ActionTrail adalah layanan Alibaba Cloud yang dapat digunakan untuk menanyakan dan mengirimkan catatan operasi untuk sumber daya dalam Akun Alibaba Cloud Anda. Layanan ini mendukung analitik keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan.
Risiko keamanan
Standar kepatuhan keamanan seperti MLPS 2.0 mengharuskan pencatatan operasi dan perubahan. Log harus disimpan selama jangka waktu tertentu. ActionTrail mencatat operasi cloud yang dilakukan oleh pengguna dan layanan Alibaba Cloud (melalui asumsi peran atau menggunakan izin pengguna) untuk memenuhi persyaratan kepatuhan. Log ini juga mencakup detail tentang operasi abnormal, seperti otentikasi dan otorisasi yang gagal, alamat IP sumber dari permintaan, ID kredensial cloud yang digunakan, parameter permintaan, dan metadata lainnya. Informasi ini membantu menganalisis perilaku abnormal serta mendeteksi aktivitas berbahaya potensial.
Praktik terbaik
1. Aktifkan pelacakan log ActionTrail
Secara default, ActionTrail mencatat kejadian selama 90 hari terakhir. Jika tidak disimpan, catatan paling lama akan dihapus setiap hari. Untuk menyimpan kejadian lebih dari 90 hari, Anda dapat membuat jejak akun tunggal atau jejak multi-akun. Ini memungkinkan Anda terus mengirimkan kejadian ke Object Storage Service (OSS) atau Simple Log Service (SLS) untuk pemantauan dan analisis. Jika hanya perlu mengarsipkan kejadian, Anda dapat menyimpannya di OSS.
2. Atur peringatan kejadian ActionTrail
Fitur peringatan kejadian ActionTrail membantu memantau dan merespons aktivitas abnormal pada sumber daya cloud secara real-time. Ketika aturan peringatan mendeteksi ancaman keamanan potensial atau operasi yang tidak sesuai, ia mengirimkan pemberitahuan kepada pengguna dan kelompok pengguna melalui berbagai metode notifikasi, memungkinkan respons cepat. Untuk informasi lebih lanjut, lihat Atur Peringatan Kejadian.
Anda dapat membuat aturan peringatan menggunakan templat. Templat ini mencakup banyak aturan peringatan keamanan yang telah ditentukan sebelumnya, seperti peringatan untuk kegagalan login berturut-turut, login berturut-turut oleh akun root, login dari alamat IP yang tidak sah, dan login di luar jam kerja.
Anda juga dapat membuat aturan peringatan kustom dengan menentukan bidang dan kondisi peringatan yang dipantau. Untuk informasi lebih lanjut, lihat Buat Aturan Peringatan Kustom.
3. Gunakan Insights untuk analisis log cerdas
Insights adalah alat analisis cerdas yang menggunakan model matematika untuk menganalisis operasi utama terhadap penyimpangan dari pola panggilan historis, seperti peningkatan signifikan dalam tingkat pemanggilan API. Ketika Insights mendeteksi penyimpangan besar, ia menghasilkan Peristiwa Insights, membantu mengidentifikasi risiko manajemen di cloud dan mengambil tindakan perbaikan. Insights dapat mendeteksi kejadian panggilan API berisiko, kejadian kesalahan API, kejadian permintaan IP, kejadian panggilan AccessKey, kejadian perubahan izin, kejadian perubahan kata sandi, dan kejadian jejak abnormal. Untuk informasi lebih lanjut, lihat Ikhtisar Peristiwa Insights.