-
Notifications
You must be signed in to change notification settings - Fork 12
告警事件导出
404tk edited this page May 7, 2026
·
5 revisions
event-check在授权环境内导出云侧安全告警 / 审计事件,用于验证:
- 告警/审计内容是否完整(API、源 IP、AccessKey、时间戳、关联资源等)
- 调查工作流能否基于这些字段关联身份与资源行为
- 告警白名单 / 处置链路是否被正确记录与追溯(仅阿里云 SAS 走"告警"语义;其他厂商
event-check走云审计读取)
⚠️ 责任使用:只在拥有云账号查询权限的授权环境下执行;告警 / 审计原始数据属于调查数据,按当地留存与访问策略管控。
| 厂商 | 服务 / 数据源 | dump | whitelist |
|---|---|---|---|
| alibaba | SAS(云安全中心告警事件) | ✓ | ✓ |
| aws | CloudTrail LookupEvents
|
✓ | – |
| tencent | CloudAudit DescribeEvents
|
✓ | – |
| huawei | CTS(云审计追踪) | ✓ | – |
| azure | Activity Log Microsoft.Insights/eventtypes/management/values
|
✓ | – |
| gcp | Cloud Logging entries:list(filter 含 cloudaudit.googleapis.com) |
✓ | – |
| volcengine | Audit DescribeEvents
|
✓ | – |
| ucloud | UAct DescribeActionLogList
|
✓ | – |
| jdcloud | ActionTrail events lookup | ✓ | – |
whitelist 仅阿里云有原生语义("事件已处理 / 忽略"),其他云的事件流是只读审计,无对应 API。
默认 dump all:
ctk > alibaba > set payload event-check
payload => event-check
ctk > alibaba > show options
Name Current Setting
---- ---------------
accesskey LTAIxxxxxxxxxxxxEXAMPLE
metadata dump all
payload event-check
provider alibaba
region all
secretkey EXAMPLExxxxxxxxxxxxxxxxKEY
token
version Global
ctk > alibaba > run
如要按来源 IP 过滤(阿里云 SAS)或者按事件名过滤(其他云),可传具体值:
ctk > alibaba > set metadata dump 198.51.100.24
metadata => dump 198.51.100.24
ctk > alibaba > run
把指定告警事件加入白名单(官方 API 语义为"已处理 / 忽略"),用于验证平台对告警处置操作本身是否留下审计与调查轨迹:
ctk > alibaba > set metadata whitelist 11111111
metadata => whitelist 11111111
ctk > alibaba > run
防御方需关注:谁执行了白名单操作、操作时的身份与 IP、被标记的事件 ID 是否在事后还能完整回放。处置动作若缺少审计会直接影响调查可追溯性。
各云原生 API 与平台侧应记录的字段:
- 告警 / 审计查询类:
DescribeSuspEvents(阿里 SAS)/LookupEvents(AWS CloudTrail)/DescribeEvents(腾讯 CloudAudit / 火山 Audit)/ CTS Trace List(华为)/ Activity Log query(Azure)/entries:list(GCP)/ ActionTrail events lookup(JDCloud)/DescribeActionLogList(UCloud) - 平台侧应记录"事件 ID / 操作人 / 时间 / 源 IP / 处置结果"完整链条
event-check 在 demo 回放模式下 9 家全可跑通 dump,便于无凭据演示告警 / 审计遥测链路。whitelist 仅 alibaba demo 支持。