云安全中心用户行为分析（UEBA）-操作指南-文档中心-腾讯云

用户行为分析（UEBA）功能提供了对云用户操作行为和云 API 调用的可视化审计与监控，能够针对 AKSK 异常调用、高风险接口调用、用户高风险操作、未授权服务使用、权限提升等风险行为进行检测和告警，识别因用户异常行为和风险 API 调用等引起的安全风险。
功能特性
审计日志接入：通过多云多账户功能模块，可以获取云账户对应的用户列表和云外用户信息。通过操作审计日志，可以获取所有云用户的行为记录，并识别用户行为字段。此外，还能对云用户的操作行为和云 API 调用日志进行可视化监控和实时审计。
风险检测：对 AKSK 异常调用、高危接口调用、用户高危操作、未授权服务使用、权限提升等风险行为进行检测和告警。同时，支持用户自定义启用或禁用检测规则，并自定义添加检测策略。
安全可视化：从异常行为和异常账号等方面展示近7天内检测到的风险数据，客户可以通过对比数据快速了解风险趋势，并及时进行风险管理。
用户概况
1. 登录 云安全中心控制台，在左侧导览中，单击用户行为分析（UEBA）。
2. 在用户行为分析（UEBA）页面，支持对您所有用户的行为分析，用户包括您的主账号、子账号、协作者。
﻿
3. 单击配置自定义用户，您可以通过选择一个日志类型来识别第三方日志中的用户信息。
注意：
此操作需要 配置日志接入 才能进行。
4. 在自定义用户对话框中，配置日志类型、用户 ID 等参数。
﻿
参数名称
说明
日志类型
在完成 配置日志接入 后，用户可以在此部分选择要为其添加策略的自定义用户，以审计所需的日志类型。
日志类型包括云防火墙的访问控制日志、操作日志、流量日志、入侵防御日志、零信任防护日志，Web 应用防火墙的攻击日志、访问日志，主机安全的客户端上报日志、云安全中心的内容风险日志、风险服务暴露日志、弱口令风险日志、配置风险日志、漏洞风险日志，SaaS 化堡垒机的资产登录日志、产品登录日志，或其他的自定义日志。
用户 ID
选择代表用户 ID 的字段。
用户名称
选择代表用户名称的字段，可不选。
操作对象
请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的对象，建议选择服务、产品、资源、实例、接口等信息，允许为空。
操作方式
请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的方式，建议选择密钥、AKSK 等信息，允许为空。
配置完成之后，自定义用户部分的用户数据会根据配置信息进行刷新。
5. 单击确定，配置完成之后，自定义用户部分的用户数据会根据配置信息进行刷新。
行为概况
1. 登录 云安全中心控制台，在左侧导览中，单击用户行为分析（UEBA）。
2. 在行为概况模块中，使用功能之前，需先接入日志，单击立即接入。
﻿
3. 在接入日志源对话框中，日志来源可选择操作o和自定义日志来源。
说明：
如果在日志分析已经已经接入了这两类日志，则在用户行为分析（UEBA）功能模块可免去此部分的配置工作，直接添加策略。
﻿
日志来源
参数名称
说明
云审计
存储时长
默认为180天，可选择7天、30天、60天、90天或180天。
﻿
接入方式
默认为通过跟踪集接入。
﻿
跟踪集
仅展示可用且存储到 COS 的跟踪集，如已关闭，请先前往 COS 产品开启。
自定义日志来源
日志来源名称
需自定义日志来源名称。
﻿
存储时长
可选择7天、30天、60天、90天或180天。
﻿
接入方式
默认为通过自有 COS 桶接入。
﻿
COS 存储桶
将所需接入的日志写入所选的 COS 存储桶，并配置权限，允许云安全中心服务角色进行读取。云安全中心将自动定时读取日志文件。还可以通过 提交工单 来定制读取方式，或前往 COS 产品页面创建一个新的存储桶。
﻿
存储目录
为提升读取性能，建议在选定的目录下，进一步按照 yyyy/mm/dd 的格式组织日志文件路径，我们会根据日历自动读取对应自然日的文件； 日志格式支持 J格式，用‘/n’分割行，支持 gzip 压缩。
﻿
日志样例
建议您输入日志样例供系统参考。系统会根据输入的样例进行字段解析，您可以进一步查看并选择指定字段及排序操作，这将提升日志的读取性能及解析的正确性。
﻿
时间戳
选择日志样例及其对应的时间戳格式。
4. 单击确定后，系统将完成日志接入。接下来，系统策略和用户自定义策略会根据实时接入的日志，对异常行为和异常账号进行审计。如果发现异常行为，将更新下图中的异常行为数据和趋势图。单击查看所有行为，可跳转至日志分析查看日志详情。
﻿
查看策略
1. 登录 云安全中心控制台，在左侧导览中，单击用户行为分析（UEBA）。
2. 在用户行为分析（UEBA）列表中，提供系统策略来检测异常行为和异常账号，可针对 AKSK 异常调用、高危接口调用、用户高危操作、未授权服务使用、权限提升等风险行为进行检测告警。
﻿
参数名称
说明
策略 ID
系统默认生成。
策略名称
系统策略由产品后台定义；用户自定义策略由用户定义。
策略类型
包括系统策略和自定义策略。
告警等级
包括严重、高危、中危、低危和提示。
策略内容
解释策略的检测内容。
开关
用户可自定义开启或关闭此条策略。
命中次数
统计近7天的策略命中纪录。单击可跳转告警中心查看告警详情，告警来源为用户行为分析（UEBA）。
操作
系统策略不允许编辑和删除。用户自定义策略可编辑或删除策略。
添加策略
1. 登录 云安全中心控制台，在左侧导览中，单击用户行为分析（UEBA）。
2. 在用户行为分析（UEBA）页面，单击添加策略，可自定义用户行为分析策略。
3. 在自定义策略页面，配置相关参数，单击确定。
﻿
参数名称
说明
策略名称
用户自定义策略名称，不超过20个字符。
用户类型
云账号或自定义用户。
选择云账号时，可选择的日志类型包括云审计读操作日志和云审计写操作日志。
选择自定义用户时，可选择的日志类型即自定义用户中配置的日志类型。
发生时间
选项包括每10分钟、每小时、每天、每周、每月。
发生事件
可按语句检索或过滤检索进行配置。
告警名称
可选用户异常行为。
告警等级
包括严重、高危、中危、低危和提示。
操作者
请在当前的日志字段中，选择最多3个字段用于体现操作者的信息，建议选择 IP、账号、用户相关字段，不允许为空。
操作对象
请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的对象，建议选择服务、产品、资源、实例、接口等信息，允许为空。
操作方式
请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的方式，建议选择密钥、AKSK 等信息，允许为空。

