正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
事件管理 查询事件列表 父主题: API V3(推荐使用)
摘要文件简介及存储路径 摘要文件均包含前一小时内提交到OBS桶事件文件的名称、事件文件的哈希值以及前一摘要文件的数字签名。同时摘要文件的数字签名存储在摘要文件对象的元数据属性中。 OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>trackername>Digest>服务类型目录
营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全
使用云监控服务对重点审计事件进行实时监控告警 云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,帮助您
踪器配置的转储事件文件将永久保存,数据类追踪器配置的转储事件按照转储的时间保存。 事件文件加密存储:在开通事件转储的基础上,需要使用数据加密服务(DEW)对存储在OBS桶中的事件文件进行加密。 日志转储:CTS提供将审计日志转储至LTS的功能,但依赖云日志服务(LTS)的日志存储功能收费。
X-Auth-Token”到业务接口请求消息头中。 IAM获取token的API CTS创建追踪器的API 操作步骤 Token认证,具体操作请参考认证鉴权。 发送“POST /v1.0/{project_id}/tracker”。 在Request Header中增加“Cont
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
开启事件文件完整性校验功能 操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
在云审计事件列表的“操作用户”一栏,可以查看对应事件的操作用户(user.name)信息。 本章节将介绍说明不同的操作用户身份在操作资源时,对应的事件列表中“操作用户”信息的示例,以方便用户更直观的理解操作用户信息。 IAM用户身份 操作用户为“IAM用户”时,审计日志中的user字段示例如下:
托ID。 登录租户A的管理控制台。 单击左上角服务列表,选择“安全与合规 > 数据加密服务 DEW”。 在密钥管理页面,单击要授权的密钥名称。 在授权页签单击“创建授权”,在用户ID框内填写步骤3中获取到的cts_admin_trust委托ID。 登录用户B的管理控制台。 单击左上角服务列表,选择“管理与监管
账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CTS资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。 如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CTS服务的其它功能。
从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。 从应用角度,云审计服务是云资源出现问题时,降低问题定位时间和人力成本的有效手段,能够精确定位到问题发生时的所有操作,借以减小问题排查范围。
构建程序 本案例提供了实现告警日志功能的程序包,用户可以下载(index.zip)、学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传,如图1所示。创建过程请参考创建函数。 图1 创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法
当前摘要文件的OBS存储路径。 当前摘要文件(压缩后的)的哈希值(十六进制编码)。 前一摘要文件的十六进制数字签名。 校验事件文件完整性 实现事件文件完整性校验方案时,您需要先校验摘要文件,然后再校验其引用的事件文件。 获取摘要文件。 从OBS桶中获取需要验证的时间范围的最新摘要文件。
低成本保存更长时间的日志,同时可以借助OBS的数据保护技术。 创建追踪器 事件文件完整性校验 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能
服务韧性 CTS服务提供了3级可靠性架构,通过AZ内实例容灾、双AZ容灾、日志数据多副本技术方案,保障服务的持久性和可靠性。 表1 CTS服务可靠性架构 可靠性方案 简要说明 AZ内实例容灾 单AZ内,CTS实例通过多实例方式实现实例容灾,快速剔除故障节点,保障CTS实例持续提供服务。
“空”摘要文件 即使在摘要文件记录的一小时时间段内您的帐户中没有事件活动,云审计也将提交摘要文件,该摘要文件内容最后的log_files:[]字段将为空。如果需要确定在摘要文件记录的一小时内未提交事件文件,这非常有用。 摘要文件链 摘要文件包含前一摘要文件(如果存在)的数字签名及哈希值,这样
"bucket": "bucket", "object": "CloudTraces/cn-north-01/2017/3/28/ECS/mylog_CloudTrace_cn-north-01/_2017-03-28T02-09-17Z_0faa86bc40071242.json
CTS安全最佳实践 安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您应当使用云服务提供的安全能力对业务及数据安全保护,安全地使用云。详情请参见责任共担。 本文提供了CTS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档