检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用云监控服务对重点审计事件进行实时监控告警 云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,帮助您实时掌握特定云服
数据保护技术 CTS通过多种数据保护手段和特性,保障CTS的数据安全可靠。 表1 CTS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) CTS支持HTTPS传输协议,保证数据传输的安全性。 构造请求 数据冗余存储 审计日志以多副本方式存储,保障数据可靠性。
监控安全风险 CTS通过关键操作通知监控安全风险,保障数据安全可靠。 表1 CTS的监控安全风险 监控安全风险 简要说明 详细介绍 关键操作通知 云审计服务在记录某些特定关键操作时,支持对这些关键操作通过消息通知服务实时向相关订阅者发送通知,该功能由云审计服务触发,消息通知服务(SMN)完成通知发送。
云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件,您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。 在新版事件列表查看审计事件
文字符必须为UTF-8编码。 每个接口的请求消息体内容不同,也并不是每个接口都需要有请求消息体(或者说消息体为空),GET、DELETE操作类型的接口就不需要消息体,消息体具体内容需要根据具体接口而定。 对于管理员创建IAM用户接口,您可以从接口的请求部分看到所需的请求参数及参数
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 在开通云审计服务时,系统已为您自动创建了一个管理事件追踪器,管理事件追踪器只能有一个,故后续您自行创建的追踪器均为数据类事件追踪器。 使用限制
预先创建好的SMN主题,向用户手机、邮箱发送消息,也可直接发送http/https消息。常用于实时感知高危操作、触发特定操作或对接用户自有审计分析系统。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/notifications 表1 路径参数
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作动作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
需保存更长时间的操作记录,您可以在创建追踪器之后通过对象存储服务(Object Storage Service,以下简称OBS)将操作记录实时保存至OBS桶中。 URI POST /v1.0/{project_id}/tracker 表1 路径参数 参数 是否必选 参数类型 描述
data_bucket_name 否 String 数据类追踪器追踪对象的桶名。 当启用或者停用数据类追踪器时,该参数为必选。 管理类追踪器无此参数。 追踪器一旦创建追踪桶无法修改。 data_event 否 Array of strings 数据类追踪器追踪的操作类型。 当启用或者停用数据类追踪器时,该参数为必选。
致调用API失败。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 Token可通过调用获取用户Token接口获取,调用本服务API需要pr
建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露 为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。 IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景。 通过将用户添加到用户组并将IAM策略
删除追踪器 功能介绍 云审计服务目前仅支持删除已创建的数据类追踪器。删除追踪器对已有的操作记录没有影响,当您重新开通云审计服务后,依旧可以查看已有的操作记录。 调用方法 请参见如何调用API。 URI DELETE /v3/{project_id}/trackers 表1 路径参数
当用户公有云帐户欠费时,云审计服务依旧可以接收所支持服务发送的操作信息,但只能保存近7天的操作记录。因为7天之前的历史操作记录会以事件文件的形式实时保存至OBS桶,而将事件文件存储于OBS桶所产生的流量需要付费。 此时只能对追踪器执行“删除”操作。
删除追踪器 操作场景 云审计服务管理控制台支持删除已创建的数据类事件追踪器,删除数据类事件追踪器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除数据事件追踪器。 使用限制 删除追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您
后续您创建的追踪器均为数据类事件追踪器。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 在左侧导航栏选择“事件列表”,可以查看最近7天的事件操作记录。 相关信息 云审计服务的功能主要包括: 记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。
已开通云审计服务,且已创建一个数据类事件追踪器。 配置数据类事件追踪器 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 在数据类追踪器信息右侧,单击操作下的“配置”。
已在云审计服务中成功创建数据类追踪器。 停用/启用数据类事件追踪器 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 在数据类追踪器信息右侧,单击操作下的“停用”。
全能力对业务及数据安全保护,安全地使用云。详情请参见责任共担。 本文提供了CTS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CTS资源的安全状态,更好的组合使用CTS提供的多种安全能力,保护存储在CTS内的数据不泄露、不被篡
录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。 审计日志查询:支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
