Action Trail支援Insights事件,協助您從管控事件中發現異常行為。開通Insights事件後,Action Trail將基於管控事件識別存在風險的API呼叫事件、API錯誤事件、IP請求事件、AccessKey呼叫事件、許可權變更事件、密碼變更事件和隱匿行蹤事件並產生Insights事件,便於您及時洞察雲上管控風險並儘快採取補救措施。
Insights事件與管控事件的區別
事件類型 | 說明 | 相關文檔 |
管控事件 | 使用者通過登入阿里雲帳號,使用阿里雲上的身份對雲資源進行管控而被記錄的動作記錄。每一條管控事件是一次動作記錄。 | |
Insights事件 | 雲端式上記錄的管控事件,Insights事件通過數學模型分析了可能存在風險的API呼叫事件(ApiCallRateInsight)、API錯誤事件(ApiErrorRateInsight)、IP請求事件(IpInsight)、AccessKey呼叫事件(AkInsight)、許可權變更事件(PolicyChangeInsight)、密碼變更事件(PasswordChangeInsight)和隱匿行蹤事件(TrailConcealmentInsight),例如:您的帳號被一個外部IP地址入侵後,如果對某一個資源進行大量的寫事件(例如:刪除操作),則會觸發針對該IP地址的IP請求事件,以及該刪除操作的API呼叫事件。 |
功能特性
Action Trail的Insights功能會分析過去一段時間內您阿里雲帳號中的全部管控事件來形成API呼叫事件(ApiCallRateInsight)、API錯誤事件(ApiErrorRateInsight)、IP請求事件(IpInsight)、AccessKey調用率事件(AkInsight)、許可權變更事件(PolicyChangeInsight)、密碼變更事件(PasswordChangeInsight)和隱匿行蹤事件(TrailConcealmentInsight)。每一條Insights事件包含該事件發生時的一條開始事件和該事件結束時的一條結束事件。
API呼叫事件(ApiCallRateInsight)會分析您阿里雲帳號中的全部寫事件,其基於API的調用率並結合數學模型來分析API當前調用與歷史調用行為相較是否發生顯著變化,並產生Insights事件。
API錯誤事件(ApiErrorRateInsight)會分析您阿里雲帳號中API錯誤調用的全部管控事件,其基於API的錯誤調用率並結合數學模型來分析API當前調用錯誤與歷史調用錯誤行為相較是發生顯著變化,並產生Insights事件。
IP請求事件(IpInsight)會總結正常來訪IP地址的特徵模型。在您後續長期的雲上訪問過程中,不斷為您掃描並鑒別新出現的來訪IP地址,識別其中的異常IP地址,並產生Insights事件。
AccessKey呼叫事件(AkInsight)會分析您阿里雲帳號中所有的AccessKey ID,基於AccessKey的調用率並結合數學模型分析AccessKey當前調用與歷史調用行為相較是否發生顯著變化,並產生Insights事件。
許可權變更事件(PolicyChangeInsight)會分析您阿里雲帳號中具備許可權變更能力的所有雲產品,例如:RAM、OSS、資源管理等,並依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
密碼變更事件(PasswordChangeInsight)會分析您阿里雲帳號中具備密碼變更能力的所有雲產品,例如:KMS、AasCustomer(雲帳號登入服務)、AasSub(RAM使用者登入服務)等,並依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
隱匿行蹤事件(TrailConcealmentInsight)會分析您阿里雲帳號在Action Trail上的停止跟蹤或刪除跟蹤的行為,並依據機器學習過濾模型所認為的常用操作者的操作,針對不常用操作者的行為,產生對應的insights事件。
工作原理
Insights事件的產生條件:當您開通Insights功能後,Action Trail會持續分析您開通Insights功能後所產生的全部管控事件,並在至少24小時後為您產生第一條Insights事件。Insights事件是對可能存在風險的行為的洞察,如果您的阿里雲帳號中不存在風險行為,則不會產生Insights事件。
Insights事件的統計範圍:Insights事件是分地區的。針對同一個地區發生的管控事件進行Insights事件的分析,所以Insights事件與管控事件所在地區相同。
Insights事件的判定規則如下:
API呼叫事件(ApiCallRateInsight)用於分析API調用率相較歷史調用率的異常。採用數學模型來分析當前API的調用行為與調用方式與歷史調用是否存在明顯差異,如果該API的當前調用與歷史調用存在明顯差異,則會產生針對當前API的Insights事件。
說明API呼叫事件(ApiCallRateInsight)針對寫事件分析更為敏感。
API錯誤事件(ApiErrorRateInsight)用於分析API錯誤率相較歷史調用率的異常。採用數學模型來分析當前API錯誤的調用(調用行為和調用方式)與歷史調用是否存在明顯差異,如果該API錯誤的當前調用與歷史調用存在明顯差異,則會產生針對當前API錯誤的Insights事件。
說明API錯誤事件(ApiErrorRateInsight)針對讀寫事件分析敏感度一致。
IP請求事件(IpInsight)用於洞察風險IP地址的訪問。採用IP地址關聯度演算法可能導致一些新出現的來訪IP地址被錯誤地識別為風險IP地址。當IP請求事件產生後,會在當天僅形成一條關於該IP地址第一次訪問的IP請求事件。
AccessKey呼叫事件(AkInsight)用於分析AccessKey調用率相較歷史調用率的異常。採用數學模型來分析當前AccessKey的調用行為與調用方式與歷史調用是否存在明顯差異,如果該AccessKey的當前調用與歷史調用存在明顯差異,則會產生針對當前AccessKey的Insights事件。
說明AccessKey呼叫事件(AkInsight)針對寫事件分析更為敏感。
許可權變更事件(PolicyChangeInsight)用於分析非常規操作者的許可權變更行為,採用機器學習演算法產生頻繁項集與關聯關係,過濾常規操作者的許可權變更行為,針對非常規操作者的許可權變更行為產生Insights事件。
密碼變更事件(PasswordChangeInsight)用於分析非常規操作者的密碼變更行為,採用機器學習演算法產生頻繁項集與關聯關係,過濾常規操作者的密碼變更行為,針對非常規操作者的密碼變更行為產生Insights事件。
隱匿行蹤事件(TrailConcealmentInsight)用於分析非常規操作者的刪除跟蹤或停止跟蹤行為,採用機器學習演算法產生頻繁項集與關聯關係,過濾常規操作者對跟蹤的配置行為,針對非常規操作者的行為產生Insights事件。
使用說明
Action Trail暫不支援查詢Insights事件的地區:
華南2(河源)
華東5(南京-本地地區)
華南3(廣州)
華東6(福州-本地地區)
華中1(武漢-本地地區)
韓國(首爾)
菲律賓(馬尼拉)
阿聯酋(杜拜)
說明關於Insights事件支援的地區,請參見Action Trail支援的地區中除以上地區外的其他地區。
Insights功能目前支援免費試用,後續收費情況,請參見計費說明。
Insights功能開啟後,將持續分析您在Insights功能所支援的地區產生的全部管控事件。
開通Insights後,至少需要24小時才會產生第一條Insights事件。Insights會在您的帳號中產生例外狀況事件時,產生Insights事件。
查詢Insights事件
您開通Insights功能後,可以通過Action Trail控制台查詢當前地區最近一個月的Insights事件。具體操作,請參見通過Action Trail控制台查詢Insights事件。