すべてのプロダクト
Search

このプロダクト

    Data Security Center:漏洩したAccessKeyペアと異常なAccessKeyペアベースのアクセスに対するアラートを表示する

    ドキュメントセンター

    Data Security Center:漏洩したAccessKeyペアと異常なAccessKeyペアベースのアクセスに対するアラートを表示する

    最終更新日:Jan 07, 2025

    Alibaba CloudアカウントまたはResource Access Management (RAM) ユーザーのAccessKeyペアが漏洩した場合、データ検出および対応機能は、漏洩したAccessKeyペアとAccessKeyペアインテリジェンスに追加されたAccessKeyペアの動作を追跡します。この機能は、AccessKeyペアを使用してアクセスされたオブジェクトを検出し、アクセスイベントのアラートを生成します。アクセスイベントをタイムリーに表示および管理することをお勧めします。このトピックでは、異常なAccessKeyペアベースのアクセスに対して生成されたアラートの詳細を表示する方法について説明します。これは、リスクを特定し、リスクの影響を判断し、リスクを軽減するのに役立ちます。

    前提条件

    背景情報

    AccessKeyペアの漏洩検出と異常なアクセスアラートの動作原理と制限の詳細については、「概要」をご参照ください。

    漏洩したAccessKeyペアのアラートイベントの統計を表示する

    1. DSCコンソール にログオンします。

    2. 左側のナビゲーションペインで、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] を選択します。

    3. [OSSデータ漏洩 (accesskeyペアシナリオ)] ページで、AccessKeyペアに関連するアラートイベントの統計を表示します。統計には、GitHubで漏洩したAccessKeyペア、OSSバケットにプレーンテキストで保存されているAccessKeyペア、またはAccessKeyペアインテリジェンスに追加されたAccessKeyペアを使用して承認済みOSSバケット内のオブジェクトにアクセスしたときに生成されるアラートイベントの数と、アラートイベントの総数が含まれます。

      重要

      バケットオブジェクトで 10 個を超えるAccessKeyペアが識別された場合、Data Security Center (DSC) は最初の 10 個のAccessKeyペアを保存し、AccessKeyペアベースのアクセスに対してアラートイベントを生成します。バケットオブジェクトの詳細で、AccessKeyペアのヒット数、機密レベル、およびサンプリングデータを表示できます。詳細については、AccessKeyペアの漏洩の詳細を表示する を参照してください。

      image

    4. [accesskeyペアの漏洩] セクションの情報源の下にある数値をクリックして、情報源のAccessKeyペアとAccessKeyペアの状態を表示します。

      image

      • [アクション] 列の [更新] をクリックして、AccessKeyペアの状態を更新します。

      • [アクション] 列の [accesskeyペアの管理] をクリックして、AccessKeyペアを管理します。たとえば、AccessKeyペアを無効にすることができます。詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。

      • [アクション] 列の [詳細] をクリックして、GitHubファイル名、ユーザー名、リポジトリ名、検出時刻など、AccessKeyペアの情報を表示します。

        image

    異常なAccessKeyペアベースのアクセスに対するアラートイベントを表示する

    1. DSCコンソール にログオンします。

    2. 左側のナビゲーションペインで、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] を選択します。

    3. [OSSデータ漏洩 (accesskeyペアシナリオ)] ページの下部で、漏洩したAccessKeyペアまたはAccessKeyペアインテリジェンスに追加されたAccessKeyペアを使用して承認済みOSSバケットにアクセスしたときに生成されるアラートイベントを表示できます。

      パラメーター

      説明

      アラート時刻

      AccessKeyペアを使用してオブジェクトにアクセスされた時刻。

      情報源

      オブジェクトにアクセスするために使用されたAccessKeyペアのソース。

      所有者アカウント

      AccessKeyペアが属するアカウントのUIDとユーザー名。

      AccessKey ID

      プレーンテキストのAccessKey ID。

      AccessKeyペアの状態

      AccessKeyペアの状態。アラートイベントを管理するときに、状態を [無効][削除済][処理予定]、または [ホワイトリストに追加済] に設定できます。AccessKeyペアをセルフマネージド情報源に追加するときに、状態を [漏洩なし] または [漏洩の疑いあり] に設定できます。

      アラートイベントの管理方法の詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。

      バケット名/機密レベル

      AccessKeyペアを使用してアクセスされたバケットの名前と、データ識別テンプレートを使用して決定された機密レベル。

      バケットガバナンスの進捗状況

      バケットへのアクセスを制御するために、アクセス制御リスト (ACL) を指定したり、特定の IP アドレスからのアクセスを制限したり、特定の機密レベルのオブジェクトへのアクセスを制限したりできます。

      DSC は、構成済みのポリシーの数に基づいてガバナンスの進捗状況を表示します。進捗状況は、次の式に基づいて計算されます。進捗状況 = 構成済みのポリシーの数/3 × 100。単位:パーセント。

