文档首页/ 安全云脑 SecMaster/ 用户指南/ 剧本说明/ 凭据泄露响应
更新时间:2026-02-05 GMT+08:00
查看PDF
分享

凭据泄露响应

剧本说明

凭据泄露指的是个人或组织在使用各种服务(如云服务、社交媒体、电子邮件等)时,其身份验证信息(如用户名、密码、API密钥、访问令牌等)被未经授权的第三方获取或泄露。“凭据泄露响应”类剧本已关联“凭据泄露响应”流程,剧本实现如下操作:

  • API密钥泄露场景: “凭据泄露响应-AccessKey”剧本自动化停用AKSK。
表1 剧本触发条件说明

剧本

触发条件

“凭据泄露响应-AccessKey”

该剧本由告警事件触发,当存在同时满足如下3个条件的告警时,且剧本已启用,则剧本会自动生效停用AKSK。

  • 条件1:告警类型是“AKSK风险”
  • 条件2:告警等级为“高危”“致命”
  • 条件3:告警来源是账号风控工作台的异常AccessKey泄露模块的告警。
    • 异常AccessKey泄露模块统计的是“告警管理”页面攻击中属于数据泄露AKSK风险类型的攻击列表,数据来源包含GitHub、OBS/RDS中泄漏AKSK产生的告警。其中OBS/RDS中泄漏AKSK产生的告警依赖开通DSC服务并在安全云脑打开DSC日志自动转告警按钮。在安全云脑控制台接入“DSC告警日志”请参见接入日志数据

该剧本需用户手动启用。

前提条件

  • 安全云脑专业版在有效使用期内。
  • “DSC告警日志”已接入安全云脑并开启自动转告警。操作指导请参见接入日志数据

约束与限制

仅适用于华为云账号凭证相关业务,其他业务系统凭证暂不适用。

启用剧本操作步骤

默认“凭据泄露响应-AccessKey”剧本的初始版本(V1)已激活,用户只需要启用剧本即可
  1. 登录安全云脑 SecMaster控制台
  2. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
    图1 进入目标工作空间管理页面
  3. 在左侧导航栏选择安全编排 > 剧本编排,默认进入剧本管理页面。
    图2 进入剧本管理页面
  4. 剧本管理页面中,搜索“凭据泄露响应-AccessKey”剧本并单击“凭据泄露响应-AccessKey”剧本所在行的“操作”列的“启用”
  5. 在弹出的启用确认框中,选择初始剧本版本v1后,单击“确认”“凭据泄露响应-AccessKey”剧本的“剧本状态”变为“已启用”表示启用剧本成功。

实现效果

当存在满足条件的告警且剧本已启用,剧本生效后会自动停用泄露的密钥。

查看方法如下:

  1. 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“我的凭证”,默认进入我的凭证“API凭证”页面。
  2. 在左侧导航栏单击“访问密钥”,进入访问密钥页面。
  3. 在访问密钥页面,查看密钥“状态”“停用”,表示该密钥已经被禁用。
父主题: 剧本说明

相关文档