Gunakan ActionTrail untuk memantau dan mengonfigurasi peringatan untuk pembuatan pengguna RAM - ActionTrail

ActionTrail menyediakan fitur jejak dan peringatan yang dapat digunakan untuk memantau pembuatan Pengguna Manajemen Akses Sumber Daya (RAM) serta mengirimkan notifikasi peringatan melalui pesan teks.

Skenario

Dalam transformasi digital perusahaan modern, manajemen dan keamanan akun cloud menjadi semakin penting. Pembuatan akun tanpa izin dapat menyebabkan kebocoran informasi sensitif yang digunakan untuk aktivitas ilegal seperti serangan jaringan, penipuan, atau persaingan tidak sehat. Hal ini dapat menimbulkan kerugian serius bagi perusahaan maupun individu. ActionTrail menyediakan fitur jejak dan peringatan yang dapat digunakan untuk memantau pembuatan pengguna RAM serta mengirimkan notifikasi peringatan melalui pesan teks.

Prasyarat

Layanan Log Sederhana harus diaktifkan. Untuk mengaktifkannya, masuk ke konsol Layanan Log Sederhana dan ikuti petunjuk di layar. Informasi lebih lanjut dapat ditemukan di Apa itu Layanan Log Sederhana?

Penting

Penggunaan Layanan Log Sederhana akan dikenakan biaya, termasuk biaya penyimpanan dan notifikasi. Informasi lebih lanjut tersedia di Ikhtisar Penagihan.

Langkah 1: Buat jejak

Buat jejak dengan kondisi berikut:

Jejak mengirimkan peristiwa dari semua wilayah.
Jejak mencakup semua peristiwa manajemen.
Jejak mencakup peristiwa baca dan tulis.
Jejak mengirimkan peristiwa ke Layanan Log Sederhana.

Informasi lebih lanjut dapat ditemukan di Buat Jejak Akun Tunggal atau Buat Jejak Multi-Akun.

Langkah 2: Pilih Logstore dari jejak

Masuk ke konsol ActionTrail.
Di panel navigasi sisi kiri, klik Advanced Event Query. Di halaman yang muncul, pilih jejak yang dibuat di Langkah 1: Buat Jejak pada bagian Query Range.
Di panel navigasi sisi kiri, klik Alerts.
Di halaman Alert Center, klik tab Alert Rules.
Pilih Logstore yang dibuat secara otomatis untuk jejak tersebut. Nama Logstore mengikuti format berikut: actiontrail_Nama Jejak.

Langkah 3: Konfigurasikan peringatan kustom

Buat aturan peringatan

Masuk ke konsol ActionTrail.
Di panel navigasi sisi kiri, klik Alerts.

Klik tab Alert Rules, lalu klik Create Alert. Konfigurasikan aturan peringatan sesuai dengan prompt.

Catat parameter berikut. Anda perlu mengonfigurasi parameter lain berdasarkan kebutuhan bisnis Anda.

Parameter	Deskripsi
Statistik Kueri	Di kotak dialog Statistik Kueri, atur Logstore ke Logstore yang Anda buat di Langkah 1. Logstore harus dalam format actiontrail_nama jejak. Masukkan pernyataan kueri berikut: `(event.serviceName:Ram or event.serviceName:Ims) and event.eventName:CreateUser \| SELECT "event.userIdentity.principalId" as operator, "event.resourceName" as user, date_format(__time__, '%Y-%m-%d %H:%i:%s') as time` Catatan Dalam pernyataan kueri, `event.serviceName` menentukan layanan cloud, dan `event.eventName` menentukan peristiwa pembuatan pengguna RAM. Anda dapat menggunakan pernyataan `SELECT` untuk mendapatkan informasi seperti operator, pengguna RAM yang dibuat, dan waktu operasi dalam peristiwa untuk notifikasi peringatan. Untuk informasi lebih lanjut tentang layanan yang bekerja dengan ActionTrail dan peristiwa yang didukung oleh ActionTrail, lihat Layanan yang bekerja dengan ActionTrail. Untuk informasi lebih lanjut tentang struktur peristiwa, lihat Struktur peristiwa manajemen. Untuk informasi lebih lanjut tentang sintaks pencarian yang didukung oleh Layanan Log Sederhana, lihat Sintaks pencarian.
Kondisi Pemicu	Atur Kondisi Pemicu ke Saat Data dikembalikan. Tentukan tingkat keparahan berdasarkan kebutuhan bisnis Anda.

