账号威胁发现产品概述-产品简介-文档中心-腾讯云

什么是账号威胁发现
账号威胁发现（Account Threat Discovery，ATD）为腾讯云用户提供账号安全监测服务，是腾讯云账号安全服务的子产品。账号威胁发现主要基于 操作审计（CloudAudit） 数据进行分析，快速建立用户行为基准，实时帮助用户分析 API 调用是否符合用户行为基准。与此同时，腾讯云积累多年的威胁情报源（如恶意 IP 列表等）、机器学习以及异常检测等资源和技术也会为您保驾护航。您无需部署或维护任何软、硬件，只需要在控制台进行简单操作，即可以启用威胁发现功能，持续监控用户的腾讯云账户，结合用户行为基准、情报资源以及用户自定义 IP 名单等，识别潜在威胁并确定威胁处理的优先级别。
工作原理
威胁分类
每个用户都可以通过控制台和 API 操作访问腾讯云账号下的云资源，而每种云资源下又有多种访问方式。通过分析一位用户操作一次所涉及到的步骤，威胁发现将基础威胁类型分为以下几类：
腾讯云身份安全 CEIS（Cloud Electronic Identity Security）
腾讯云权限管理安全 CAMS（Cloud Access Management Security）
腾讯云资源安全 CRS（Cloud Resource Security）
用户自定义安全 CUDS（Cloud User Definition Security）
原理说明
当用户想重启 A 账号下的某个 CVM 实例：
1. 登录账号 A。在登录时需要验明正身，此时会产生一连串的校验日志，CEIS 异常检测便会对验明正身的过程进行异常检测。
2. 验明正身后，需要找到对应的 CVM 实例并尝试执行重启操作。
2.1 执行重启操作前，需要校验当前用户是否具备重启 CVM 实例的权限，此时也会产生一连串的检验日志，CAMS 异常检测便会对这次权限验证的过程进行异常检测。
2.2 开始执行重启操作，CRS 便会对这次执行重启的逻辑进行异常检测。
3. 此外，账号威胁发现还会根据用户自己上传的 IP 列表进行数据分析，即用户自定义安全 CUDS（Cloud User Definition Security）。
整体工作原理如下图所示：
﻿
﻿
风险等级
账号威胁发现根据威胁事件的危害程度，将事件分为高、中、低三个等级，定义原则如下：
高风险：需要马上修复，否则将对用户的资产或业务产生重大影响。
中风险：需要用户及时确认是否真的存在问题，如问题存在，需马上修复，否则会对用户的资产造成影响。
低风险：用户的操作不符合最佳安全事件，需尽快确认并按照最佳安全事件进行修改，否则可能存在安全风险。
产品概述

本页目录：

什么是账号威胁发现

工作原理

威胁分类

原理说明

风险等级
