平台安全事件处置 SOP
适用场景
适用于异常登录、越权疑似、批量失败、高风险操作复核、认证链路被滥用或平台级安全提醒需要紧急处理的场景。
前置条件
- 已确认存在安全风险或需要进一步核实
- 已具备平台侧查看审计、令牌、授权和运维摘要的权限
- 已明确本次处置目标是平台侧风险控制,而不是普通租户运营问题
操作入口
- 系统后台
Audit - 系统后台
Operations - 系统后台
Tokens - 系统后台
Authorizations - 系统后台
Federation POST /api/system/ops_detail- IDS MCP 运维入口
执行步骤
- 先确认事件类型、时间范围、影响对象和当前风险等级,判断是否已经影响多个租户或公共认证入口。
- 在
Operations查看当前失败趋势、提醒和健康状态,确认风险是否仍在持续扩大。 - 在
Audit串出关键时间线,明确是登录异常、联邦失败、SCIM问题、越权疑似还是高风险治理动作。 - 如果存在活动会话或令牌风险,进入
Tokens与Authorizations判断是否需要立即撤销活动 token 或复核授权状态。 - 如果风险来自特定身份源或协议配置,再进入
Federation、租户配置页或相关治理入口评估是否需要临时限制对应入口。 - 记录当前处置动作、风险范围、残余风险和后续观察要求。
验收结果
- 安全事件已有初步定性
- 当前影响范围和紧急处置动作清晰
- 需要继续观察、升级或回滚的条件已明确
结果记录建议
- 记录事件类型、影响对象、开始时间和当前严重度
- 记录已查询的审计、失败、令牌和授权结果
- 记录已采取的临时控制动作与后续观察窗口
异常分流
- 风险已确认与跨租户边界或租户状态有关:转到 跨租户问题排查 SOP
- 风险与近期平台变更强相关:转到 变更后验收 SOP 并同步做回滚评估
- 最终确认只是单租户内部配置问题:转到 租户运营配置文档
升级 / 回滚条件
- 若确认存在越权、批量异常、多租户公共入口受影响或高风险活动仍在持续,应立即升级为平台级安全事件
- 若事件与刚完成的高风险变更直接相关且影响关键入口,应同步进入平台回滚评估
关联文档
- 上游专题:平台安全运营
- 邻接 SOP:平台审计排查 SOP、跨租户问题排查 SOP
- 参考文档:IDS MCP 运维入口