选事件
按操作用户名称筛选搜索用户名称筛选相关事件
按事件级别筛选按事件的重要级别筛选,级别有:normal、warning、incident
查询条件清空重置一键清空已设置的查询条件

具体如图: cts-1

8.云开发机-sendSSHInstruction 行为事件查看

  1. 下载审计事件文件:

    • 进入“云审计服务”管理页面,将事件类型由“管理事件”切换为“行为事件”: alt 属性文本
    • 找到事件名称为“sendSSHInstruction”的行为事件,点击【详情】操作,复制 request-url 字段到浏览器进行下载 alt 属性文本
  2. 安装查看工具 asciinema,具体安装方式可参考文档:asciinema 安装说明

  3. 执行以下命令进行事件查看

asciinema play filepath      #将 filepath 替换为行为事件文件地址

alt 属性文本