云审计服务 CTS
产品介绍
SenseCore云审计是针对SenseCore的各云产品的审计服务。通过监测、记录和分析云平台上云资源的各种操作、安全事件、访问权限等信息,以确保云平台的安全性、合规性,并提供审计日志。
在SenseCore云审计中,我们将云审计事件定义为:用户在SenseCore云平台上对其购买的云资源进行的重要操作记录。其中,云审计事件分为3种,管理事件、行为事件、数据事件。(目前仅支持管理事件和行为事件)
事件类型定义
术语 | 含义 |
---|---|
事件 | 事件指的是用户通过各个入口访问和管理SenseCore云资源,对SenseCore云资源执行某些具体操作的重要行为记录。 |
管理事件 | 管理事件指用户购买、开通等管理子产品相关云资源的操作行为记录。 |
行为事件 | 行为事件指用户从其他入口登录后使用子产品的各种操作行为记录。 |
数据事件 | 数据事件指用户在对象存储侧,上传、下载等对数据进行操作的行为记录。 |
产品功能
1.提供审计日志
- CTS提供云资源及其使用的相关操作审计日志。
2.支持按不同条件筛选日志
- CTS支持按事件名称、用户名称等筛选展示审计日志列表。
3.审计日志保存
- 云审计服务支持保存14天的审计记录。
应用场景
- 合规审计
- 在合规审计方面,针对拥有多个成员并使用访问控制来管理权限的组织。通过操作审计,可以获取每个成员的详细事件记录,以满足合规性审计的需求。根据审计人员的职责不同,还可以创建多个跟踪不同区域和事件类型的审计配置,并将审计日志存储在不同的存储空间中。
- 安全分析及问题定位
- 云审计服务会详细记录用户对云资源的所有重要操作,当云账号或资源可能存在安全问题的时候,用户可以通过云审计记录,对账号和资源进行判断,判断其是否存在安全问题。同时,当用户的云资源发生重要变更时,用户可以通过云审计服务快速获取资源变更信息,快速定位资源变更的操作者。
- 当云资源或账号出现问题时,用户可以通过云审计服务,快速追踪、溯源问题,及时获取账户内用户的操作记录和路径,以达到快速定位问题的目的。
计费说明
1.计费方式
云审计服务不收取费用。
2.使用规则
开箱即用
支持的子产品
子产品分类 | 子产品名称 | 子产品英文名称 |
---|---|---|
AI云计算 | 弹性计算集群 | AEC2 |
AI云计算 | 高性能算力池 | ACP |
AI云计算 | 云容器实例 | CCI |
AI云计算 | 弹性裸金属服务器 | BMS |
AI云计算 | 云服务器 | ECS |
AI云存储 | 文件存储 | AFS |
AI云存储 | 块存储 | ABS |
AI云存储 | 对象存储 | AOSS |
AI云存储 | 缓存服务 | ACS |
AI云网络 | 私有网络 | VPC |
AI云网络 | 弹性公网IP | EIP |
AI云网络 | 负载均衡 | SLB |
AI云网络 | 专线接入 | DC |
AI开发平台 | 云开发机 | AICL |
AI开发平台 | 模型平台 | AMP |
开发者工具 | 容器镜像服务 | CCR |
用户指南
1.功能入口
云审计功能入口如图
2.云审计功能开通说明
- 管理事件审计功能默认开通;
- 行为事件审计需要在【云产品接入管理】页面,根据需求按子产品开通,不同子产品的行为审计用户需要在云审计侧单独分别授权;
- 数据事件仅针对对象存储AOSS,仅需开通一次,开通时需要配置存储信息,配置完成后功能开通完成并生效;
- 数据事件可关闭,关闭后审计功能停止,但数据事件仍为【开通】状态;启用数据审计后,配置默认不变;
3.行为事件功能授权开通
注意事项
- 云开发机:行为事件接入将导致code server、jupyterlab、ssh地址的访问入口不可用;为了保障云开发机实例行为数据的正常审计,请注意先停止运行中的云开发机,保存相关数据、环境。
- CCI 行为事件审计目前仅支持对 web terminal 中执行的所有命令进行记录,通过 EIP SSH 登录后执行的命令和界面修改配置等操作暂不在审计内容中。
- 在需要开通行为事件的子产品侧点击开通,点击同意授权,点击确认后即可开通使用;
4.数据事件功能授权开通
- 在需要开通行为事件的子产品侧点击开通,填写配置信息,点击确认后即可开通使用;
- 开通后点击跳转到aoss侧查看审计记录文件
5.审计日志列表
6.审计日志详细信息示例
事件信息名称 | 事件信息含义 |
---|---|
事件名称 | 事件的具体名称 |
资源类型 | 事件的资源的类型 |
事件来源 | 事件来源的云产品名称 |
资源ID | 资源ID |
事件级别 | 事件级别包括:normal(正常)、warning(警告)和incident(事故); normal:代表本次操作成功;warning:代表本次操作失败;incident:代表本次操作引起了比失败更严重的后果,比如会造成节点故障或用户业务故障等情况。 |