      ファイル/機密レベル

      AccessKeyペアによってアクセスされたバケット内のオブジェクトの数と、データ識別テンプレートを使用して決定された機密レベル。[詳細] 列の [詳細] をクリックします。[アラートの詳細] ページで、オブジェクトのリストとヒットした機密データ識別モデルを表示できます。

    異常なAccessKeyペアベースのアクセスのアラート詳細を表示する

    1. [OSSデータ漏洩 (accesskeyペアシナリオ)] ページの下部で、アラートリストで管理するバケットを見つけ、[アクション] 列の [詳細] をクリックします。

    2. [アラートの詳細] ページで、AccessKeyペアの詳細と、AccessKeyペアを使用してアクセスされたバケット内のオブジェクトの詳細を表示します。

      • [基本情報]: アラートの内容、リスクレベル、アラートが生成された時刻、AccessKeyペアが属するアカウントが含まれます。

      • [詳細]: AccessKeyペアが最初に検出された時刻、AccessKeyペアが最後に検出された時刻、AccessKeyペアのソースに関する詳細が含まれます。次のセクションでは、表示される詳細について説明します。

        • GitHub 上のファイル名、ユーザー名、SK の有効性、およびリポジトリ名。ファイル名、ユーザー名、またはリポジトリ名をクリックして GitHub に移動し、詳細情報を表示できます。

        • バケット名、オブジェクト名、オブジェクトの更新時刻、およびオブジェクトパス。オブジェクト名をクリックして、AccessKeyペアがヒットしたデータ識別モデルを表示できます。

        • セルフマネージドインテリジェンスのユーザー名と説明。[インテリジェンス管理] の横にある [詳細の表示] をクリックして、[インテリジェンス管理] パネルでAccessKeyペアを作成または削除できます。

        [accesskeyペアの状態] の横にある [accesskeyペアの管理] をクリックして、AccessKeyペアを無効にしたり、ホワイトリストにAccessKeyペアを追加したりできます。詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。

      • [詳細]: バケット名、バケットに最初にアクセスされた時刻、送信元 IP アドレス、バケットに最後にアクセスされた時刻、バケットが属するアカウント、機密オブジェクトの数が含まれます。

        • [送信元 IP アドレス] の横にある [詳細の表示] をクリックします。詳細ページで、IP アドレス、地域、および訪問回数を表示できます。地域はパブリック IP アドレスに対してのみ表示されます。IP アドレスは、訪問回数に基づいて降順にソートされます。

        • [バケットガバナンスの進捗状況] の横にある [管理] をクリックして、バケットとオブジェクトへのアクセスを制限します。詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。

        • [詳細] セクションの右側にある [詳細の表示] をクリックします。[バケットの詳細] パネルで、次の情報を表示できます。

          image

      • [ファイル]: アクセスされたオブジェクトに関する情報 (オブジェクト名、オブジェクトサイズ、オブジェクトタイプ、オブジェクトがアクセスされた回数、オブジェクトがアクセスされた時刻、オブジェクトの機密レベルなど) を表示します。

        • [ファイル ACL] 列のドロップダウンリストをクリックして、オブジェクトの ACL を変更します。詳細については、「オブジェクト ACL」をご参照ください。

        • [アクション] 列の [詳細] をクリックして、AccessKeyペアのヒット数、機密レベル、およびサンプリングデータを表示します。識別モデルの詳細については、「識別テンプレートの表示と構成」をご参照ください。

          image

    3. [アラートの詳細] ページで、右上隅にある [ログ分析] をクリックして [ログ分析] ページに移動し、バケットの操作ログを表示します。詳細については、「監査ログの表示」をご参照ください。

    4. [アラートの詳細] ページで、右上隅にある [操作記録] をクリックして、ActionTrailコンソールの [イベントクエリ] ページに移動し、対応するAccessKeyペアの操作ログを表示します。詳細については、「概要」をご参照ください。

    次のステップ

    DSC によって提供されるアラートの詳細と対応策に基づいて、AccessKeyペアの漏洩とアクセスイベントを処理します。たとえば、影響を受けるAccessKeyペアを無効にして不正アクセスを防いだり、影響を受けるオブジェクトに対してより厳格なポリシーを構成したりできます。詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。

    参考資料

    • データ識別タスクを使用して識別された機密レベルタグは、OSSバケット内のオブジェクトのタグとして OSS に同期できます。これにより、オブジェクトのタグに基づいてオブジェクトの権限を管理できます。詳細については、「機密レベルタグをOSSオブジェクトに同期する」をご参照ください。

    • 漏洩したAccessKeyペアとAccessKeyペアインテリジェンスに追加されたAccessKeyペアを使用してリソースにアクセスしたときに生成されるアラートイベントを取得し、データ漏洩のリスクを特定します。詳細については、「異常なAccessKeyペアベースのアクセスに対するアラート通知を構成する」をご参照ください。