ActionTrail を使用してクラウドリソースの操作を記録、配信、分析し、セキュリティ分析、リソース変更追跡、コンプライアンス監査を実現します。
セキュリティリスク
MLPS 2.0 などのセキュリティコンプライアンス標準では、すべての操作をログに記録し、指定された期間ログを保持することが求められます。ActionTrail は、ユーザーおよび Alibaba Cloud サービス (ロールの引き受けまたはユーザーの権限による) によって実行されたクラウド操作を記録し、コンプライアンス要件を満たします。ログには、認証および認可の失敗、ソース IP アドレス、認証情報 ID、リクエストパラメーター、その他のメタデータなど、異常な操作に関する詳細が記録されます。これにより、異常な振る舞いを分析し、潜在的な悪意のあるアクティビティを検出できます。
ベストプラクティス
ActionTrail ログ追跡の有効化
デフォルトでは、ActionTrail はイベントを 90 日間保持します。90 日より前の記録は毎日削除されます。イベントを 90 日を超えて保存するには、単一アカウントの追跡またはマルチアカウントの追跡を作成し、イベントを OSS または Simple Log Service (SLS) に配信して、監視と分析を行います。イベントをアーカイブするだけの場合は、OSS に保存します。
イベントアラートの設定
イベントアラートは、クラウドリソースをリアルタイムで監視します。ルールが潜在的なセキュリティ脅威または非準拠の操作を検出すると、ユーザーおよびユーザーグループに通知します。イベントアラートの設定をご参照ください。
アラートルールテンプレートには、連続したログイン失敗、ルートアカウントのログイン、未許可の IP アドレスからのログイン、営業時間外のログインに対するアラートなど、事前定義されたセキュリティルールが含まれます。
また、カスタムアラートルールを作成して、監視するフィールドと条件を指定することもできます。
Insights を使用したログ分析
Insights は数理モデルを使用して、API 呼び出しレートの大幅な増加など、過去の呼び出しパターンからの逸脱がないか主要な操作を分析します。大きな逸脱が検出されると、Insights は Insights イベントを生成し、クラウド管理リスクの特定に役立てます。検出可能なイベントタイプには、リスクの高い API 呼び出し、API エラー、IP リクエスト、AccessKey 呼び出し、権限変更、パスワード変更、異常な追跡イベントが含まれます。Insights イベントの概要をご参照ください。