概述

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。本文将介绍 HummerRisk 中的操作审计部分功能，包括如何如何同步云事件、云事件分析、云事件聚合查询、源 IP 分析等。

工作流程

云事件同步

使用 HummerRisk 进行操作审计，首先我们需要将多云中的操作事件同步到 HummerRisk 系统中，想要同步云上的操作事件就需要创建同步任务。

创建同步任务

依次点击“混合云安全”-> “操作审计”，进入云事件同步页面，点击“创建同步任务”打开新建同步任务页面，然后选择云账号、区域及同步时间段后点击确定即可同步云事件。

注意：单个同步任务最长的时间跨度是 2 周。

云事件同步列表

在云事件同步列表中，可以查看云事件同步日志，点击每条记录后的操作按钮，可以对同步日志进行删除。云事件同步列表可以过滤筛选，可以通过云账号名称、区域快速过滤，也可以打开高级筛选页面，进行更复杂的筛选，筛选条件包括：

• 云账号

• 区域

• 创建时间

点击同步状态可查看详细的同步日志，点击数量可查看本次同步的云事件

云事件分析

在云事件同步任务完成后，我们来到云事件分析部分。

云事件分析中汇总显示所有同步到的事件，云事件列表可以过滤筛选，可以通过云账号名称、区域、用户名源地址、事件名称、资源类型、资源名快速过滤，也可以打开高级筛选页面，进行更复杂的筛选。

点击单条记录前的箭头，可以展开查看更详细的事件信息。

每条事件定义了风险等级，包括“高风险”，“中风险”，“低风险”，方便用户快速找到存在风险的事件。

云事件聚合

云事件同步后可对云事件进行聚合查询，可查看同一日期某个源 IP 对某一事件的调用次数，云事件聚合可以过滤筛选，可以通过云账号名称、区域、用户名、源地址、事件名称、资源类型、资源名快速过滤，也可以打开高级筛选页面，进行更复杂的筛选。

点击单条记录前的箭头，可以展开查看更详细的事件信息。

源 IP 分析

接下来介绍一下源 IP 分析功能，本功能主要统计源 IP 地址在一定时间段内对各类事件的调用量，源 IP 分析列表可以过滤筛选，可以通过区域、源地址、事件名称快速过滤，也可以打开高级筛选页面，进行更复杂的筛选，筛选条件包括：

• 云账号

• 区域

• 事件时间

• 用户名

• 事件名称

• 资源类型

• 资源名

• 风险等级

点击源 IP 地址可查看 IP 分析详情，可以看到七日内 IP 调用量曲线以及 IP 调用事件的详情。同时在页面下方可以查看每次调用的信息，以及详细的时间原文。