前提条件
用户行为分析(UBA)功能目前正在试用中,已开通 新旧版云安全中心高级版 的用户可获得试用资格。
在使用 UBA 功能前,需已完成 UBA 初始化配置。
操作步骤
1. 登录 云安全中心控制台,在左侧导航栏,单击用户行为分析 > 用户列表。
2. 在 UBA 用户列表页面,可以查看您所有用户的用户名称、用户类型、近24小时命中风险场景等信息。
搜索用户:您可在列表页选择用户类型、近24小时命中风险场景或输入用户名称定位用户。
说明:
3. 查看用户详情。在用户列表页,单击用户名称,可查看用户概览及详细活动记录。
在用户概览页,您可查看该用户的用户名称、用户类型、最近登录IP、最近操作时间、近七天命中风险场景及其明细情况、用户操作资源类型 TOP5、用户操作行为类型 TOP5。
说明:
近七天命中风险场景展示用户近七天命中的所有场景。
详细活动记录,在用户详情页,单击详细活动记录,进入详细活动记录页。在详细活动记录页,您可查看该用户的操作记录。
搜索记录
您可选择时间、区域、风险场景或输入操作名称定位具体的操作记录。
说明:
风险场景展示用户操作命中场景。
查看活动记录详情
在详细活动记录页面,单击目标记录右侧操作栏的查看详情,打开活动记录的详情页。在详情页您可查看操作日期、操作名称、异常描述、操作详细记录及安全建议等信息。
风险场景命中规则
新用户高危操作
场景说明:
系统每小时统计1次新用户的高风险操作。创建子用户后的1小时内属于用户的敏感窗口期,若新用户在此期间执行了较多高风险操作,则该用户可能因不熟悉进行了误操作或者该用户为黑客创建,管理人员需立刻关注处理。
说明:
新用户高危操作类操作:如权限提升。
命中规则说明:
统计时间:系统每小时统计1次。
计分规则:创建该用户的1小时内,该用户高危操作种类数超过30种计60分,高危操作种类数超过40种计80分,高危操作种类数超过50种计100分,最高100分。
命中场景告警线:60分。
注意:
数据更新可能会延迟6小时。
如用户近七天命中了该场景,您可在 用户列表,单击用户名称,进入用户概览页,在基本信息的“近七天命中风险场景”查看该场景的分数,单击风险活动记录可查看该场景的所有风险记录,单击提示图标可以查看该场景说明和计分规则。
用户权限提升
场景说明:
系统每小时统计1次每个用户执行了权限提升类操作(例如绑定某一策略到某用户)的数量。
注意:
该用户若被盗号会存在很大风险,请持续关注。
命中规则说明:
统计时间:系统每小时统计1次。
计分规则:子用户每小时内有1次用户权限提升类操作计60分,超过1次的每次加10分。主账号每小时内有1次用户权限提升类操作均加10分,最高均为100分。
命中场景告警线:60分。
注意:
数据更新可能会延迟6小时。
如用户命中该场景,您可在 用户列表 中,单击用户名称,进入用户概览页查看该用户的场景分布,鼠标悬浮至图表上,可查看每小时的得分和风险活动记录,同时您可单击该“条形”直接查看该部分风险记录。单击图表左上角提示图标可查看计分规则。列表左下角展示该用户当前统计时间的风险活动记录近及七天命中次数。
用户权限遍历
场景说明:
系统每天统计1次,每个用户执行的操作种类数量。
注意:
该用户存在试探性操作的可能性,可能是对业务不熟悉或者黑客入侵,请持续关注。
命中规则说明:
统计时间:系统每小时统计1次。
计分规则:用户每天操作种类数超过30种计60分,操作种类数超过40种计80分,操作种类数超过50种计100分,最高100分。
命中场景告警线:60分。
注意:
数据更新可能会延迟6小时。
如用户命中该场景,您可在 用户列表 中,单击用户名称,进入用户概览页查看该用户的场景得分分布,鼠标悬浮图表可查看每小时的得分和风险活动记录,您可单击该“条形”直接查看该部分风险记录。单击图表左上角提示图标可查看计分规则。列表左下角展示该用户当前统计时间的风险活动记录近及七天命中次数。
资产高风险权限修改
场景说明:
系统每小时统计1次,每个用户执行高风险权限修改类操作(例如修改安全组规则)的数量。
注意:
该用户若被盗号会存在很大风险,请持续关注。
命中规则说明:
统计时间:系统每小时统计1次。
计分规则:子用户每小时内有1次高风险权限修改类操作计60分,超过1次的每次加10分。主账号每小时内有1次高风险权限修改类操作均加10分,最高均为100分。
命中场景告警线:60分。
注意:
数据更新可能会延迟6小时。
如用户命中该场景,您可在 用户列表 中,单击用户名称,进入用户概览页查看该用户的场景得分分布,鼠标悬浮图表可查看每小时的得分和风险活动记录,您可单击该“条形”直接查看该部分风险记录。单击图表左上角提示图标可查看计分规则。列表左下角展示该用户当前统计时间的风险活动记录近及七天命中次数。
