若灾备系统遭受不明入侵,可能会导致灾备数据丢失或损坏,影响业务连续顺利的运行,为避免安全事件,必须保证用户操作的安全性,从源头进行安全审计。
AnyRobot可以帮您实时监控用户操作,一旦灾备系统遭受异常访问(例如:用户登录异常、用户违规、敏感操作),AnyRobot会自动给您发送告警通知。您可以通过告警模块查看具体告警事件,跳转至原始日志,并通过仪表盘查看各种异常操作的IP分布情况,及时发现用户异常行为并溯源,保障灾备系统安全性。
以下将以用户异常操作为例,介绍如何进行用户操作安全审计:
1. 收到用户异常操作的告警通知后,登陆AnyRobot,进入告警>告警事件页面,查看触发告警的告警规则以及相应的告警描述,初步了解用户异常操作次数、最近一次用户异常操作发生时间的情况,如下所示:
2. 选择需查看的告警事件,点击【告警详情】打开告警详情窗口,在此窗口可查看该告警规则下所触发的告警事件的详细信息,包含:告警基本信息、告警记录,进一步了解用户异常操作的历史情况,如下所示:
3. 在告警详情窗口点击【在搜索中打开原始日志】,即可跳转至搜索>事件页面查看原始日志,了解发起异常操作的用户角色、用户名、IP地址、时间等信息。在此页面,可点击
图标来查看上下文,也可点击【列表模式】切换日志显示模式,如下所示:
4. 还可以通过查看相关仪表盘来了解各种异常操作的具体分布情况,利于发现潜在危险以及具有针对性地溯源。进入仪表盘页面,点击相关仪表盘(以下将以异常操作监控仪表盘为例)查看各种异常操作的IP分布、操作次数趋势等信息,如下所示:
说明:分析用户操作安全审计建议查看“用户安全审计”仪表盘组以进行用户安全的全盘审计,组下包括以下4个仪表盘:管理员统计、普通用户统计、异常操作监控、用户操作审计,了解当前用户组成以及审查各类用户操作的安全性:
5. 下钻仪表盘以查看某IP地址的异常操作次数趋势:
- 通过图表过滤下钻:
在异常操作监控仪表盘页面,点击“删除操作的IP分布”饼图中“10.4.33.14”部分,此IP地址以外的数据都被过滤掉,仪表盘只呈现此IP地址的各种统计数据,可以了解此IP地址在某段时间内的删除操作次数的趋势,以此来判断此IP地址的用户是否具有潜在威胁。
同时,页面左上角出现“访问ip:10.1.33.14”的过滤标签,如下所示:
可以通过点击【操作】,或将鼠标悬浮至过滤标签上点击各图标,来更改过滤条件的应用状态,如下所示:
说明:过滤标签的各操作详细说明请参见 AnyRobot Eyes 产品使用指导 下 数据应用>仪表盘>数据过滤下钻>图表过滤 章节。
- 通过过滤器过滤下钻:
在异常操作监控仪表盘页面,点击页面右上角
图标添加过滤器。
以下示例过滤器配置表示:对“用户日志”日志库下用户异常操作的各“访问ip”进行筛选过滤,在仪表盘页面以下拉列表框的形式体现,此下拉列表过滤器名称为“访问 IP选择”,点击下拉列表框内的任一IP,即可实现全仪表盘过滤,如下所示:
与图表过滤结果一致,选择“10.4.33.14”的IP地址后,仪表盘筛选出此IP下的数据,可以了解此IP地址在某段时间内的删除操作次数的趋势,以此来判断此IP地址的用户是否具有潜在威胁。
说明:
1. 添加过滤器时的各配置详细说明请参见 AnyRobot Eyes 产品使用指导 下 数据应用>仪表盘>数据过滤下钻>过滤器过滤 章节;
2. 仪表盘添加过滤器上限为20个;
3. 过滤器下拉列表框内的筛选项支持多选。
6. 了解用户异常操作的各方面情况后,点击“删除操作的IP分布”饼图右上角
>【编辑】按钮进入搜索>图表页面,切换为事件页面,即可查看原始日志,其中可以查看发删除操作的用户角色、用户名、IP地址、时间等信息,以便进行此操作的溯源,如下所示:
