阿里云操作審計(jì) - 日志安全分析（一）

jk_v1 發(fā)布于2019-06-21 16:48 / 3260人閱讀

摘要：阿里云操作審計(jì)日志實(shí)時(shí)分析概述目前，阿里云操作審計(jì)的已經(jīng)與日志服務(wù)打通，提供實(shí)時(shí)分析與報(bào)表中心的功能。屬性專屬的日志庫名字是阿里云跟蹤名稱，存放于用戶所選擇日志服務(wù)的項(xiàng)目中。

摘要：阿里云操作審計(jì)ActionTrail審計(jì)日志已經(jīng)與日志服務(wù)打通，提供準(zhǔn)實(shí)時(shí)的審計(jì)分析、開箱機(jī)用的報(bào)表功能。本文介紹背景、配置和功能概覽。

背景
安全形式與日志審計(jì)
伴隨著越來越多的企業(yè)采用信息化、云計(jì)算技術(shù)來提高效率與服務(wù)質(zhì)量。針對(duì)企業(yè)組織的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)的攻擊從來沒有停止過升級(jí)，這些針對(duì)性攻擊一般以牟利而并是不破壞為目的，且越來越善于隱藏自己，因此發(fā)現(xiàn)并識(shí)別針這些攻擊也變得越來越有挑戰(zhàn)。
根據(jù)FileEye M-Trends 2018報(bào)告, 2017年的企業(yè)組織的攻擊從發(fā)生到被發(fā)現(xiàn)，一般經(jīng)過了多達(dá)101天，其中亞太地區(qū)問題更為嚴(yán)重，一般網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)是在近498（超過16個(gè)月）之后。另一方面，根據(jù)報(bào)告，企業(yè)組織需要花費(fèi)多達(dá)57.5天才能去驗(yàn)證這些攻擊行為。
作為審計(jì)與安全回溯的基礎(chǔ)，企業(yè)IT與數(shù)據(jù)資源的操作的日志一直以來是重中之重。隨著網(wǎng)絡(luò)信息化的成熟發(fā)展，并伴隨[國家網(wǎng)絡(luò)安全法規(guī)](http://www.itsec.gov.cn/fgbz/...
)的深入落實(shí)要求，企業(yè)組織也越來越重視操作日志的保存與分析，其中云計(jì)算中的資源的操作記錄是一類非常重要的日志。

阿里云操作審計(jì)
阿里云操作審計(jì)(ActionTrail)會(huì)記錄您的云賬戶資源操作，提供操作記錄查詢，并可以將記錄文件保存到您指定的OSS或日志服務(wù)中。利用 ActionTrail保存的所有操作記錄，您可以實(shí)現(xiàn)安全分析、資源變更追蹤以及合規(guī)性審計(jì)。

ActionTrail收集云服務(wù)的API調(diào)用記錄（包括用戶通過控制臺(tái)觸發(fā)的API調(diào)用記錄），規(guī)格化處理后將操作記錄以JSON形式保存并支持投遞。一般情況下，當(dāng)用戶通過控制臺(tái)或SDK發(fā)起操作調(diào)用之后，ActionTrail會(huì)在十分鐘內(nèi)收集到操作行為。

阿里云日志服務(wù)
阿里云的日志服務(wù)（log service）是針對(duì)日志類數(shù)據(jù)的一站式服務(wù)，無需開發(fā)就能快捷完成海量日志數(shù)據(jù)的采集、消費(fèi)、投遞以及查詢分析等功能，提升運(yùn)維、運(yùn)營效率。日志服務(wù)主要包括實(shí)時(shí)采集與消費(fèi)、數(shù)據(jù)投遞、查詢與實(shí)時(shí)分析等功能。

阿里云操作審計(jì)日志實(shí)時(shí)分析概述
目前，阿里云操作審計(jì)的已經(jīng)與日志服務(wù)打通，提供實(shí)時(shí)分析與報(bào)表中心的功能。一般操作審計(jì)收集到（10分鐘以內(nèi)）操作日志，就會(huì)實(shí)時(shí)投遞到日志服務(wù)中。

