概述
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。
本文将介绍HummerRisk中的操作审计部分功能,包括如何如何同步云事件、云事件分析、云事件聚合查询、源IP分析等。
工作流程
云事件同步
使用HummerRisk 进行操作审计,首先我们需要将多云中的操作事件同步到HummerRisk系统中,想要同步云上的操作事件就需要创建同步任务。
创建同步任务
依次点击“混合云安全”-> “操作审计”,进入云事件同步页面,点击“创建同步任务”打开新建同步任务页面,然后选择云账号、区域及同步时间段后点击确定即可同步云事件。
注意:单个同步任务最长的时间跨度是2周。
云事件同步列表
在云事件同步列表中,可以查看云事件同步日志,点击每条记录后的操作按钮,可以对同步日志进行删除。云事件同步列表可以过滤筛选,可以通过云账号名称、区域快速过滤,也可以打开高级筛选页面,进行更复杂的筛选,筛选条件包括:
- 云账号
- 区域
- 创建时间
点击同步状态可查看详细的同步日志,点击数量可查看本次同步的云事件
云事件分析
在云事件同步任务完成后,我们来到云事件分析部分。
云事件分析中汇总显示所有同步到的事件,云事件列表可以过滤筛选,可以通过云账号名称、区域、用户名源地址、事件名称、资源类型、资源名快速过滤,也可以打开高级筛选页面,进行更复杂的筛选。
点击单条记录前的箭头,可以展开查看更详细的事件信息。
每条事件定义了风险等级,包括“高风险”,“中风险”,“低风险”,方便用户快速找到存在风险的事件。
云事件聚合
云事件同步后可对云事件进行聚合查询,可查看同一日期某个源 IP 对某一事件的调用次数,云事件聚合可以过滤筛选,可以通过云账号名称、区域、用户名、源地址、事件名称、资源类型、资源名快速过滤,也可以打开高级筛选页面,进行更复杂的筛选。
点击单条记录前的箭头,可以展开查看更详细的事件信息。
源IP分析
接下来介绍一下源 IP 分析功能,本功能主要统计源 IP 地址在一定时间段内对各类事件的调用量,源 IP 分析列表可以过滤筛选,可以通过区域、源地址、事件名称快速过滤,也可以打开高级筛选页面,进行更复杂的筛选,筛选条件包括:
- 云账号
- 区域
- 事件时间
- 用户名
- 事件名称
- 资源类型
- 资源名
- 风险等级
点击源 IP 地址可查看 IP 分析详情,可以看到七日内 IP 调用量曲线以及 IP 调用事件的详情。同时在页面下方可以查看每次调用的信息,以及详细的时间原文。