公司上云后,产生的事件量比较大,通过普通的人工运维来发现日志中的异常操作十分困难,且业务涉及领域比较广,运维人员无法针对每一条事件或每一个API进行面面俱到的分析。在此情况下,您可以开启Insights功能。
背景信息
开启Insights功能后,您会在至少24小时后收到第一条Insights事件。Insights功能稳定运行后,默认会根据阿里云账号历史七天的管控事件进行分析。但是在开启Insights功能的七天内,操作审计会根据Insights功能的开启时间到当前时间的前一天(结束时间)的历史数据进行分析。
管控事件包括读事件和写事件,写事件表示对资源的变更操作。一般来说,在业务发展稳定后,写事件的调用行为会呈现出一定的规律。如果当前写事件的调用行为与历史写事件的调用行为发生了较为明显的变化,则该写事件的调用行为可能存在风险。
最佳实践
稳定性
案例一:快速洞察某些写事件的事件总量陡增
A公司某员工离职前,在拥有云上部分权限的时间里,对某些资源进行了删除操作。由于A公司业务原本就需要定时删除部分资源,所以该员工认为自己的删除操作并不会引起运维人员的关注,以及A公司的发现。但是删除资源的调用率异常,会触发API调用事件(ApiCallRateInsight)。
案例二:快速洞察某些读写事件的错误事件陡增
A公司某员工在运维时对某些资源(例如:对象存储OSS、日志服务SLS等)进行了删除操作。由于该员工认为,这些资源已对当前业务没有任何价值,于是进行了删除操作。但是这些资源与其他业务存在着非常隐蔽的依赖性,当A资源被删除后,会影响B业务的稳定运行。此时,B业务调用的API发生了大量的报错,会触发API错误事件(ApiErrorRateInsight)。
案例三:洞察异常调用的写事件API
Insights会自动分析写类型的管控事件,并在写事件发生异常时产生Insights事件,例如:当事件DeleteInstance的调用率相较数学模型计算的基准不同时,会生成一条对应的Insights事件。通过查看Insights事件,能够及时洞察异常的API活动。
安全性
案例一:通过异地请求IP洞察员工AccessKey被盗用
由于A公司某员工的AccessKey密码被盗,导致黑客利用该员工的AccessKey登录公司所在云后,进行了一些利己操作,该行为可能会触发IP请求事件(IpInsight)。因为开启Insights功能之后,Insights会在所有支持地域学习当前地域所记录的IP地址,并通过算法模型判断当前IP地址是否属于常规使用的IP地址,如果该IP地址的归属地域属于新的地域,则会产生一条IP请求事件(IpInsight)来提醒用户防范风险。
案例二:通过请求量的异常变化洞察AccessKey泄漏
由于A公司某员工的AccessKey密码被盗,盗用者使用该AccessKey申请云上资源进行使用,该行为增加了该云账号的总事件量,并反映在云产品(ECS实例、SLS等)的事件量变大,会产生API调用事件(ApiCallRateInsight)。
案例三:发现异常的权限变更行为和密码变更行为
当您在云上有权限变更或密码变更需求时,期望有专门的运维人员进行此类风险较高的操作。当有陌生身份来源进行权限变更操作或密码变更操作时,您可以通过Insights的权限变更、Insights事件和密码变更Insights事件,迅速定位到操作者身份及其相关联的IP地址、userAgent等信息,帮助您更快发现异常的权限变更行为和密码变更行为。
员工A是公司的运维人员,但是A泄漏了AccessKey ID和AccessKey Secret,被盗用者使用后,会产生相应的IpInsight事件(表明该账号有新IP地址登录),盗用者在变更密码或变更权限后,会产生对应的权限变更Insights事件和密码变更Insights事件。通过Insights事件,您更能及时发现账号被盗用、不常规的权限变更和密码变更行为。