风险场景可以帮您及时发现风险用户,其中用户权限提升场景为您检测权限提升类的风险行为,用户权限遍历场景为您检测黑客入侵进行批量高风险操作的风险行为,资产高风险权限修改为您检测用户因盗号或恶意进行高风险权限修改的风险行为,新用户高危操作为您检测因盗号或黑客入侵创建账号进行高风险操作的风险行为。
前提条件
用户行为分析(UBA)功能目前正在试用中,已开通 新旧版云安全中心高级版 的用户可获得试用资格。
在使用 UBA 功能前,需已完成 UBA 初始化配置。
操作步骤
1. 登录 云安全中心控制台,在左侧导航栏,单击用户行为分析 > 风险场景。
2. 在风险场景页面,您可查看用户权限提升、用户权限遍历、资产高风险权限修改、新用户高危操作场景的用户命中情况。
用户权限提升
场景说明:
用户权限提升用于统计命中“权限提升风险场景”的用户数。系统每小时统计1次,执行权限提升类操作(如绑定某一策略到某用户)的用户数量。具体命中规则,可以查看 风险场景命中规则。
注意
命中该风险场景的用户,若被盗号会存在很大风险,请尽快查证并最小化授权。
查看统计数据:您可在用户权限提升场景图中,查看近24小时、近7天或近30天命中的用户数,将鼠标悬浮于图表上方,可查看某一小时或某一天的风险用户数,单击该“条形”可直接查看该部分风险用户。在图表左下角展示当前图表统计时间的风险用户数,单击“风险用户数”,可查看该部分风险用户。
用户权限遍历
场景说明:
统计命中“权限遍历风险场景”的用户数。系统每天统计1次,执行操作种类数超过告警值的用户数量。该类用户可能存在试探性操作,可能操作者是对业务不熟悉或者存在黑客入侵,需持续关注。具体命中规则,可以查看 风险场景命中规则。
查看统计数据:您可在用户权限遍历场景图中,查看近7天、近14天或近30天命中的用户数,将鼠标悬浮于图表上方,可查看某一天的风险用户数,单击该“条形”可直接查看该部分风险用户。在图表左下角展示当前图表统计时间的风险用户数,单击“风险用户数”,可查看该部分风险用户。
资产高风险权限修改
场景说明:
统计命中“资产高风险权限修改风险场景”的用户数。系统每小时统计1次,执行权限修改类操作(如修改安全组规则)的用户数量。具体命中规则,可以查看 风险场景命中规则。
注意
命中该风险场景的用户,若被盗号会存在很大风险,请尽快查证并最小化授权。
查看统计数据:您可在资产高风险权限修改场景图中,查看近24小时、近7天或近30天命中的用户数,将鼠标悬浮于图表上方,可查看某一小时或某一天的风险用户数,单击该“条形”可直接查看该部分风险用户。在图表左下角展示当前图表统计时间的风险用户数,单击“风险用户数”,可查看该部分风险用户。
新用户高危操作
场景说明:
统计命中“高危操作风险场景”的新用户数。系统每小时统计1次,执行操作种类数超过告警线的新用户数量。具体命中规则,可以查看 风险场景命中规则 。
注意
主账号创建子用户后的1小时内,属于用户的敏感窗口期,若新用户在此期间执行了较多高风险操作(如权限提升),则该用户可能因不熟悉相关操作进行了误操作或者子用户为黑客创建,请尽快查证并最小化授权。
查看统计数据:您可在新用户高危操作场景图中,查看近24小时、近7天或近30天命中的用户数,将鼠标悬浮于图表上方,可查看某一小时或某一天的风险用户数,单击该“条形”可直接查看该部分风险用户。在图表左下角展示当前图表统计时间的风险用户数,单击“风险用户数”,可查看该部分风险用户。
