账号风控工作台

操作场景

账号风控工作台针对身份安全风险问题，通过AK&SK泄露、基线风险、告警风险三大模块，呈现身份安全风险总体态势，帮助用户关注身份安全风险问题。

• 异常AccessKey泄露：统计数据泄露AK-SK风险类型的攻击，数据来源于“告警管理”中属于数据泄露AK-SK风险类型的攻击列表。
• 基线风险：统计“资源类型”为“账号”、“IAM”、“委托”的基线风险。
• 告警风险：统计“告警管理”中的身份防线的告警类型或攻击类型分布、以及身份防线告警转成的未处理的事件、以及CTS日志中的来访IP日志统计数量分布等信息。

前提条件

• 异常AccessKey泄露模块统计的是“告警管理”页面攻击中属于数据泄露AK-SK风险类型的攻击列表，数据来源包含GitHub、OBS/RDS中泄漏AK&SK产生的告警。
  • OBS/RDS中泄漏AKSK产生的告警：依赖开通DSC服务并在安全云脑打开DSC日志自动转告警按钮。在安全云脑控制台接入“DSC告警日志”请参见接入日志数据。
  • GitHub中泄露的AKSK产生的告警：
    • 依赖安全云脑需获取iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限才可查询密钥，查看安全云脑委托授权请参见查看委托授权，若云脑无iam:credentials:listCredentials和iam:users:listUsers权限则参见添加委托授权（可选）进行授权。
    • 同时需要启用“异常AccessKey泄漏风险扫描”剧本，该剧本实现每天0点定时扫描GitHub是否存在泄露的AKSK，若存在泄露的AKSK则在安全云脑自动新增一条“AKSK风险类型”的攻击，剧本的更多说明请参见异常AccessKey泄漏风险扫描。
    • 仅安全云脑专业版支持。

• 异常AccessKey泄露模块依赖数据安全中心 DSC服务，需要确保大模型数据安全防护在有效使用期内，通用数据安全防护和大模型数据安全防护均支持。 购买DSC请参见购买大模型数据安全防护或购买通用数据安全防护。
• “告警风险”模块的数据依赖开通安全云脑专业版。
• “告警风险”模块中的日志数量和“来访IP分布TOP10”数据，需要在“云服务接入”中打开“云服务”为“安全云脑 SecMaster”对应的“账号风控日志”按钮和“自动转告警”按钮。

查看委托授权

1. 登录安全云脑 SecMaster控制台。
2. 在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
3. 在左侧导航栏选择“委托”，进入委托页面后，单击“SecMaster_Agency”，默认进入SecMaster_Agency的基本信息页面。
4. 选择“授权记录”页签，查看已授予安全云脑的权限。若已包含iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限，则无需执行添加委托授权操作。否则请参见添加委托授权（可选）进行授权。

添加委托授权（可选）

安全云脑需获取iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限才可查询密钥，需要执行委托授权操作。

1. 登录安全云脑 SecMaster控制台。
2. 在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
3. 添加自定义策略。
   1. 在左侧导航栏选择“权限管理 > 权限”，并在权限页面右上角单击“创建自定义策略”。
   2. 配置策略。
      • 策略名称：自定义。
      • 策略配置方式：选择“JSON视图”。
      • 策略内容：请直接复制粘贴以下内容。

        1 2 3 4 5 6 7 8 9 10 11 12

        { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:credentials:listCredentials", "iam:users:listUsers" ] } ] }

   3. 单击“确定”。
4. 委托授权。
   1. 在左侧导航栏选择“委托”，进入委托页面后，单击“SecMaster_Agency”，默认进入SecMaster_Agency的基本信息页面。
   2. 选择“授权记录”页签，并单击“授权”。
   3. 在选择策略页面，搜索并选中3添加的策略后，单击“下一步”。
   4. 设置授权范围，请选择“所有资源”，设置完成后，单击“确定”。

在账号风控工作台查看身份安全看板

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“工作台>账号风控工作台”，进入“身份安全看板”页面。
5. 在身份安全看板页面，查看以下信息：

   表1 身份安全看板页面参数说明

   模块	描述
   异常AccessKey泄漏	异常AccessKey泄漏模块呈现告警管理-攻击中属于数据泄露AK-SK风险类型的攻击列表。 AccessKey泄漏风险数即告警管理中属于数据泄露AK-SK风险类型的攻击告警个数，数据来源包含GitHub、OBS/RDS中泄漏AK&SK产生的告警，前提条件请参见前提条件说明。 异常AccessKey泄漏模块的告警列表包含以下信息： 告警名称 泄漏状态 AccessKey 用户名 用户ID 账号名 账号ID等信息 更多告警详细信息可单击模块右上方的“查看详情”跳转至“告警管理”页面查看。 若前提条件都满足，异常AccessKey泄漏模块无数据，则说明您的账号AccessKey暂无泄露风险。
   基线风险	基线检查模块呈现风险预防-基线检查页面所有遵从包中“资源类型”为“账号”、“IAM”、“委托”的基线风险。 急需处理风险：基于检查项维度统计如下风险个数 未处置风险项：资源类型为“账号”、“IAM”、“委托”的不合格/待检查/检查失败的检查项个数。未处置风险项的检查项列表只展示5条风险项，基于风险等级和最近扫描时间排序。 致命项：“级别”为“致命”，资源类型为“账号”、“IAM”、“委托”的不合格/待检查/检查失败的检查项个数。 高危项：“级别”为“高危”，资源类型为“账号”、“IAM”、“委托”的不合格/待检查/检查失败的检查项个数。 资源类型分布：基于检查结果维度，统计受资源类型为“账号”、“IAM”、“委托”的不合格/待检查/检查失败的检查项影响的资源类型分布。 风险等级：基于检查项维度，统计资源类型为“账号”、“IAM”、“委托”的不合格/待检查/检查失败的检查项不同风险等级的数量分布（风险等级有：致命、高危、中危、低危、提示）。 合规配置趋势：基于检查结果维度，统计资源类型为“账号”、“IAM”、“委托”的检查项检查结果的总数量和合格数量的趋势图。 更多详细信息可单击基线风险模块右上方的“查看详情”跳转至“基线检查”的“检查结果”页面查看。
   告警风险	告警风险模块统计“告警管理”中的身份防线的告警类型和攻击类型分布、以及身份防线告警转成的未处理的致命/高危事件、以及CTS日志中的来访IP日志统计数量分布等信息。 告警处置 日志：CTS日志的访问次数。 告警：告警管理中的属于身份防线的未处理告警和攻击数量总和。 事件：“告警管理”页面的告警中属于身份防线的告警转成的事件，且未处理的事件总数。 来访IP分布TOP10 IP：CTS日志访问次数排名前TOP10的IP。 地理位置：CTS日志访问次数排名前TOP10的IP对应的地理位置。 告警分布：告警管理中的属于身份防线的未处理告警和攻击类型分布散点图。 事件风险 未处置风险项：“告警管理”页面的告警中属于身份防线的告警转成的事件，且未处理的事件总数。事件列表仅展示5条风险项，基于严重等级和创建时间排序，优先展示等级高的和最近创建的事件。 致命项：身份防线告警转成的事件且“等级”是“致命”的未处理事件数。 高危项：身份防线告警转成的事件且“等级”是“高危”的未处理事件数。 MITRE分布：对抗性战术分布，威胁管理-告警管理页面中属于身份防线且未处理的告警和攻击的攻击战技术数量统计。 详细信息可单击模块右上方的“查看详情”跳转至“告警管理”的“告警”页签查看。