在遵循CIS (Center for Internet Security) 網路安全架構的過程中,當您需要監測和審計高危訪問事件時,可以通過Action Trail事件進階查詢功能中的系統模板,進行快速查詢。系統模板包括:查詢審計跟蹤的變更事件、查詢審計跟蹤的停止事件、查詢RAM角色變更事件和Cloud Firewall關閉事件等。本文以查詢審計跟蹤的變更事件為例,為您介紹如何通過Action Trail查詢CIS標準相關的事件詳情。
前提條件
背景資訊
CIS(Center for Internet Security)網路安全架構檢查,為您動態且持續地監控您保有在阿里雲上的資源是否符合CIS網路安全架構要求。滿足這些要求,可以大幅度降低網路安全風險。
操作步驟
在左側導覽列,選擇
。在查詢範圍-跟蹤選擇已建立的跟蹤。
在查詢範圍地區的模板庫頁簽,選擇 。
在查詢審計跟蹤的變更事件頁簽,先設定查詢事件的時間段,再單擊運行。
說明Action Trail預設查詢7天的事件。
您可以單擊右側的事件警示,為當前事件設定警示。具體操作,請參見建立自訂警示規則。
您可以對系統模板預設的SQL語句進行修改,然後單擊儲存,將其另存新檔自訂模板,進行二次應用。
查看事件的查詢結果。
原始日誌
在原始日誌頁簽,單擊目標事件對應操作列的查看事件詳情,查看事件的基本資料和事件記錄。
說明通過查看事件詳情面板可知,操作記錄顯示某RAM使用者在華北3(張家口)地區的2024年01月10日11:06:40進行了啟用跟蹤操作。
查詢長條圖
在查詢長條圖頁簽,查看事件發生的長條圖。
相關文檔
您還可以通過設定篩選條件或SQL語句,查詢事件詳情。具體操作,請參見自訂查詢事件。