Klik OK.

Buat template peringatan

Di panel navigasi sisi kiri, klik Alerts.
Di halaman Alert Center, pilih Notification Management > Alert Template.
Di tab Alert Template, klik Create dan konfigurasikan parameter.
Klik tab SMS dan tentukan informasi notifikasi berikut:
```
Pengguna Alibaba Cloud:{{ alert.aliuid }}
Nama aturan peringatan: {{ alert.alert_name }}
Tingkat keparahan: {{ alert.severity | format_severity }}
{% for result in alert.fire_results %}
Operator: {{ result.operator }} membuat pengguna RAM {{ result.user }} pada {{ result.time }}.
{% endfor %}
```
Catatan
{{Nama Parameter}} menentukan variabel template yang dirujuk. Anda dapat menggunakan pernyataan {% for result in alert.fire_results %} untuk menjelajahi semua hasil kueri dan mendapatkan parameter tertentu dalam peristiwa menggunakan {{ result.nama parameter}}. Informasi lebih lanjut tentang parameter dan sintaks template peringatan dapat ditemukan di Sintaks untuk Template Peringatan Baru.
Klik Confirm.

Buat kontak peringatan

Di panel navigasi sisi kiri, klik Alerts.
Di halaman Alert Center, pilih Notification Objects > User Management.
Di tab User Management, klik Create. Di kotak dialog Create User, konfigurasikan parameter.
- Phone Number: Nomor ponsel yang digunakan untuk menerima peringatan. Anda harus mengaktifkan opsi Terima Panggilan Telepon agar dapat menerima peringatan.
- Enabled: Saklar diaktifkan secara default. Jika dimatikan, peringatan tidak dapat diterima.
Klik OK.

Buat kebijakan tindakan

Di panel navigasi sisi kiri, klik Alerts.
Di halaman Alert Center, pilih Notification Management > Action Policy.

Di tab Action Policy, klik Create. Di kotak dialog Add Action Policy, konfigurasikan parameter.

Lengkapi konfigurasi kondisi dan grup tindakan.

Parameter	Deskripsi
Kondisi	Klik ikon . Di kotak dialog Kondisi, pilih aturan yang Anda buat di Buat aturan peringatan.
Grup Tindakan	Atur Metode Notifikasi ke Pesan SMS. Atur Penerima ke pengguna yang dibuat di Buat kontak peringatan.

Klik Confirm.

Hubungkan aturan peringatan dengan kebijakan tindakan

Di panel navigasi sisi kiri, klik Alerts.
Di halaman Pusat Peringatan, klik tab Aturan Peringatan.

Temukan aturan peringatan yang Anda buat di Buat Aturan Peringatan dan klik Edit di kolom Tindakan. Di panel Edit Alert, hubungkan aturan peringatan dengan kebijakan tindakan.

Parameter	Deskripsi
Tujuan	Metode notifikasi. Klik Notifikasi Layanan Log Sederhana.
Aktifkan	Status aturan peringatan. Anda harus mengaktifkan aturan peringatan.
Kebijakan Peringatan	Jenis Kebijakan: Pilih Mode Standar. Kebijakan Tindakan: Pilih kebijakan tindakan yang Anda buat di Buat kebijakan tindakan.

Klik OK.

Langkah 4: Verifikasi aturan peringatan

Masuk ke konsol RAM dan buat pengguna RAM.

Periksa apakah informasi notifikasi berikut diterima.

[Alibaba Cloud] Peringatan Layanan Log Sederhana: Satu peringatan total. Detail peringatan:
Pengguna Alibaba Cloud: 159498693826****
Nama aturan peringatan: peringatan untuk pembuatan pengguna RAM
Tingkat keparahan: sedang
Operator 27723316148169**** membuat pengguna RAM test-create-a***@actiontrail-test.onaliyun.com pada 2023-07-14 17:08:15.
Operator 27723316148169**** membuat pengguna RAM test-create-u***@actiontrail-test.onaliyun.com pada 2023-07-14 17:31:00.

FAQ

Apa yang harus saya lakukan jika pengguna RAM tidak memiliki izin untuk membuat jejak di konsol ActionTrail?

Anda harus memberikan pengguna RAM izin untuk mengakses dan mengelola ActionTrail. Informasi lebih lanjut dapat ditemukan di Berikan Izin kepada Pengguna RAM.