检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
增值服务列表如下: 事件转储:需要使用对象存储服务(OBS),管理类追踪器配置的转储事件文件将永久保存,数据类追踪器配置的转储事件按照转储的时间保存。 事件文件加密存储:在开通事件转储的基础上,需要使用数据加密服务(DEW)对存储在OBS桶中的事件文件进行加密。 日志转储:CTS提供将审计日志转
源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示,包括了CTS的所有系统权限。
开启企业项目的具体操作请参考创建企业项目。 排除KMS事件 默认不勾选。勾选后,追踪器将不会转储用户对数据加密服务(DEW)的相关操作。 说明: 数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。 在配置转储页面,您可以设置追踪器的转储信息。用户通过云审计控制台只能查
如转换文件格式),从而简化业务开展、运维或规避问题和风险。 数据价值挖掘 云审计服务支持对审计日志中的数据进行挖掘,为业务健康度分析、风险分析、资源跟踪、成本分析等提供支撑,并支持开放审计数据给客户,供客户自行挖掘数据价值。 审计日志中包含时间、操作人、操作设备ip、被操作资源、操作详情等各类信息,具有挖掘价值。
目前,一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 事件分为以下两类:管理类事件和数据类事件,管理类事件指云服务上报的事件,数据类事件指OBS服务上报的读写操作事件。
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500
开启企业项目的具体操作请参考创建企业项目。 default 排除KMS事件 默认不勾选。勾选后,追踪器将不会转储用户对数据加密服务(DEW)的相关操作。 说明: 数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。 不勾选 在配置转储页面,您可以设置转储功能。本实践无需使用转储功能,所
日志转储的路径,系统自动填写。 文件校验 可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。如何校验文件完整性可参考校验云审计事件文件完整性。 加密事件文件 当OBS所属用户选择“当前用户”时,可以为事件配置加密密钥。 “加密事件文件”开关打开时,云审计会从数据加密服务(DEW)获取当前用户的密钥ID,在下拉选项可以直接选择密钥。
图1 处理流程 案例价值点 通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。 基于serverless无服务架构的函数计算提供数据加工、分析,事件触发,弹性伸缩,无需运维,按需付费。 结合SMN消息通知服务提供日志、告警功能。 父主题: 结合函数工作流对登录/登出进行审计分析
t 和object 信息。 调用OBS客户端接口获取事件文件对象头信息中的ETag元数据的值。 从摘要文件对应事件的log_hash_value字段获取事件文件的原始哈希值。 比较ETag元数据的值和摘要文件中事件文件的原始哈希值,如果哈希值匹配,则事件文件有效。 校验之前的摘要文件和事件文件。
现安全审计等云审计能力。 不开启开关 事件操作类型 勾选“排除KMS事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。 数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。 不勾选“排除KMS事件” 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步
入CTS服务委托“cts_admin_trust”,获取到委托ID。 登录租户A的管理控制台。 单击左上角服务列表,选择“安全与合规 > 数据加密服务 DEW”。 在密钥管理页面,单击要授权的密钥名称。 在授权页签单击“创建授权”,在用户ID框内填写步骤3中获取到的cts_admin_trust委托ID。
完成后,委托管理员账号就可以实现安全审计等云审计能力。 使用限制 一个组织只允许开启一个组织追踪器。 目前仅管理类事件追踪器支持组织功能,数据类事件追踪器不支持组织功能。 取消委托管理员前请先禁用组织追踪器,然后在组织服务界面取消委托管理员。 单账号跟踪的事件可以通过云审计控制台
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500
现安全审计等云审计能力。 不开启开关 事件操作类型 勾选“排除KMS事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。 数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。 不勾选“排除KMS事件” 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500
的SDK代码示例。 状态码 状态码 描述 200 修改关键操作通知成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
发送通知,因此需要提前了解消息通知服务的创建主题、添加订阅等操作。 操作视频 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。 越权操作感知:如高权限用户的登
当"trace_type"字段值为"system"时,该字段值默认为"system"。 当"trace_type"字段值为"data"时,该字段值为对应数据类追踪器名称。 operation_id 是 String 记录事件对应的操作ID。 resource_name 否 String 标识事件对应的资源名称。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
