Security Center支援在其他配置中設定全域日誌過濾和存取控制功能。本文介紹其他配置支援的功能及如何配置相應功能。
全域日誌過濾
Security Center提供全域日誌過濾能力,在保障安全防護效果的同時,有效使用日誌儲存空間,提升您的營運效率。
原理說明
全域日誌過濾功能基於以下兩個維度對Security Center用戶端的日誌進行過濾。
基於特定欄位,在時間維度彙總的過濾
將資料擷取的特定欄位,例如cmdline命令列、username使用者名稱、pcmdline父進程命令列等欄位,按一定順序組合成key,並在單位時間內彙總過濾相同key的事件,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。
基於進程鏈的過濾
將採集事件的進程鏈做歸一化處理,提取特徵作為過濾的key。在一個過濾周期內,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。
前提條件
已開通日誌分析服務。具體操作,請參見開通日誌分析。
如果您未開通日誌分析服務,控制台將不顯示全域日誌過濾功能。
開啟全域日誌過濾
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇。
在設定頁簽的其它配置子頁簽,開啟全域日誌過濾地區的日誌過濾開關。
存取控制
使用阿里雲存取控制RAM(Resource Access Management)服務您可以建立、管理RAM使用者(例如員工、系統或應用程式),並控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。
如果您的企業存在多使用者協同操作雲上資源的情境,為了避免給企業使用者授予過多不必要的許可權,給企業的資產安全帶來較大的風險,建議您定期前往RAM控制台確認企業使用者的許可權授予情況。設定企業使用者許可權時建議遵從最小授權原則。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇。
在設定頁簽的其它配置子頁簽下的存取控制地區,查看存取控制相關的Action Trail資料投遞、服務關聯角色說明、權限原則管理、使用者管理、角色管理功能入口。
您在使用雲安全態勢管理身份許可權管理(CIEM)類型的檢查項前,需要開啟Action Trail數據投遞開關。開啟該開關後,Security Center可以訪問Action Trail服務的日誌資料來檢查身份許可權管理相關配置項是否存在風險。
查看Security Center的服務關聯角色AliyunServiceRoleForSas說明。更多資訊,請參見Security Center服務關聯角色。