“行为审计” 应用的使用很简单,几乎不需要去操作什么,只需要去看结果就行。
(一)行为记录
我们进入行为审计应用的 “行为记录” 板块,可以查看所有用户行为:
“行为记录” 应用首先是对用户的行为做了详尽的记录,这样,对所有的操作使用都有案可稽,以免日后什么东西被删除了,还不知道是谁做的。
行为记录的内容包括:是哪个用户、在什么时间、用过哪个应用、做过操作、操作的具体内容是什么,… 等等。当然,还有用户登录的 IP 地址 等具体信息。
管理员可以对这个结果进行查看和浏览,如果需要,可以进行有针对性的查看。
我们可以通过搜索,来查询我们需要的信息:
比如,我们要把所有 “删除” 的行为都找出来,就可以这样来设置搜索条件:
如此,我们就可以得到我们期望的结果:
(二)审计结果
“行为审计” 应用包含了一个每日都周期运行的行为记录扫描任务模块:
| 扫描模块 / 异常标识 | 异常点 |
|---|---|
| AD11 | 已经过期,或已经被禁用的无效用户仍然,能登入到 Mixiot 系统 |
| AD12 | 同一个用户,在同一个 IP 频繁登入或登出 Mixiot 系统 |
| AD13 | 同一个用户,频繁更换 IP 登入或登出 Mixiot 系统 |
| AD14 | 同一个用户,同时在多个 不同 IP 登入或登出 Mixiot 系统 |
| AD21 | 同一个用户名,在短时间内进行多次相同的操作 |
| AD22 | 同一个用户名,在短时间内进行多次不同的操作 |
| AD31 | 用户使用了未经授权的应用 |
| AD31 | 用户在授权的应用中,访问了未经授权的项目(数据) |
| AD41 | 创建某新项目操作,但实际上并没有增加新的项目 |
| AD42 | 编辑某项目操作,修改了不能修改的字段或内容 |
| AD43 | 删除某项目操作,但该项目本身不能被删除;或者,删除某项目后,该项目仍然存在 |
一旦审计有结果(异常),这个结果将会记录到审计结果里面。也就是说,没有异常的行为,不会在审计里面形成结果。我们在审计结果里面看到的结果,一定都是异常的。
比如,我们会看到这样一样审计结果:
那我们就可以循着这个信息,去详细了解核实,看看是不是有什么地方是不对劲儿的。
(三)总结
两点总结:
其一,使用 Mixiot 系统,必须要使用者的标识各自独立,各自管理。如果为了省事儿,所有人都使用 admin 管理员账号,那么,“行为审计” 这个应用也只能是形同虚设,起不到任何作用;
其二,管理员要经常去查看审计结果,发现问题及时排查,避免重大数据损失。
文档更新时间: 2024-08-03 11:19 作者:Mixiot
