从被动审计到主动监控——SLS日志审计-内置告警规则发布!
背景介绍
自从日志服务(SLS)日志审计功能发布以来,已经陆续有许多重要客户使用来审计云上系统的行为、网络、操作日志等等。目前SLS覆盖几十种以上云产品日志接入,而日志审计在此基础上更是针对审计需求,支持了一键式、多账号、跨区域、自动发现实例的中心采集、存储并提供上层多种审计方式的功能。
主动监测
通常在审计场景下,不同客户也因为组织发展阶段、人员形态、业务需求等有不同层次的审计诉求(如下)。
表面上看,大部分客户对于日志审计的基础诉求是采集、存储、自动配置即可,也就是将日志审计作为一个兜底的、事后被动可溯源的场景使用。但实际上在安全问题发生后,排查的成本是相当高的(参考FireEye M-Trends 2018报告),如果可以进行更主动的监控、告警、分析、建模、智能,显然安全防护效果会更佳。
例如云账号Root账号是否允许主账号秘钥在使用?需要时刻监测所有的访问日志并检查是否有违规,并及时报告,而不是可能秘钥已经泄露才发现有违规行为。
但因为这方面要求对于系统建设要求较高,且投入人力、组织建设、持续运营方面较大,往往较大型公司或组织会做较多关注,大部分公司不具备这方面的条件(而非需求)。
日志服务(SLS)可以在以上各个层次都可以较好支持客户诉求,降低门槛和减少落地时间,这次的发布中的内置告警规则功能,则是进一步增强用户这方面的能力和降低使用门槛,让更多客户在几乎不增加费用的情况下,享受主动监测带来的好处。
功能介绍
SLS日志审计新发布了内置告警规则,具备如下功能和优势:
- 近百个规则,一键式开启
- 支持白名单、多实例自定义参数
- 独立用户、用户组
- *渠道管理
- 独立告警态势大盘
该功能与通用告警一样,仅针对短信、语音按条收费外,不会产生其他额外费用。
覆盖区域与站点
公有云、金融云、国际站等同步发布,覆盖目前已支持的所有区域。详情参考产品覆盖文档。
功能概览
进入日志审计配置完成后,可以看到新增的审计告警菜单与导航栏。
内置告警规则
其中告警规则覆盖了近百种的告警规则(持续增加中),主要是CIS规则和云安全最佳实践两大方面。其中CIS规则覆盖了账户安全、权限管理、存储、主机、数据库、网络、日志等各个方面的合规建议,而云安全最佳实践提供CIS的更完善的补充。SLS日志审计的内置规则,将这些文案性质的建议或偏配置的静态规范,变成了可监测确认的、自动化规则。
一键式开启与参数定制
告警中心的告警规则页面提供了一键式开启的功能,根据标签过滤器,选择特定的规则,例如CIS基准,多选后,在工具栏即可点击开启(也可单独操作)。
大部分规则自带默认值,并且支持自定义,例如规则Root子账号无MFA登录,可以针对特定可信子账号关闭检查,点击白名单按钮,添加特定主账号ID和子账号用户名即可:
也可以针对特定规则,修改器默认参数,例如规则Root账户连续登录告警,可以配置次数阈值以及发生时问题的严重度:
对于特定规则,如规则RDS慢SQL检测,可以针对特定业务的数据库,设置不同参数(数据库名、阈值、严重度等),添加多个告警实例来分别监测:
告警大盘
内置告警提供了全新的告警大盘,覆盖规则中心、链路视图和排错中心等。例如通过规则中心,可以知道目前有多少告警规则被触发,具体触发的事件如何;通过链路视图,可以知道有多少告警通知事件,经过降噪后分别在多少渠道最终通知出来。
动态告警策略
日志审计内置的告警基于新版告警引擎,支持动态告警路由功能,例如可以根据告警的特性(如来源账号、云产品、或事件严重度)来分派到特定的渠道,而渠道也可以引用独立配置的用户、用户组、内容模板等。
静默支持
可以对特定告警临时关闭,也可以对特定事件进行临时静默,例如某个时间段,大家在休假,特定不严重的告警(如告警严重度不到高的)都可以忽略。那么只需要在告警策略中,修改日志审计对应的静默策略,添加一条这样的规则即可:
独立用户、用户组、内容模板
独立的用户、用户组和内容模板使得告警更加容易管理,独立用户、用户组都支持批量导入,且支持以前做了优化:
- 用户:支持临时禁用,方便特定用户离职或休假时使用;或禁用特定渠道(如电话、语言),方便特定人员出差或手机不可用时使用;单个用户支持多个邮箱等。
- 用户组:支持临时禁用,与用户解耦(一个用户可以属于多个组)。
参考
日志审计的内置告警规则库会持续更新,后续也会有更多的最佳实践介绍发布。更多信息请参考日志审计的告警文档:
也欢迎钉钉扫码加入SLS技术交流群,观察本功能宣传直播或视频,并获得更及时的客户支持、资讯发布、直播分享和技术交流: