ActionTrail は、管理イベントから異常なアクティビティを特定するのに役立つ Insights 機能を提供します。 Insights 機能を有効にすると、ActionTrail は管理イベントを分析し、API 呼び出しレート、API エラーレート、IP アドレス、AccessKey ペア呼び出しレート、権限の変更、パスワードの変更、証跡の隠蔽に関連する異常なアクティビティを特定し、Insights イベントを生成します。 Insights イベントを使用すると、クラウドリソースに対する潜在的なリスクを特定し、できるだけ早くリスクに対処できます。
Insights イベントと管理イベントの違い
イベントタイプ | 説明 | 参照 |
管理イベント | 管理イベントは、Alibaba Cloud ベースのエンティティを使用して Alibaba Cloud リソースに対して管理操作が実行されたときに生成されます。 各管理イベントはログエントリとして保存されます。 | |
Insights イベント | ActionTrail は、数理モデルを使用してクラウド内の管理イベントを分析し、API 呼び出しレート、API エラーレート、IP アドレス、AccessKey ペア呼び出しレート、権限の変更、パスワードの変更、証跡の隠蔽に関連する異常なアクティビティを特定します。 たとえば、攻撃者がアカウントを盗み、外部 IP アドレスを使用してリソースに対して削除操作などの多数の書き込み操作を実行した場合、IP アドレスに対して IP アドレスに関する Insights イベントが生成され、削除操作に対して API 呼び出しレートに関する Insights イベントが生成されます。 |
機能
ActionTrail は、Alibaba Cloud アカウント内の過去の一定期間におけるすべての管理イベントを分析し、次のタイプの Insights イベントを生成します。ApiCallRateInsight、ApiErrorRateInsight、IpInsight、AkInsight、PolicyChangeInsight、PasswordChangeInsight、TrailConcealmentInsight。 ApiCallRateInsight は、API 呼び出しレートに関する Insights イベントを示します。 ApiErrorRateInsight は、API エラーレートに関する Insights イベントを示します。 IpInsight は、IP アドレスに関する Insights イベントを示します。 AkInsight は AccessKey ペア呼び出しレートに関する Insights イベントを示します。 PolicyChangeInsight は権限変更に関する Insights イベントを示します。 PasswordChangeInsight はパスワード変更に関する Insights イベントを示します。 TrailConcealmentInsight は証跡の隠蔽に関する Insights イベントを示します。 各 Insights イベントには、Insights イベントの開始時刻を示す開始イベントと、Insights イベントの終了時刻を示す終了イベントが含まれています。
API 呼び出しレートに関する Insights イベント (ApiCallRateInsight): ActionTrail は数理モデルを使用して、Alibaba Cloud アカウント内のすべての書き込みイベントと API 呼び出しレートの通常のパターンを分析し、呼び出しレートが通常のパターンから外れている場合に Insights イベントを生成します。
API エラーレートに関する Insights イベント (ApiErrorRateInsight): ActionTrail は数理モデルを使用して、Alibaba Cloud アカウント内のすべての API エラーレート関連の管理イベントと API エラーレートの通常のパターンを分析し、エラーレートが通常のパターンから外れている場合に Insights イベントを生成します。
IP アドレスに関する Insights イベント (IpInsight): ActionTrail は IP アドレスの通常のパターンを分析します。 ActionTrail は、新しい IP アドレスから疑わしい IP アドレスが特定された場合に Insights イベントを生成します。
AccessKey ペア呼び出しレートに関する Insights イベント (AkInsight): ActionTrail は数理モデルを使用して、Alibaba Cloud アカウント内の AccessKey ペア呼び出しレートの通常のパターンを分析し、呼び出しレートが通常のパターンから外れている場合に Insights イベントを生成します。
権限変更に関する Insights イベント (PolicyChangeInsight): ActionTrail は、Resource Access Management (RAM)、Object Storage Service (OSS)、リソース管理など、Alibaba Cloud アカウント内で権限を変更できるすべてのクラウドサービスを分析します。 ActionTrail は数理モデルを使用してオペレーターの通常のパターンを分析し、異常なオペレーターに対して Insights イベントを生成します。
パスワード変更に関する Insights イベント (PasswordChangeInsight): ActionTrail は、Key Management Service (KMS)、アカウントログオンサービス (AasCustomer)、RAM ユーザーログオンサービス (AasSub) など、Alibaba Cloud アカウント内でパスワードを変更できるすべてのクラウドサービスを分析します。 ActionTrail は数理モデルを使用してオペレーターの通常のパターンを分析し、異常なオペレーターに対して Insights イベントを生成します。
証跡の隠蔽に関する Insights イベント (TrailConcealmentInsight): ActionTrail は、Alibaba Cloud アカウント内で ActionTrail の証跡を無効化または削除する操作を分析します。 ActionTrail は数理モデルを使用してオペレーターの通常のパターンを分析し、異常なオペレーターに対して Insights イベントを生成します。
Insights イベントの仕組み
Insights イベント生成の条件: Insights 機能を有効にすると、ActionTrail は後続のすべての管理イベントを継続的に分析し、機能が有効になってから少なくとも 24 時間後に最初の Insights イベントを生成します。 Insights イベントは、異常なアクティビティに関する情報を提供します。 Alibaba Cloud アカウント内で異常なアクティビティが特定されない場合、Insights イベントは生成されません。
統計範囲: Insights イベントはリージョンごとに生成されます。 ActionTrail はリージョン内の管理イベントを分析して Insights イベントを生成します。 したがって、Insights イベントと管理イベントは同じリージョンに属します。
Insights イベント生成のルール:
API 呼び出しレートに関する Insights イベント (ApiCallRateInsight) は、現在の呼び出しレートと通常のパターンとの違いに関する情報を提供します。 ActionTrail は数理モデルを使用して、現在の API の呼び出し動作、呼び出し方法、および呼び出しレートの通常のパターンを分析し、呼び出しレートが通常のパターンから外れている場合に Insights イベントを生成します。
説明API 呼び出しレートに関する Insights イベント (ApiCallRateInsight) は、書き込みイベントに対して生成されます。
API エラーレートに関する Insights イベント (ApiErrorRateInsight) は、現在のエラーレートと通常のパターンとの違いに関する情報を提供します。 ActionTrail は数理モデルを使用して、現在の API の呼び出し動作、呼び出し方法、およびエラーレートの通常のパターンを分析し、エラーレートが通常のパターンから外れている場合に Insights イベントを生成します。
説明API エラーレートに関する Insights イベント (ApiErrorRateInsight) は、読み取りイベントと書き込みイベントに対して生成されます。
IP アドレスに関する Insights イベント (IpInsight) は、疑わしい IP アドレスに関する情報を提供します。 IP アドレスの異質性アルゴリズムを使用する場合、新しい IP アドレスが誤って疑わしい IP アドレスとして識別される可能性があります。 IP アドレスに対して IP アドレスに関する Insights イベントが生成される場合、当日には 1 つの Insights イベントのみが生成されます。 イベントは、IP アドレスから最初のリクエストが送信されたときに生成されます。
AccessKey ペア呼び出しレートに関する Insights イベント (AkInsight) は、現在の呼び出しレートと通常のパターンとの違いに関する情報を提供します。 ActionTrail は、呼び出しレートが通常のパターンから外れている場合に Insights イベントを生成します。
説明AccessKey ペア呼び出しレートに関する Insights イベント (AkInsight) は、書き込みイベントに対して生成されます。
権限変更に関する Insights イベント (PolicyChangeInsight) は、異常なオペレーターの権限変更に関する情報を提供します。 ActionTrail は機械学習アルゴリズムを使用して関連付けルールと頻出アイテムセットを生成し、異常なオペレーターに対して Insights イベントを生成します。
パスワード変更に関する Insights イベント (PasswordChangeInsight) は、異常なオペレーターのパスワード変更に関する情報を提供します。 ActionTrail は機械学習アルゴリズムを使用して関連付けルールと頻出アイテムセットを生成し、異常なオペレーターに対して Insights イベントを生成します。
証跡の隠蔽に関する Insights イベント (TrailConcealmentInsight) は、異常なオペレーターの証跡を削除または無効にする操作に関する情報を提供します。 ActionTrail は機械学習アルゴリズムを使用して関連付けルールと頻出アイテムセットを生成し、異常なオペレーターに対して Insights イベントを生成します。
使用上の注意
次のリージョンでは Insights イベントをクエリできません。
中国 (河源)
中国 (南京 - ローカルリージョン)
中国 (広州)
中国 (福州 - ローカルリージョン)
中国 (武漢 - ローカルリージョン)
韓国 (ソウル)
フィリピン (マニラ)
UAE (ドバイ)
説明Insights イベントがサポートされているリージョンの詳細については、「サポートされているリージョン」をご参照ください。
Insights 機能は無料で使用できます。 Insights 機能の課金の詳細については、「課金」をご参照ください。
Insights 機能を有効にすると、ActionTrail は、サポートされているリージョンで生成される後続のすべての管理イベントを継続的に分析します。
Insights イベントは、Insights 機能が有効になってから少なくとも 24 時間後に生成されます。 ActionTrail は、Alibaba Cloud アカウント内で異常なアクティビティを検出した場合に Insights イベントを生成します。
Insights イベントのクエリ
Insights 機能を有効にすると、サポートされているリージョンで過去 1 か月以内に生成された Insights イベントをクエリできます。 詳細については、「ActionTrail コンソールで Insights イベントをクエリする」をご参照ください。