AccessKey 调查
了解如何使用 AccessKey 调查功能
仅远程模式支持
当发现泄露的云上 AccessKey 时,可以快速调查其调用历史以评估影响范围、梳理止血策略。
前置条件
需要在控制主机上设置 SOAR 平台访问凭证(内部环境已设置)。
使用方式
WebUI
打开 Web 控制台 的 Investigations 页面,填写 UID、AccessKey ID(Region 可选,留空默认 cn-hangzhou)后点击 Run。调查完成后,页面会显示报告文件名和 Open Artifacts 按钮,可直接跳转到 Artifacts 页面阅读完整 Markdown 报告。
运行状态
AccessKey 调查由服务端调用 SOAR playbook 完成。WebUI 会显示真实的 playbook 运行状态;SOAR 内部子步骤不可见时不会展示虚构进度。
Server CLI
>>> ak <Alibaba Cloud UID> <AccessKey ID> [Region]Region 为可选参数,留空时默认使用 cn-hangzhou。
执行后,SIREN 将:
- 通过 SOAR 平台查询 AccessKey 的调用历史
- 生成包含调查结果的详细 Markdown 报告(包括调用时间、操作类型、源 IP 等)
- 将报告保存在服务端工作目录中,可通过 WebUI Artifacts 查看