告警列表
1. 登录 云安全中心控制台,在左侧导览中,单击云 API 异常监测。
2. 在告警列表中,基于告警规则视角,查看告警内容(泄露、异常调用),关联 AK 与异常调用记录,并提供权限策略配置建议。
字段名 | 示例 | 说明 |
告警名称/类型 | 异常行为 泄露监测 | 单击拉起告警详情抽屉。 |
告警等级 | 严重 高危 中危 低危 提示 无效 | 基于腾讯云安全实践评定告警等级。 |
AK 名称/备注 | AKID75XXX 部门1AK | AK 名称与自定义备注。 AK 保留前6位与后11位,中间省略,支持一键复制;单击拉起 AK 详情抽屉。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
账号名称/身份 | 账号A 主账号/子账号(所属主账号:主账号B) | AK 所属云厂商与账号,若为子账号展示所属主账号信息。 鼠标悬浮查看账号 ID 与 APPID;支持筛选主账号/子账号。 |
告警时间 | 2025-01-12 18:00:00 | 告警发生时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
处理状态 | 未处理 已处置 已忽略 | 展示告警处理状态,手动完成标记,处理状态支持筛选。 |
3. 在告警列表中,选择所需告警,单击详情/更多。
操作类型 | 说明 | |
详情 | | 单击拉起告警详情抽屉。 |
更多 | 标记处置 | 单击后处理状态变为“已处置”。 |
| 标记忽略 | 单击后处理状态变为“已忽略” |
| 添加白名单策略 | 单击拉起添加白名单策略抽屉,并填充对应 AK。 |
| API 密钥管理 | 单击跳转至访问管理 > 访问密钥 > API 密钥管理。 |
规则说明
实时监控 AK 泄露与异常调用,监测分为三类:黑客工具/行云管家/cos-browser 识别、GitHub 泄露(github 合作 + IP检查等)、异常 IP 调用敏感接口等,具体规则见下表:
规则名称 | 规则说明 |
根密钥调用高危接口 | 主账号访问密钥调用高危接口。 高危接口包含cam、sts、tat、scf、tke、cdb、cvm、cbs 等20+类服务的30+接口,相关示例: cam.ListAccessKeys、cam.DeleteUser... |
非控制台方式调用高危接口 | 使用非控制台方式(主要是通过 SDK 调用云 API),调用高危接口。 |
未授权的服务调用 | 通过 API 调用未授权的服务,需要收敛该账号/角色的权限。 |
创建密钥操作 | 有新的密钥被创建。 |
权限提升行为 | 通过调用 sts、cam 的部分接口,该用户权限得到提升。 |
非正常时间段敏感行为 | 在晚上10点至凌晨6点时间段内,通过控制台或者 API 执行一些敏感操作,例如删除资源等操作。 |
新增用户调用高危接口 | 1天内创建的用户调用了高危 API,需要注意。 |
GitHub密钥确认请求 | 检查请求是否来源于 GitHubAK 回调的出口 IP。 如果命中,代表该 ak 存在于 GitHub 公库/私有库。 |
黑客工具检测 | 检查同一个 ak 的行为是否与黑客工具相似。 |
长期未使用的访问密钥出现调用 | 在过去一个月内未曾使用的访问密钥出现了 API 调用,需要注意。 |
通过cos-browser调用云API | 通过 cos-browser 调用云 API,部分攻击者会使用 cos-browser 进行文件下载,需要判断是否正常使用。 |
通过API创建云资源 | 通过腾讯云 API,创建云资源,例如创建云服务器(CVM)、云数据库(CDB)等。 |
行云管家行为 | 这部分调用来源于行云管家的调用,需要关注。 行云管家是一个多云管理平台,可以可视化的管理云上 CVM、网络、镜像等,部分攻击者也会使用。需要梳理运维人员是否使用行云管家。 |
自动化助手高危操作 | 通过调用 tat 的部分接口,直接对机器执行命令。 |
告警详情
1. 在告警列表中,选择所需告警,单击详情。
2. 在告警详情页面, 查看告警信息与异常调用记录。
查看告警信息
查看异常调用记录,查看命中该告警的是哪个 IP、IP 类型、用什么方式使用了哪个 AK 调用了什么服务、调用成功和失败分别的次数、首次/最近调用时间,以及相关的 CAM 策略;根据 AK 权限策略配置对 AK 进行处置。
字段名 | 示例 | 说明 |
调用源IP/地域/备注 | 1.1.1.1 中国-北京 | 部门1AK | 调用源 IP、所属地域与自定义备注。 IP 内容支持一键复制。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
IP类型 | 账号外(未备注) 账号内(未备注) 账号外 账号内 | 账号内:在云安全中心 IP 资产列表中识别到的调用源 IP,有备注。 账号内(未备注):在云安全中心 IP 资产列表中识别到的调用源IP,无备注。 账号外(未备注):非账号内 IP 且无备注。 账号外:非账号内 IP 但有备注。 |
AK名称/备注 | AKID75XXX 部门1AK | AK 名称与自定义备注。 AK 保留前6位与后11位,中间省略,支持一键复制;单击拉起 AK 详情抽屉。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
调用方式 | API 控制台 | 通过 API 调用 AK 访问服务还是在控制台的操作。 |
调用接口/服务 | DescribeAccountPrivileges cdb | 调用的接口与接口所属服务。 |
用户角色/策略 | 角色:CSIG_Security 策略:1 | 该 AK 关联的角色与 CAM 策略,多个时显示数字,单击打开 CAM 策略详情弹窗。 |
调用状态/次数 | 成功 (x次) 失败 (x次) | 调用该 AK 成功/失败状态及次数。 |
首次/最近调用时间 | 2025-01-01 18:00:00 2025-01-12 18:00:00 | 首次与最近调用时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
IP 所属资产(ID/名称) | ins-xxx 机器1号 | 展示 AK 所属资产。 |
3. 在告警详情页面,选择所需调用源 IP,单击详情/更多。
详情
展示调用信息,调用详情(包含时间、请求 ID、请求体;支持翻页),CAM 策略详情。
单击策略详情,展示其策略代码,支持复制;单击前往 CAM 查看,跳转至访问管理 > 策略 > 具体策略详情。
更多
添加白名单策略:输入对应 IP、调用方式、AK、接口、返回码,填写说明请参见 策略管理。
管理白名单策略:单击拉起策略管理抽屉,跳转至策略管理 > 白名单策略。
