检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。 图1 处理流程 案例价值点 通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
/v3/{domain_id}/resources 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账户id,参见获取账号ID和项目ID章节。 请求参数 无 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 resources Array of
操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管
、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则通过消息通知服务(SMN)发送通知。以ECS服务为例,在云审计界面选择事件通知,选择ECS服务,选择ECS的资源类型ecs,选择对应的action,然后订阅SMN通知即可。具体操作和邮件通知范例如下图: 图1 关键操作通知
/v3/{project_id}/operations 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,参见获取账号ID和项目ID章节。 表2 Query参数 参数 是否必选 参数类型 描述 service_type 否 String 事件对应的云服务类型。 resource_type
0-56Z_21d36ced8c8af71e.json.gz OBS桶名和事件前缀为用户设置,其余参数均为系统自动生成。 下载将产生请求费用和流量费用。 关于云审计服务事件结构的关键字段详解,请参见事件结构和事件样例。 图2 查看事件文件内容 文件下载到本地后,通过解压可以得到与
的SDK代码示例。 状态码 状态码 描述 200 修改关键操作通知成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
_2024-12-13T01-29-19Z_47b9d51830deff47.json.gz OBS桶名和事件前缀为用户设置,其余参数均为系统自动生成。 下载将产生请求费用和流量费用。 用户在配置追踪器转储至OBS时,关闭“路径按云服务划分”开关后,转储文件路径中不会显示“服务类型目录”。例如:User
account_id String 账号ID,参见《云审计服务API参考》“获取账号ID和项目ID”章节。 access_key_id String 访问密钥ID。 principal_urn String 操作用户身份的 URN。 如果是 IAM 用户身份,格式如 iam::<accoun
开启云审计服务配置OBS桶,将审计事件归档OBS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至O
实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。再由SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。
String 标识操作类型。 目前支持的操作类型有完整类型(complete)和自定义类型(customized)。 完整类型下,CTS发送通知的对象为已对接服务的所有事件,此时不用指定operations和notify_user_list字段。 自定义类型下,CTS发送通知的对象是
发送“POST /v1.0/{project_id}/tracker”。 在Request Header中增加“Content-Type”和“X-Auth-Token” 在Request Body中传入参数如下: POST /v1.0/{project_id}/tracker {
持续时间:选择“永久”。 描述:填写描述信息。 单击“下一步”,进入委托选择页面,在“配置权限”界面勾选“CTS Administrator”和“SMN Administrator”。 SMN Administrator:拥有该权限的用户可以对SMN服务下的资源执行任意操作。 选择“CTS
云审计服务(CloudTrace Service,以下简称CTS)为您提供云服务资源的操作记录,供您查询、审计和回溯使用。 通过云审计服务,您可以记录云审计自身服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计服务支持的自身服务操作列表 操作名称 资源类型 事件名称 创建追踪器 tracker
/v3/{domain_id}/checkbucket 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账户id,参见获取账号ID和项目ID章节。 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 buckets 否 Array of CheckBucketRequest
用户公有云帐户欠费给云审计服务带来的影响? 当用户公有云帐户欠费时,云审计服务依旧可以接收所支持服务发送的操作信息,但只能保存近7天的操作记录。因为7天之前的历史操作记录会以事件文件的形式实时保存至OBS桶,而将事件文件存储于OBS桶所产生的流量需要付费。 此时只能对追踪器执行“删除”操作。
DEW密钥的使用,您可以及时发现异常活动、未授权操作或潜在的安全风险。有效的监控和审计可以帮助您更好地管理和保护DEW密钥,确保数据的安全性和合规性。 本文为您介绍如何通过云审计服务的操作审计功能和筛选查询事件功能,对DEW密钥的使用情况进行监控。 准备工作 为用户添加云审计服务(CTS)操作权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