操作用户 | 执行该操作的用户名称 |
操作时间 | 操作的具体时间 |
事件详情 | 一段事件代码详细记录,详情参照下方 |
事件详情:
{
"time":"2023-06-20T03:08:22.943592939Z"
"user":{
"user_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"user_name":"root1010"
"tenant_code":"code1010"
}
"request":{
"user":{
"id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"name":"code1010"
"source":"build_in"
"status":"valid"
"username":"root1010"
"mfa_state":"disabled"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"user_type":"admin"
"create_time":"2022-10-10T09:43:03.746624Z"
"tenant_code":"code1010"
"update_time":"2023-06-20T03:06:58.197327Z"
"console_state":"enabled"
"open_api_state":"disabled"
"credential_type":"bcrypt"
"last_login_time":"2023-06-20T03:06:58.197324Z"
"set_password_time":"2023-04-18T10:41:19.830267Z"
"password_updator_id":"00000000-0000-0000-0000-000000000000"
"set_password_next_login":"disabled"
"set_password_first_login":"enabled"
}
"challenge":"7d9097e8d8ee4986a739236ee70aa49b"
}
"event_id":"cdc8bc02-bf37-49a7-8a09-4ac346ed08f5"
"response":{
"id":"00000000-0000-0000-0000-000000000000"
"action":"login"
"object_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_id":"c28f173a-8f18-474c-866b-4ce89a612958"
"create_time":"2023-06-20T03:08:22.940141673Z"
"object_name":"root1010"
"object_type":"user"
"operator_id":"a51b3495-3ba1-4add-b760-3d257e299f37"
"tenant_code":"code1010"
"action_result":true
"operator_username":"root1010"
}
"source_ip":"10.165.96.50"
"event_type":"ConsoleAction"
"api_version":"v1.0"
"record_time":"2023-06-20T03:08:22.946822084Z"
"event_rating":"normal"
"service_type":"IAM"
"resource_type":"cmp.iam.v1.user"
"operation_type":"login"
}
7.审计日志筛选
云审计服务支持按以下条件筛选展示:
筛选条件 | 条件概述 |
---|---|
按事件来源筛选 | 按事件来源所属子产品名称筛选事件 |
按资源类型筛选 | 按事件资源类型筛选展示事件 |
按事件ID筛选 | 搜索事件ID筛选事件 |
按操作用户名称筛选 | 搜索用户名称筛选相关事件 |
按事件级别筛选 | 按事件的重要级别筛选,级别有:normal、warning、incident |
查询条件清空重置 | 一键清空已设置的查询条件 |
具体如图:
8.云开发机-sendSSHInstruction 行为事件查看
下载审计事件文件:
- 进入“云审计服务”管理页面,将事件类型由“管理事件”切换为“行为事件”:
- 找到事件名称为“sendSSHInstruction”的行为事件,点击【详情】操作,复制 request-url 字段到浏览器进行下载
安装查看工具 asciinema,具体安装方式可参考文档:asciinema 安装说明
执行以下命令进行事件查看
asciinema play filepath #将 filepath 替换为行为事件文件地址