ActionTrail は、Alibaba Cloud アカウント内のリソースの操作レコードをクエリおよび配信するために使用できる Alibaba Cloud サービスです。セキュリティ分析、リソースの変更追跡、コンプライアンス監査に使用できます。
セキュリティリスク
MLPS 2.0 などのセキュリティコンプライアンス基準では、操作と変更をログに記録する必要があります。これらのログは、指定された日数保持する必要があります。ActionTrail は、ユーザーおよび Alibaba Cloud サービス (ロールの引き受けまたはユーザー権限の使用による) によって実行されたクラウド操作を記録して、コンプライアンス要件を満たします。ログには、認証および権限付与操作の失敗、リクエストのソース IP アドレス、使用されたクラウド資格情報の ID、リクエストパラメーター、その他のメタデータなど、異常な操作に関する詳細も記録されます。この情報は、異常な動作を分析し、潜在的な悪意のあるアクティビティを検出するのに役立ちます。
ベストプラクティス
1. ActionTrail ログ追跡を有効にする
デフォルトでは、ActionTrail は過去 90 日間のイベントを記録します。これらのイベントを保存しない場合、最も古いレコードは毎日パージされます。イベントを 90 日を超えて保存するには、シングルアカウントトレイルまたはマルチアカウントトレイルを作成できます。これにより、モニタリングと分析のために、イベントを Object Storage Service (OSS) または Simple Log Service (SLS) に継続的に配信できます。イベントをアーカイブするだけでよい場合は、OSS に保存できます。
2. ActionTrail イベントアラートを設定する
ActionTrail のイベントアラート機能は、クラウドリソース上の異常なアクティビティをリアルタイムでモニターし、迅速に対応するのに役立ちます。アラートルールが潜在的なセキュリティ脅威または非準拠の操作を検出すると、さまざまな通知方法を通じてユーザーおよびユーザーグループにアラート通知を送信します。これにより、迅速に対応できます。詳細については、「イベントアラートの設定」をご参照ください。
テンプレートを使用してアラートルールを作成できます。テンプレートには、連続したログインの失敗、ルートアカウントによる連続したログイン、不正な IP アドレスからのログイン、営業時間外のログインなど、多くの定義済みのセキュリティ関連のアラートルールが含まれています。
カスタムアラートルールを作成し、モニターするフィールドとアラート条件を指定することもできます。詳細については、「カスタムアラートルールの作成」をご参照ください。
3. Insights を使用したインテリジェントなログ分析
Insights は、数学モデルを使用するインテリジェントな分析ツールです。API 呼び出し率の大幅な増加など、過去の呼び出しパターンからの逸脱について主要な操作を分析します。Insights が大きな逸脱を検出すると、Insights イベントが生成されます。これにより、クラウド上の管理リスクを迅速に特定し、是正措置を講じることができます。Insights は、危険な API 呼び出しイベント、API エラーイベント、IP リクエストイベント、AccessKey 呼び出しイベント、権限変更イベント、パスワード変更イベント、および異常なトレイルイベントを検出できます。詳細については、「Insights イベントの概要」をご参照ください。