异常AccessKey泄漏风险扫描

剧本说明

“异常AccessKey泄漏风险扫描”剧本已关联“异常AccessKey泄漏风险扫描”流程，剧本实现每天0点定时扫描GitHub是否存在泄露的AKSK，若存在泄露的AKSK则在安全云脑自动新增一条“AKSK风险类型”的攻击。

该剧本需用户手动启用。

该剧本启用后每天0点定时触发执行。

前提条件

• 依赖安全云脑需获取iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限才可查询密钥，查看安全云脑委托授权请参见查看委托授权，若云脑无iam:credentials:listCredentials和iam:users:listUsers权限则参见添加委托授权（可选）进行授权。
• 安全云脑专业版在有效使用期内。

约束与限制

仅适用于华为云账号凭证相关业务，其他业务系统凭证暂不适用。

查看委托授权

1. 登录安全云脑 SecMaster控制台。
2. 在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
3. 在左侧导航栏选择“委托”，进入委托页面后，单击“SecMaster_Agency”，默认进入SecMaster_Agency的基本信息页面。
4. 选择“授权记录”页签，查看已授予安全云脑的权限。若已包含iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限，则无需执行添加委托授权操作。否则请参见添加委托授权（可选）进行授权。

添加委托授权（可选）

安全云脑需获取iam:credentials:listCredentials（查询所有永久访问密钥）和iam:users:listUsers（查询用户列表）权限才可查询密钥，需要执行委托授权操作。

1. 登录安全云脑 SecMaster控制台。
2. 在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
3. 添加自定义策略。
   1. 在左侧导航栏选择“权限管理 > 权限”，并在权限页面右上角单击“创建自定义策略”。
   2. 配置策略。
      • 策略名称：自定义。
      • 策略配置方式：选择“JSON视图”。
      • 策略内容：请直接复制粘贴以下内容。

        1 2 3 4 5 6 7 8 9 10 11 12

        { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:credentials:listCredentials", "iam:users:listUsers" ] } ] }

   3. 单击“确定”。
4. 委托授权。
   1. 在左侧导航栏选择“委托”，进入委托页面后，单击“SecMaster_Agency”，默认进入SecMaster_Agency的基本信息页面。
   2. 选择“授权记录”页签，并单击“授权”。
   3. 在选择策略页面，搜索并选中3添加的策略后，单击“下一步”。
   4. 设置授权范围，请选择“所有资源”，设置完成后，单击“确定”。

启用剧本操作步骤

实现效果

“异常AccessKey泄漏风险扫描”剧本实现每天0点定时扫描GitHub是否存在泄露的AKSK，若存在泄露的AKSK则在安全云脑自动新增一条“AKSK风险类型”的攻击，可在安全云脑查看剧本自动新增的攻击数据。

方法1：在告警管理页面的攻击页签查看攻击信息。

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图3 进入目标工作空间管理页面
   
4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。
   图4 告警管理页面
   

5. 在告警管理页面，选择“攻击”页签，进入攻击页面查看攻击信息，且攻击的“类型”是“AKSK风险”。