审计告警
引入于极狐星TowerFox 1.5;依赖极狐GitLab 版本:专业版 14.5-15.9、旗舰版 15.10 以上;依赖 GitLab 版本:Ultimate 14.5。
极狐星TowerFox 审计告警通过对用户行为进行审计分析,能够及时发现异常行为,如未经授权的访问和数据泄露等安全风险。一旦发现违规行为或异常情况即产生告警,从而及早发现风险并采取措施进行处理。这种行为审计告警对于企业的信息安全保护具有重要意义。
极狐星TowerFox 通过预先设置的告警规则,对可能存在安全风险的行为进行告警,保障公司的资产安全。
告警主页
您可以通过设置开始日期、结束日期、级别和状态来查找符合条件的审计告警。
- 开始日期/结束日期:查看在开始日期和结束日期之间产生的告警。
- 级别:告警的级别,分为紧急、重要和一般。告警的级别由告警作者在创建告警时设置。
- 状态:告警的状态,分为已处理和未处理。
告警主页展示所有告警及其详细信息,包括告警 ID、触发规则和处理时间等。
| 字段名称 | 描述 |
|---|---|
| 告警 ID | 筛选时间段内触发的告警的 ID。 |
| 作者 | 创建告警的用户。 |
| 触发规则 | 触发告警的规则条件。 |
| 告警时间 | 触发告警的时间。 |
| 处理人 | 处理告警的用户。 |
| 处理时间 | 处理告警的时间。 |
| 操作 | 可以对告警进行的操作。 |
告警规则
告警规则通常由一些条件和操作组成,用于监控系统活动并识别特定事件或状况。当告警中的条件被满足后,就会执行相应的告警操作。 告警规则对于企业安全有着非常重要的作用,它们可以预测潜在的威胁并及时采取相应的措施。例如,当一个用户短时间内频繁地下载大量代码时,系统将产生相应的告警提示代码有泄漏风险。 企业可以根据自身的实际需求自定义告警规则。
NOTE: 管理员可以创建、查看、编辑或删除任何群组的告警规则,普通用户仅可以查看所在群组的告警规则。
查看告警规则
查看告警规则:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 选择右上角的 查看告警规则,查看所有告警规则。
在告警规则的主页,您可以使用以下筛选器搜索告警规则:
- 搜索:您可以在搜索栏中输入关键字搜索对应的告警。
- 级别:告警的级别,分为紧急、重要和一般。您可以通过选择告警级别筛选符合条件的告警。
- 状态:告警的状态,分为已处理和未处理。您可以通过选择状态筛选符合条件的告警。
告警规则主页展示所有告警规则及其详细信息,包括名称、描述、状态和创建人等。
| 字段名称 | 描述 |
|---|---|
| 名称 | 告警规则的名称。 |
| 描述 | 告警规则的具体规则条件描述。 |
| 状态 | 告警规则是否已启用。告警创建后,默认启用。 |
| 创建人 | 告警规则的创建人。 |
| 创建时间 | 告警规则的创建时间。 |
| 最近修改时间 | 告警规则的最近修改时间。 |
| 操作 | 可以对告警规则进行的操作,包括编辑和删除。 |
创建告警规则
创建告警规则:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 选择右上角的 查看告警规则。
- 选择右上角的 创建告警规则。
- 在弹出的窗口中,输入告警名称、描述、级别、检查范围、检查频率、触发条件及其他。
- 选择 确定。
| 字段名称 | 是否必填 | 描述 |
|---|---|---|
| 告警名称 | 是 | 告警规则的名称,不能超过 50 个字,且在系统中是唯一的。 |
| 描述 | 是 | 告警规则的具体描述,不能超过 2000 个字。 |
| 级别 | 否 | 告警的级别:紧急、重要或一般。 |
| 检查范围 | 否 | 群组/项目范围:告警规则所覆盖的检查范围,即检查在哪些群组/项目中是否出现触发审计告警规则条件的操作。如果未选择,则监控实例下的全部事件;如果选择,则仅监控选择范围下的事件。 时间范围:检查的时间范围,即检查最近多长时间内是否出现触发审计告警规则条件的操作。您可以选择分钟、小时(默认)或天。输入数字从 1 开始,且必须是正整数。例如,您在 9:00 点创建告警规则,检查范围(时间)设置为最近 1 小时,则根据您设置的检查频率,系统会检查最近 1 小时内是否出现触发审计告警规则条件的操作。 |
