在遵循CIS (Center for Internet Security) 网络安全框架的过程中,当您需要监测和审计高危访问事件时,可以通过操作审计事件高级查询功能中的系统模板,进行快速查询。系统模板包括:查询审计跟踪的变更事件、查询审计跟踪的停止事件、查询RAM角色变更事件和云防火墙关闭事件等。本文以查询审计跟踪的变更事件为例,为您介绍如何通过操作审计查询CIS标准相关的事件详情。
前提条件
背景信息
CIS(Center for Internet Security)网络安全框架检查,为您动态且持续地监控您保有在阿里云上的资源是否符合CIS网络安全框架要求。满足这些要求,可以大幅度降低网络安全风险。
操作步骤
登录操作审计控制台。
在左侧导航栏,选择。
在查询范围-跟踪选择已创建的跟踪。
在查询范围区域的模板库页签,选择。
在查询审计跟踪的变更事件页签,先设置查询事件的时间段,再单击运行。
说明操作审计默认查询7天的事件。
您可以单击右侧的事件告警,为当前事件设置告警。具体操作,请参见创建自定义告警规则。
您可以对系统模板默认的SQL语句进行修改,然后单击保存,将其另存为自定义模板,进行二次应用。
查看事件的查询结果。
原始日志
在原始日志页签,单击目标事件对应操作列的查看事件详情,查看事件的基本信息和事件记录。
说明通过查看事件详情面板可知,操作记录显示某RAM用户在华北3(张家口)地域的2024年01月10日11:06:40进行了启用跟踪操作。
查询直方图
在查询直方图页签,查看事件发生的直方图。
相关文档
您还可以通过设置筛选条件或SQL语句,查询事件详情。具体操作,请参见自定义查询事件。