参数名称	说明
日志类型	在完成配置日志接入后，用户可以在此部分选择要为其添加策略的自定义用户，以审计所需的日志类型。日志类型包括云防火墙的访问控制日志、操作日志、流量日志、入侵防御日志、零信任防护日志，Web 应用防火墙的攻击日志、访问日志，主机安全的客户端上报日志、云安全中心的内容风险日志、风险服务暴露日志、弱口令风险日志、配置风险日志、漏洞风险日志，SaaS 化堡垒机的资产登录日志、产品登录日志，或其他的自定义日志。
用户 ID	选择代表用户 ID 的字段。
用户名称	选择代表用户名称的字段，可不选。
操作对象	请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的对象，建议选择服务、产品、资源、实例、接口等信息，允许为空。
操作方式	请在当前的日志字段中，选择最多3个字段用于体现用户行为操作的方式，建议选择密钥、AKSK 等信息，允许为空。配置完成之后，自定义用户部分的用户数据会根据配置信息进行刷新。

日志来源	参数名称	说明
云审计	存储时长	默认为180天，可选择7天、30天、60天、90天或180天。
		接入方式	默认为通过跟踪集接入。
		跟踪集	仅展示可用且存储到 COS 的跟踪集，如已关闭，请先前往 COS 产品开启。
自定义日志来源	日志来源名称	需自定义日志来源名称。
		存储时长	可选择7天、30天、60天、90天或180天。
		接入方式	默认为通过自有 COS 桶接入。
		COS 存储桶	将所需接入的日志写入所选的 COS 存储桶，并配置权限，允许云安全中心服务角色进行读取。云安全中心将自动定时读取日志文件。还可以通过提交工单来定制读取方式，或前往 COS 产品页面创建一个新的存储桶。
		存储目录	为提升读取性能，建议在选定的目录下，进一步按照 yyyy/mm/dd 的格式组织日志文件路径，我们会根据日历自动读取对应自然日的文件；日志格式支持 J格式，用‘/n’分割行，支持 gzip 压缩。
		日志样例	建议您输入日志样例供系统参考。系统会根据输入的样例进行字段解析，您可以进一步查看并选择指定字段及排序操作，这将提升日志的读取性能及解析的正确性。
		时间戳	选择日志样例及其对应的时间戳格式。

参数名称	说明
策略 ID	系统默认生成。
策略名称	系统策略由产品后台定义；用户自定义策略由用户定义。
策略类型	包括系统策略和自定义策略。
告警等级	包括严重、高危、中危、低危和提示。
策略内容	解释策略的检测内容。
开关	用户可自定义开启或关闭此条策略。
命中次数	统计近7天的策略命中纪录。单击可跳转告警中心查看告警详情，告警来源为用户行为分析（UEBA）。
操作	系统策略不允许编辑和删除。用户自定义策略可编辑或删除策略。

用户行为分析（UEBA）

本页目录：

功能特性

用户概况

行为概况

查看策略

添加策略