用云的方式保护云:如何用云原生SOC降低云上内部用户风险?( 二 )
本模块在阈值生成中遵循一个假设 , 即用户的操作数量符合正态分布 , 并按照置信度及一定的规则取合适的值作为最终的检测阈值 , 具体的生成规则如下所示:
(一)用户权限提升
----用云的方式保护云:如何用云原生SOC降低云上内部用户风险?//----
(二)资产高风险权限修改
----用云的方式保护云:如何用云原生SOC降低云上内部用户风险?//----
(三)用户权限遍历
----用云的方式保护云:如何用云原生SOC降低云上内部用户风险?//----
三、场景检测模块
目前uba模块已有的风险场景有以下四种:用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作 。
(一)用户权限提升
该类场景聚焦于权限提升类的操作事件 , 例如绑定某一策略到特定用户 。 这一类操作事件在实际工作中基本由运维人员操作产生且大多是经由主账号操作产生 。 若一个子账号在短期内进行的权限提升类操作次数异常 , 则该用户可能被盗号或操作行为不当 , 均需告知用户及时排查处理 。
基于以上需求 , 用户权限提升场景的检测逻辑如下:
----用云的方式保护云:如何用云原生SOC降低云上内部用户风险?//----
在上述检测逻辑中 , 将主账号和子账号区分 , 对于主账号的风险评分更加宽松 。
(二)资产高风险权限修改
该类场景聚焦于资产高风险权限修改类的操作事件 , 例如修改安全组规则 。 这一类操作事件在实际工作中基本由运维人员操作产生 , 但是可能存在运维人员为了方便工作 , 为自己的子账号提权后也进行了该类操作 。 由于目前未对子账号身份作进一步划分 , 因此未对这类子账号做特殊处理 。 这类场景与用户权限提升场景的检测逻辑类似 , 如下所示:
----用云的方式保护云:如何用云原生SOC降低云上内部用户风险?//----
因为在某些业务场景中 , 可能存在需要周期性修改规则的需求 , 因此在上述检测逻辑中 , 利用了时间序列异常检测算法进行了中间处理 , 目的为排除这种周期性的影响 。
推荐阅读
- 娱乐中的趣闻符石组合也拥有的慧根效果,梦幻西游:固伤五开的常用的省蓝方式
- 购房置业▲社保未缴满15年如何补救,这4种方式都可以,劝你不要选第4个
- 徐静蕾■徐静蕾秀恩爱方式独特,晒黄立行脚丫,配文:爸爸的脚好臭
- 绅游说请爱戴你身边的人,推荐RPG:收集音乐保护水星的居民
- 手机大魔王用权限管理来保护你的隐私安全,安卓手机安装APP后先别打开
- 聚成教育演示技巧—在PPT内粘贴Excel表格的5种方式
- 『色预警信号』新一轮降雨全面开启 长沙上演阵雨和多云的拉锯战
- 元气宅玩家隐藏职业不仅并非谣传,且激活方式相当简单,元气骑士:实测解析
- 上观新闻保护野生动物进行时,春暖花开复苏季
- 靓科技解读活下的人都是有方式,这轮冲击性中