文档首页 > > 用户指南> 数据使用审计>

查看异常事件

查看异常事件

分享
更新时间:2021/06/08 GMT+08:00

DSC针对云上数据使用异常行为实时告警与审计。可查看“近30分钟”“近3小时”“近24小时”“近7天”“近30天”的异常行为数据。DSC对于异常事件数据将保留180天。

数据安全中心服务可检测敏感数据相关的访问、操作、管理等异常,并提供告警提示信息,用户可以对异常事件进行确认和处理。

通常情况下,以下行为均被视为异常事件:
  • 非法用户在未经授权的情况下对敏感数据进行了访问、下载。
  • 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。
  • 合法用户对敏感数据的桶进行权限更改、权限删除。
  • 访问敏感数据的用户登录终端异常等情况。

前提条件

  • 已获取管理控制台的登录帐号与密码。
  • 当前异常事件处理页面含有异常事件。

查看风险行为检测事件详情

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全 > 数据安全中心,进入数据安全中心总览界面。
  4. 在左侧导航树中选择“数据使用审计”,进入“风险行为检测”页面,参数说明请参考表1

    在列表的右上角,可选择“近30分钟”“近3小时”“近24小时”“近7天”“近30天”的时间周期,事件类型以及事件状态来展示您想要的异常行为事件信息。
    图1 数据使用审计列表
    表1 风险行为检测参数列表

    参数名称

    参数说明

    用户ID

    资源所有者对应的ID。

    事件类型

    DSC将异常事件分成了三种类型:
    • 数据访问异常
      • 敏感文件的越权操作。
      • 敏感文件的下载操作。
    • 数据操作异常
      • 敏感文件的更新操作。
      • 敏感文件的文件内容追加操作。
      • 敏感文件的删除操作。
      • 敏感文件的复制操作。
    • 数据管理异常
      • 添加桶时,检测到桶为公共读或公共读写桶。
      • 添加桶时,检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。
      • 含有敏感文件的桶出现桶策略更改、删除操作。
      • 含有敏感文件的桶出现桶ACL更改、删除操作。
      • 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。
      • 敏感文件的对象出现ACL更改、删除操作。

    事件名称

    导致异常事件发生的具体事件。

    告警时间

    异常事件发生的具体时间。

    状态

    状态说明如下:

    • “待处理”:异常事件未进行处理。
    • “违例确认”:已处理异常事件为违例确认。
    • “违例排除”:已处理异常事件为违例排除。

  5. 在异常事件的操作列,单击“查看详情”,查看该事件的详细信息。

    您可以根据异常事件的详细信息判断该事件是否为违例事件,从而确定如何来处理该事件,具体的处理方法请参见处理异常事件
    图2 异常事件详情

查看Access Key泄露检测事件详情

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全 > 数据安全中心,进入数据安全中心总览界面。
  4. 在左侧导航树中选择“数据使用审计”,并选择“Access Key泄露检测”页签,进入“Access Key泄露检测”页面。

    图3 Access Key泄露检测
    表2 Access Key泄露检测参数列表

    参数名称

    参数说明

    Access Key ID

    访问密钥ID。

    可单击“去Access Key管理”,管理(创建、编辑、启用/停用、删除)访问密钥,具体的操作方法请参见访问密钥

    情报来源

    该Access Key泄露检测事件的来源。如github。

    受影响账户

    该Access Key泄露检测事件可能会影响到的华为云帐户。

    泄露类型

    Accesskey

    首次发现时间

    首次爬取到该泄露事件的时间。

    处理状态

    根据事件详情对事件进行判断和处理后,有以下状态:

    • 待处理:还未处理。
    • 已处理(已手动删除):已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。
    • 已处理(已手动禁用):已进入Access Key控制台,禁用并重置Access Key(或直接删除)。
    • 已处理(加入白名单):该事件加入白名单后,该Access Key在相同源链接中再次出现时,将不再进行告警,请慎重选择。

  5. 在目标事件的“操作”列,单击“查看”,可查看“Access Key泄露详情”“代码片段”“相关推荐”
  6. 可根据事件的推荐策略,对事件进行处理。并在目标事件的“操作”列,单击“处理”
  7. 在弹出的对话框,选择“处理方式”,并单击“确定”

    图4 Access Key泄露处理

分享:

    相关文档

    相关产品