Action Trail(ActionTrail)是阿里雲提供的雲帳號資源操作記錄的查詢和投遞服務,可用於安全分析、資源變更追蹤以及合規性審計等情境。
安全風險
在等保2.0等安全合規標準中,日誌記錄操作、變更等行為是基本要求,並要求儲存不少於規定的天數。ActionTrail記錄使用者自身、雲端服務(角色扮演、使用使用者權限時)所做的雲操作,滿足合規要求。此外日誌中記錄關乎異常操作的線索,如認證、鑒權失敗的操作,請求來源地的IP,使用的雲憑據ID,請求參數和其他中繼資料,可以用於行為異常分析,發現潛在的惡意行為。
最佳實務
1. 啟用ActionTrail日誌跟蹤
Action Trail預設在雲平台記錄您最近90天的事件,如果您不進行轉存保留,每過去一天就會清除最早一天的記錄。當您需要儲存超過90天的事件時,請建立單帳號跟蹤或者建立多帳號跟蹤,支援將事件持續投遞到Object Storage Service或者Log ServiceSLS中進行監控和分析,如果是單純的Archive Storage訴求,推薦您儲存到Object Storage Service。
2. 設定ActionTrail事件警示
Action Trail的事件警示功能可以幫您即時監測與快速響應雲上資源的異常。當設定的警示規則識別到潛在的安全威脅或不符合規範的操作事件時,將通過多種通知方式向使用者和使用者組發送警示通知,便於快速響應處理。更多資訊,參見設定事件警示。
您可以使用模板建立警示規則,其中預定了較多安全相關的警示規則,如帳號連續登入失敗警示、Root帳號連續登入警示、未授權的IP登入警示、非工作時間登入警示等。
您也可以自訂警示規則,設定自訂關注的欄位和警示條件。更多資訊,建立自訂警示規則。
3. 使用Insights智能分析日誌
Insights是基於數學模型的智能分析工具,通過分析關鍵操作與歷史調用情況的差異(如某API調用率顯著升高),發現差異大的情況並產生Insights事件,便於您及時洞察雲上管控風險並儘快採取補救措施。Insights可識別存在風險的API呼叫事件、API錯誤事件、IP請求事件、AccessKey呼叫事件、許可權變更事件、密碼變更事件和隱匿行蹤事件。更多參見Insights事件概覽。