DSC针对云上数据使用异常行为实时告警与审计。可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据。DSC对于异常事件数据将保留180天。
数据安全中心服务可检测敏感数据相关的访问、操作、管理等异常,并提供告警提示信息,用户可以对异常事件进行确认和处理。
通常情况下,以下行为均被视为异常事件:
1、非法用户在未经授权的情况下对敏感数据进行了访问、下载。
2、合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。
3、合法用户对敏感数据的桶进行权限更改、权限删除。
4、访问敏感数据的用户登录终端异常等情况。
前提条件
当前异常事件处理页面含有异常事件。
查看风险行为检测事件详情
步骤 1
登录管理控制台。
步骤 2
单击左上角的
,选择区域或项目。
步骤 3
在左侧导航树中,单击
,选择“安全与合规 >数据安全中心”,进入数据安全中心总览界面。
步骤 4
在左侧导航树中选择“数据使用审计”,进入“风险行为检测”页面,参数说明请参考下表所示。
在列表的右上角,可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期,事件类型以及事件状态来展示您想要的异常行为事件信息。
数据使用审计列表
风险行为检测参数列表
| 参数名称 | 参数说明 |
|---|---|
| 用户ID | 资源所有者对应的ID。 |
| 事件类型 | DSC将异常事件分成了三种类型: l 数据访问异常 − 敏感文件的越权操作。 − 敏感文件的下载操作。 l 数据操作异常 − 敏感文件的更新操作。 − 敏感文件的文件内容追加操作。 − 敏感文件的删除操作。 − 敏感文件的复制操作。 l 数据管理异常 − 添加桶时,检测到桶为公共读或公共读写桶。 − 添加桶时,检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 − 含有敏感文件的桶出现桶策略更改、删除操作。 − 含有敏感文件的桶出现桶ACL更改、删除操作。 − 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 − 敏感文件的对象出现ACL更改、删除操作。 |
| 事件名称 | 导致异常事件发生的具体事件。 |
| 告警时间 | 异常事件发生的具体时间。 |
| 状态 | 状态说明如下: l “待处理”:异常事件未进行处理。 l “违例确认”:已处理异常事件为违例确认。 l “违例排除”:已处理异常事件为违例排除。 |
步骤 5
在异常事件的操作列,单击“查看详情”,查看该事件的详细信息。
您可以根据异常事件的详细信息判断该事件是否为违例事件,从而确定如何来处理该事件,具体的处理方法请参见处理异常行为检测事件章节。
异常事件详情
查看Access Key泄露检测事件详情
步骤 1
登录管理控制台。
步骤 2
单击左上角的
,选择区域或项目。
步骤 3
在左侧导航树中,单击
,选择“安全与合规 >数据安全中心”,进入数据安全中心总览界面。
步骤 4
在左侧导航树中选择“数据使用审计”,并选择“Access Key泄露检测”页签,进入“Access Key泄露检测”页面。
Access Key泄露检测
Access Key泄露检测参数列表
| 参数名称 | 参数说明 |
|---|---|
| Access Key ID | 访问密钥ID。 可单击“去Access Key管理”,管理(创建、编辑、启用/停用、删除)访问密钥,具体的操作方法请参见访问密钥。 |
| 情报来源 | 该Access Key泄露检测事件的来源。如github。 |
| 受影响账户 | 该Access Key泄露检测事件可能会影响到的天翼云帐户。 |
| 泄露类型 | Accesskey |
| 首次发现时间 | 首次爬取到该泄露事件的时间。 |
| 处理状态 | 根据事件详情对事件进行判断和处理后,有以下状态: l 待处理:还未处理。 l 已处理(已手动删除):已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 l 已处理(已手动禁用):已进入Access Key控制台,禁用并重置Access Key(或直接删除)。 l 已处理(加入白名单):该事件加入白名单后,该Access Key在相同源链接中再次出现时,将不再进行告警,请慎重选择。 |
步骤 5
在目标事件的“操作”列,单击“查看”,可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。
步骤 6
可根据事件的推荐策略,对事件进行处理。并在目标事件的“操作”列,单击“处理”。
步骤 7
在弹出的对话框,选择“处理方式”,并单击“确定”。
Access Key泄露处理
