风险项视角
风险列表
1. 登录 云安全中心控制台,在左侧导航中,单击云 API 异常监测。
2. 在配置风险 > 风险项视角中,基于风险项视角自动化扫描 AK 权限配置, 识别存在风险的 AK,并直接展示所有受影响的具体账号列表。
字段名 | 示例 | 说明 |
风险名称 | 不应该拥有高权限预设策略 | 单击打开风险项详情抽屉。 |
风险等级 | 严重 高危 中危 低危 提示 | 基于腾讯云安全实践评定风险等级。 |
受影响账号 | 1 | 单击数字打开风险项详情抽屉。 |
最近检出时间 | 2025-01-12 18:00:00 | 风险检出时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
3. 在风险项视角列表中,选择所需风险,单击详情/重新检测。
操作类型 | 说明 |
详情 | 单击打开风险项详情抽屉,查看风险描述与关联账号信息,并依据账号当前处理状态执行相应操作。 |
重新检测 | 单击后重新检测该规则。 |
风险项详情
1. 登录 云安全中心控制台,在左侧导览中,单击云 API 异常监测。
2. 在配置风险 > 风险项视角中,选择所需资产,单击详情。
3. 在风险项详情页面,查看风险项基本信息、受影响账号以及配置建议。
查看风险项基本信息。
查看受影响账号列表,默认显示未处理风险的账号。
字段名 | 示例 | 说明 |
账号名称/身份 | 账号 A 主账号/子账号(所属主账号:主账号 B) | AK 所属云厂商与账号,若为子账号展示所属主账号信息。 鼠标悬浮查看账号名称、账号 ID与 APPID。 |
账号保护 | 登录保护:开启 操作保护:开启 | 展示账号的登录保护与操作保护等安全状态的开启情况。 支持筛选全部开启/部分开启/未开启。 |
风险检出时间 | 2025-01-12 18:00:00 | 风险检出时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
处理状态 | 未处理 已收敛 已忽略 | 展示风险处理状态,手动完成标记,处理状态支持筛选。 |
4. 在风险项详情 > 受影响账号页面,选择所需账号,单击风险详情/更多。
操作类型 | 说明 | |
风险详情 | | 单击打开风险详情抽屉,查看风险描述与判定证据。 |
更多 | 检测 | 单击后重新检测该规则。 |
| 标记忽略 | 单击后处理状态变为“已忽略”。 |
| API 密钥管理 | 单击跳转至访问管理 > 访问密钥 > API 密钥管理。 |
风险详情
1. 在风险项详情 > 受影响账号页面,选择所需账号,单击风险详情。
2. 在风险详情页面,查看风险基本信息、风险证据以及描述、风险相关接口调用情况以及配置建议。
查看风险基本信息,风险基本信息包括:所属账号、账号身份、访问方式、账号保护、相关 CAM 策略、关联账号告警以及相关 AK 与关联告警。
查看风险描述与证据,该风险详情的证据包括:策略名称、操作、资源以及请求条件。此外还存在另外两类风险证据:AK 名称、创建时间、最近使用时间以及预设策略名称。
查看风险相关接口调用情况以及配置建议。
字段名 | 示例 | 说明 |
接口名称 | AddUser | 接口的名称,悬浮图标可显示更详细的接口说明。 |
所属服务 | 访问管理(cam) | 该接口所属的产品或服务模块。 |
调用次数 | 1 | 调用该接口的次数单位。 |
资产视角
风险列表
1. 登录 云安全中心控制台,在左侧导览中,单击云 API 异常监测。
2. 在配置风险 > 资产视角中,基于资产视角自动化扫描 AK 权限配置, 识别存在风险的 AK,并清晰列出每个风险 AK 对应的受影响账号。
字段名 | 示例 | 说明 |
风险名称 | 不应该拥有高权限预设策略 | 单击打开风险详情抽屉。 |
风险等级 | 严重 高危 中危 低危 提示 | 基于腾讯云安全实践评定风险等级。 |
账号名称/身份 | 账号 A 主账号/子账号(所属主账号:主账号 B) | AK 所属云厂商与账号,若为子账号展示所属主账号信息。 鼠标悬浮查看账号 ID 与 APPID;支持筛选主账号/子账号。 |
风险检出时间 | 2025-01-12 18:00:00 | 风险检出时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
处理状态 | 未处理 已收敛 已忽略 | 展示风险处理状态,手动完成标记,处理状态支持筛选。 |
3. 在资产视角列表中,选择所需风险,单击风险详情/更多。
操作类型 | 说明 | |
风险详情 | | 单击打开风险详情抽屉,查看风险描述与判定证据。 |
更多 | 检测 | 单击后重新检测该规则。 |
| 标记忽略 | 单击后处理状态变为“已忽略”。 |
| API 密钥管理 | 单击跳转至访问管理 > 访问密钥 > API 密钥管理。 |
风险详情
1. 在配置风险 > 资产视角页面,选择所需风险名称,单击风险详情。
2. 在风险详情页面,查看风险基本信息、风险证据以及描述、风险相关接口调用情况以及配置建议。
查看风险基本信息,风险基本信息包括:所属账号、账号身份、访问方式、账号保护、相关 CAM 策略、关联账号告警以及相关 AK 与关联告警。
查看风险描述以及证据。该风险详情的证据包括:策略名称、操作、资源以及请求条件。此外还存在另外两类风险证据:AK名称、创建时间、最近使用时间以及预设策略名称。
查看风险相关接口调用情况以及配置建议。
字段名 | 示例 | 说明 |
接口名称 | AddUser | 接口的名称,悬浮图标可显示更详细的接口说明。 |
所属服务 | 访问管理(cam) | 该接口所属的产品或服务模块。 |
调用次数 | 1 | 调用该接口的次数单位。 |
规则说明
实时监控 AK 泄露与异常调用,监测分为三类:黑客工具识别、GitHub 泄露(GitHub 合作 + IP 检查等)、异常 IP 调用敏感接口等,具体规则见下表:
规则名称 | 规则说明 |
应该对私有网络(VPC)的操作权限进行收敛 | 应该对私有网络(VPC)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCcnRouteTables, CreateNatGatewayDestinationIpPortTranslationNatRule, CreateNatGatewaySourceIpTranslationNatRule, CreateSecurityGroup, CreateSecurityGroupWithPolicies, CreateVpcEndPoint, CreateVpcPeeringConnection |
应该对向量数据库的操作权限进行收敛 | 应该对向量数据库的操作权限进行收敛,不应拥有如下敏感接口权限:ModifyAccessKey |