| 检查频率 | 否 | 检查的频率,即多长时间检查一次是否出现触发审计告警规则条件的操作。您可以选择分钟、小时(默认)或天。输入数字从 1 开始,且必须是正整数。例如,您 9:00 点创建告警规则,检查频率设置为 1 小时,则每 1 个小时系统会检查是否出现触发审计告警规则条件的操作,即 10:00 点检查一次,11:00 点检查一次, 12:00 点检查一次,依此类推。 |
| 触发条件 | 是 | 告警的触发条件。事件支持代码下载、代码克隆及拉取、代码派生、项目删除、群组删除(可多选)。运算符支持大于、大于等于、小于和小于等于。输入数字从 1 开始,且必须是正整数。 触发条件与检查频率和检查范围配合使用,表示在哪些群组/项目(检查范围-群组/项目范围)中,每几分钟/小时/天检查一次(检查频率),最近多长时间内(检查范围-时间范围)是否触发审计告警规则条件;如果触发了告警条件(触发条件),则发送告警。 |
| 其他 | 否 | 触发告警时是否需要同步发送邮件通知。如果勾选 邮件通知,您可以选择极狐星TowerFox 的用户,支持多选;您还可以添加极狐星TowerFox 系统以外的外部通知人,支持多选。 |
NOTE:
当 检查频率 中设置的时长短于 检查范围 中设置的时长时,可能会出现重复发送同一审计告警的情况,即使您已经对此告警进行了处理,后续依然可能会收到相同的告警,且告警状态显示为 未处理。 例如,您在 9:00 创建一条告警规则,检查范围 配置为 最近 6 小时,检查频率 配置为 2 小时,触发条件 配置为 代码下载大于 1,则系统会从 9:00 开始每 2 个小时检查一次最近 6 小时内是否存在代码下载大于 1 次的情况。
- 第一次检查:在 11:00 时,检查 5:00 - 11:00 内是否有触发审计告警规则条件的操作。
- 第二次检查:在 13:00 时,检查 7:00 - 13:00 内是否有触发审计告警规则条件的操作。
- 第三次检查:在 15:00 时,检查 9:00 - 15:00 内是否有触发审计告警规则条件的操作。
- 依此类推。
如果一个用户在 10:00 时下载了 2 次代码,则按照设置的检查频率,系统会在 11:00 检查 5:00 - 11:00 时间段时发现 10:00 发生的下载代码两次的操作,发送告警;在 13:00 检查 7:00 - 13:00 时间段时再次发现 10:00 发生的下载代码两次的操作,发送告警;在 15:00 检查 9:00 - 15:00 时间段时又一次发现 10:00 发生的下载代码两次的操作,发送告警。 即使在系统第一次发送告警时,您已经对告警进行了处理,其状态为 已处理,但在 13:00 和 15:00 时,因为您设置的检查机制,您依然会收到 10:00 触发的审计告警信息,且状态为 未处理。
编辑告警规则
编辑告警规则:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 选择右上角的 查看告警规则。
- 在您想要删除的告警的 操作 字段下,选择 编辑。
- 在弹出的窗口中进行编辑。
- 编辑完成后,选择 确定。
删除告警规则
删除告警规则:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 选择右上角的 查看告警规则。
- 在您想要删除的告警的 操作 字段下,选择 删除。
- 在弹出的对话框中选择 确定。
告警详情页
查看告警详情页:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 在您想要查看详情的告警的 操作 字段下,选择 查看详情。
在告警的详情页面,您可以在页面上方通过选择作者/对象/操作/描述/目标/IP 地址来筛选告警,同样您也可以在 群组或项目 中查看特定群组或项目中的告警。 告警详情页主要展示告警的作者、对象、操作、描述、目标、IP 地址和时间。有关字段的详细信息,请参考审计事件详细信息。
处理告警
处理告警:
- 登录进入极狐星TowerFox。
- 在左侧边栏中,选择 合规管理 > 审计告警。
- 在您想要处理的告警的 操作 字段下,选择 查看详情,进入告警的详情页面。
- 在告警的详情页面中,选择右上角的 确认已处理。
- 在弹出的对话框中选择 确定。确认告警后,该操作不可撤销。