告警列表
1. 登录 云安全中心控制台,在左侧导览中,单击云 API 异常监测。
2. 告警列表支持从规则视角快速聚焦核心信息:告警内容(泄露、异常调用)、关联分析结论(真实/可疑告警),以及关联的 AK 与异常调用记录。同时,系统提供具体告警处置建议以指导响应。
说明:
AI 研判机制深度融合异常调用记录与安全运营专家思维链,通过多维交叉验证请求源(IP/AK)的可信度、历史行为基线及权限边界,结合 API 调用时序与语义进行风险分析,精准判定真实告警或可疑告警,并输出处置与修复建议,实现闭环安全研判。
字段名 | 示例 | 说明 |
告警名称/类型 | 可疑列举服务器行为 异常行为 | 告警名称与所属类型,单击拉起告警详情抽屉。 支持筛选异常行为/泄露监测。 |
关联分析结论 | 真实|高危 | 结合调用记录以及腾讯云安全专家思维链,评定告警等级并输出分析结论。 支持筛选真实告警/可疑告警/分析中/未分析/分析失败。 真实告警:经验证确认存在明确风险,需重点关注并及时处置的告警。 可疑告警:经分析可能为误报,在当前业务场景下暂不视为有效告警,建议进行人工核实。 未分析:自定义告警策略不支持分析/临时密钥告警不支持分析。 分析失败:AI 分析任务创建失败/AI 分析任务调用失败/AI 分析结果解析失败/AI 分析超时。 |
AK 名称/备注 | AKID75XXX 部门1AK | AK 名称与自定义备注。 AK 保留前6位与后11位,中间省略,支持一键复制;单击拉起 AK 详情抽屉。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
AK类型/所属账号 | 主账号密钥 账号 A | AK 所属云厂商与账号,若为子账号展示所属主账号信息。 鼠标悬浮查看账号 ID 与 APPID。 支持筛选主账号密钥/子账号密钥/项目密钥/临时密钥。 |
首次/最近告警时间 | 2026-01-12 18:00:00 2026-01-12 18:00:00 | 首次和最近发生告警的时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
处理状态 | 未处理 | 展示告警处理状态,手动完成标记。 支持筛选未处理/已处置/已忽略。 |
3. 在告警列表中,选择所需告警,单击标记处置/更多。
操作类型 | 说明 | |
标记处置 | | 单击后处理状态变为“已处置” |
更多 | 标记忽略 | 单击后处理状态变为“已忽略” |
| 添加白名单策略 | 单击拉起添加白名单策略抽屉,并填充对应 AK。 |
| API 密钥管理 | 单击跳转至访问管理 > 访问密钥 > API 密钥管理。 |
规则说明
实时监控 AK 泄露与异常调用,监测分为三类:黑客工具/行云管家/cos-browser 识别、GitHub 泄露(GitHub 合作 + IP检查等)、异常 IP 调用敏感接口等,具体规则见下表:
规则名称 | 规则说明 |
根密钥调用高危接口 | 主账号访问密钥调用高危接口。 高危接口包含 cam、sts、tat、scf、tke、cdb、cvm、cbs 等20+类服务的30+接口,相关示例: cam.ListAccessKeys、cam.DeleteUser... |
非控制台方式调用高危接口 | 使用非控制台方式(主要是通过 SDK 调用云 API),调用高危接口。 |
未授权的服务调用 | 通过 API 调用未授权的服务,需要收敛该账号/角色的权限。 |
创建密钥操作 | 有新的密钥被创建。 |
权限提升行为 | 通过调用 sts、cam 的部分接口,该用户权限得到提升。 |
非正常时间段敏感行为 | 在晚上10点至凌晨6点时间段内,通过控制台或者 API 执行一些敏感操作,例如删除资源等。 |
新增用户调用高危接口 | 1天内创建的用户调用了高危 API,需要注意。 |
GitHub密钥确认请求 | 检查请求是否来源于 GitHub AK 回调的出口 IP。 如果命中,代表该 AK 存在于 GitHub 公库/私有库。 |
黑客工具检测 | 检查同一个 AK 的行为是否与黑客工具相似。 |
长期未使用的访问密钥出现调用 | 在过去一个月内未曾使用的访问密钥出现了 API 调用,需要注意。 |
通过cos-browser调用云API | 通过 cos-browser 调用云 API,部分攻击者会使用 cos-browser 进行文件下载,需要判断是否正常使用。 |
通过API创建云资源 | 通过腾讯云 API,创建云资源,例如创建云服务器(CVM)、云数据库(CDB)等。 |
行云管家行为 | 这部分调用来源于行云管家的调用,需要关注。 行云管家是一个多云管理平台,可以可视化地管理云上 CVM、网络、镜像等,部分攻击者也会使用。需要梳理运维人员是否使用行云管家。 |
自动化助手高危操作 | 通过调用 tat 的部分接口,直接对机器执行命令。 |
告警详情
1. 在告警列表中,选择所需告警,单击告警名称。
2. 在告警详情页面, 查看告警信息、告警关联分析与异常调用记录。
查看告警信息。告警信息包括:告警描述/等级/关联分析结论、首次/最近告警时间、AK 名称/备注/类型/关联风险、账号名称以及权限管理策略。
查看告警关联分析。告警关联分析包括:结论、研判综述、关键证据链、攻击源与影响面以及处置与加固建议。
查看异常调用记录,包括调用该 AK 的 IP 地址/类型/方式/接口/服务/所属资产、成功与失败的调用次数、首次/最近调用时间,以及权限管理策略。
字段名 | 示例 | 说明 |
调用源IP/地域/备注 | 1.1.1.1 中国-北京 | 部门1AK | 调用源 IP、所属地域与自定义备注。 IP 内容支持一键复制。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
IP类型 | 账号内(已备注) 账号内(未备注) 账号外(已备注) 账号外(未备注) 局域网(已备注) 局域网(未备注) | 账号内(已备注):在云安全中心资产列表中识别到的调用源 IP,有备注。 账号内(未备注):在云安全中心资产列表中识别到的调用源 IP,无备注。 账号外(已备注):非账号内 IP 但有备注。 账号外(未备注):非账号内 IP 且无备注。 局域网(已备注):局域网IP地址,有备注。 局域网(未备注):局域网IP地址,无备注。 |
调用方式(UA) | API 控制台 | 通过 API 调用 AK 访问服务还是在控制台的操作。 |
调用接口/服务 | DescribeAccountPrivileges cdb | 调用的接口与接口所属服务。 |
权限管理策略 | 1 | 展示该调用关联的权限管理策略个数,单击数字打开权限管理策略详情弹窗。 |
调用状态/次数 | 成功 (x次) 失败 (x次) | 调用该 AK 成功/失败状态及次数。 |
首次/最近调用时间 | 2025-01-01 18:00:00 2025-01-12 18:00:00 | 首次与最近调用时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
IP 所属资产(ID/名称) | ins-xxx 机器1号 | 展示 AK 所属资产。 |
3. 在告警详情页面,选择所需调用源 IP,单击详情/更多。
详情
展示调用信息,调用详情(包含时间、请求 ID、请求体;支持翻页),CAM 策略详情。
单击策略详情,展示其策略代码,支持复制;单击前往 CAM 查看,跳转至访问管理 > 策略 > 具体策略详情。
更多
添加白名单策略:单击拉起添加白名单策略抽屉,填充生效策略、对应 IP、调用方式、AK、接口、返回码,填写说明请参见 策略管理。
管理白名单策略:单击拉起策略管理抽屉,跳转至策略管理 > 白名单策略。