应该对容器服务的操作权限进行收敛 | 应该对容器服务的操作权限进行收敛,不应拥有如下敏感接口权限:CreateClusterEndpoint, DeleteEKSCluster, DeleteEKSContainerInstances, DescribeClusterKubeconfig, DescribeClusterSecurity, DescribeEKSClusterCredential |
应该对高性能计算平台的操作权限进行收敛 | 应该对高性能计算平台的操作权限进行收敛,不应拥有如下敏感接口权限:ModifyInitNodeScripts |
应该对云开发服务的操作权限进行收敛 | 应该对云开发服务的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCloudUser, DescribeEnvs |
应该对腾讯云自动化助手的操作权限进行收敛 | 应该对腾讯云自动化助手的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCommand, CreateInvoker, EnableInvoker, InvokeCommand, RunCommand |
应该对安全凭证服务的操作权限进行收敛 | 应该对安全凭证服务的操作权限进行收敛,不应拥有如下敏感接口权限:AssumeRole, GetFederationToken |
应该对云函数的操作权限进行收敛 | 应该对云函数的操作权限进行收敛,不应拥有如下敏感接口权限:CreateFunction, Invoke |
应该对云数据库(Redis)的操作权限进行收敛 | 应该对云数据库(Redis)的操作权限进行收敛,不应拥有如下敏感接口权限:ClearInstance, KillMasterGroup, ModifyInstanceAccount, ResetPassword |
应该对云数据库(PostgreSQL)的操作权限进行收敛 | 应该对云数据库(PostgreSQL)的操作权限进行收敛,不应拥有如下敏感接口权限:ResetAccountPassword |
应该对集团账号管理的操作权限进行收敛 | 应该对集团账号管理的操作权限进行收敛,不应拥有如下敏感接口权限:AddUserToGroup, CreateUserSyncProvisioning |
应该对轻量应用服务器的操作权限进行收敛 | 应该对轻量应用服务器的操作权限进行收敛,不应拥有如下敏感接口权限:CreateKeyPair, ImportKeyPair, ResetInstancesPassword |
应该对域名注册的操作权限进行收敛 | 应该对域名注册的操作权限进行收敛,不应拥有如下敏感接口权限:CreateDomainBatch, RegisterDomain, RenewAgentPay |
应该对云解析(DNS)的操作权限进行收敛 | 应该对云解析(DNS)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateDomainBatch, CreateShareDomains |
应该对容器安全服务(TCSS)的操作权限进行收敛 | 应该对容器安全服务(TCSS)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteMachine |
应该对主机安全(CWP)的操作权限进行收敛 | 应该对主机安全(CWP)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteMachine |
应该对操作审计(CloudAudit)的操作权限进行收敛 | 应该对操作审计(CloudAudit)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteAudit, DeleteAuditTrack |
应该对云数据库(MySQL)的操作权限进行收敛 | 应该对云数据库(MySQL)的操作权限进行收敛,不应拥有如下敏感接口权限:CloseWanService, CreateAccounts, CreateRoInstanceIp, DescribeAccounts, DescribeBackups, DescribeBinlogs, ModifyAccountPassword, ModifyDBInstanceSecurityGroups, OpenWanService |
应该对访问管理(CAM)的操作权限进行收敛 | 应该对访问管理(CAM)的操作权限进行收敛,不应拥有如下敏感接口权限:AddUser, AddUserToGroup, AttachRolePolicy, AttachUserPolicy, CreateAccessKey, CreateApiKey, CreateCollApiKey, CreateOIDCConfig, CreateRole, CreateSAMLProvider, CreateServiceLinkedRole, CreateUserOIDCConfig, CreateUserSAMLConfig, EnableApiKey, GetProjectKey, ListAccessKeys, ListUsers, UpdateAccessKey, UpdateCollPassword, UpdateUser |
应该对黑石物理服务器(BM)的操作权限进行收敛 | 应该对黑石物理服务器(BM)的操作权限进行收敛,不应拥有如下敏感接口权限:BuyDevices, CreateSpotDevice, ReloadDeviceOs, ResetDevicePassword, ShutdownDevices |
应该对云服务器(CVM)的操作权限进行收敛 | 应该对云服务器(CVM)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateKeyPair, ExportImages, ImportKeyPair, InquirePriceCreateInstances, InquiryPriceRunInstances, ModifyImageSharePermission, ModifySecurityGroupPolicies, ResetInstancesPassword, RunInstances,AddUser, UpdateUser |
应该删除长期未使用AK密钥 | 应该删除长期未使用 AK 密钥,即使 AK 被禁用了也应该删除 |
不应该拥有高权限预设策略 | AK 不应该分配 AdministratorAccess、QCloudResourceFullAccess、QCloudCAMFullAccess、QCloudFinanceFullAccess 高权限预设策略 |