發(fā)布時(shí)間
2018年7月份

發(fā)布地域
國內(nèi)
國際
政務(wù)云
適用客戶
對(duì)日志存儲(chǔ)有合規(guī)需求的大型企業(yè)與機(jī)構(gòu)，如金融公司、政府類機(jī)構(gòu)等。
需要實(shí)時(shí)了解云資產(chǎn)操作的整體狀況，并對(duì)關(guān)鍵業(yè)務(wù)的操作進(jìn)行深入分析與審計(jì)的企業(yè)，如金融類、電商類和游戲類企業(yè)等。
發(fā)布功能：
輕松配置，即可實(shí)時(shí)操作審計(jì)日志投遞。
依托日志服務(wù)，提供實(shí)時(shí)日志分析，并提供開箱即用的報(bào)表中心（支持定制），對(duì)重要云資產(chǎn)的操作如指掌，并可實(shí)時(shí)挖掘細(xì)節(jié)。
提供每月500MB免費(fèi)導(dǎo)入與存儲(chǔ)額度，并可自由擴(kuò)展存儲(chǔ)時(shí)間，以便合規(guī)、溯源、備案等。支持不限時(shí)間的存儲(chǔ)，存儲(chǔ)成本低至0.35元/GB/月。
支持基于特定支持、特定操作，定制準(zhǔn)實(shí)時(shí)監(jiān)測(cè)與報(bào)警，確保關(guān)鍵業(yè)務(wù)異常及時(shí)響應(yīng)。
可對(duì)接其他生態(tài)如流計(jì)算、云存儲(chǔ)、可視化方案，進(jìn)一步挖掘數(shù)據(jù)價(jià)值。
前提條件
開通日志服務(wù)。
開通操作審計(jì)服務(wù)
如何配置
進(jìn)入ActionTrail控制臺(tái)，選擇任意區(qū)域，創(chuàng)建一個(gè)跟蹤，在頁面引導(dǎo)下開通日志服務(wù)以及授權(quán)后，輸入想要導(dǎo)入的日志服務(wù)的項(xiàng)目（以及其所在區(qū)域），就可以在日志服務(wù)中查看到相關(guān)的日志了。

專屬日志庫
當(dāng)您在操作審計(jì)控制臺(tái)配置跟蹤日志到日志服務(wù)中后, ActionTrail會(huì)實(shí)時(shí)將操作審計(jì)日志導(dǎo)入到您擁有的日志服務(wù)的專屬日志庫中。默認(rèn)當(dāng)前賬戶所有區(qū)域的云資源的操作日志都會(huì)被導(dǎo)入這一個(gè)專屬日志庫中。

屬性
專屬的日志庫名字是${阿里云id}_actiontrail_${跟蹤名稱}，存放于用戶所選擇日志服務(wù)的項(xiàng)目中。
默認(rèn)的日志庫的分區(qū)數(shù)量是2個(gè), 并且打開了自動(dòng)Split功能，默認(rèn)的存儲(chǔ)周期是90天（超過90天的日志會(huì)自動(dòng)被刪除，可以修改為更長時(shí)間）。

限制
專屬的日志庫用于存入專有的審計(jì)日志, 因此不允許用戶通過API/SDK寫入其他數(shù)據(jù). 其他的查詢、統(tǒng)計(jì)、報(bào)警、流式消費(fèi)等功能與一般日志庫無差別.

專屬報(bào)表
另一方面，ActionTrail也會(huì)自動(dòng)給用戶配置的日志服務(wù)項(xiàng)目中創(chuàng)建對(duì)應(yīng)日志報(bào)表。日志報(bào)表的名字是：
${阿里云id}_actiontrail_${跟蹤名稱}_audit_center

功能概覽
配置后即可使用跳轉(zhuǎn)的鏈接對(duì)審計(jì)日志進(jìn)行實(shí)時(shí)分析功能，并使用自帶的報(bào)表.

場(chǎng)景一: 實(shí)時(shí)云資源操作異常排查與問題分析，意外刪除，高危操作等
例如：查看ECS刪除操作日志等。

場(chǎng)景二: 重要資源操作的分布與來源追蹤，溯源并輔助應(yīng)對(duì)策略等
例如：查看刪除RDS機(jī)器的操作者的國家分布等。

場(chǎng)景三: 整體資源操作分布，運(yùn)維可靠性指標(biāo)一目了然
例如：查看失敗的操作的趨勢(shì)等

場(chǎng)景四: 運(yùn)營分析，資源使用狀況，用戶登錄等
例如：查看來自各個(gè)網(wǎng)絡(luò)運(yùn)營商的操作者的頻率分布等。

進(jìn)一步參考
我們會(huì)介紹更多關(guān)于如何配置并使用ActionTrail審計(jì)日志對(duì)云資產(chǎn)登錄、操作和安全狀況進(jìn)行詳細(xì)分析的內(nèi)容，敬請(qǐng)期待。

原文鏈接