平台审计排查 SOP

适用场景

适用于平台侧查询高风险动作、追踪异常访问链路、复核关键治理动作是否留痕，以及需要为后续安全或变更评估提供证据的场景。

前置条件

• 已明确需要排查的时间范围、对象或问题类型
• 已具备系统后台审计查看权限
• 已知本次目标是平台侧排查，而不是租户内普通操作回看

操作入口

• 系统后台 Audit
• 系统后台 Operations
• POST /api/system/ops_detail
• IDS MCP 运维入口

执行步骤

1. 先明确要追的是哪类事件：认证、联邦、SCIM、租户治理、高风险自助动作，还是近期变更相关动作。
2. 在 Operations 先看近期失败和时间窗口，确认问题是否仍在持续，以及是否存在明显的协议或租户聚集。
3. 进入 Audit 按对象、操作者、时间范围、协议或租户缩小范围，串出关键时间线。
4. 如果需要更细的失败筛查，再结合 ops_detail 或 MCP 的只读查询确认失败上下文。
5. 整理出本次排查结论：发生了什么、影响了谁、现在是否仍在继续，以及下一步应该进入哪个专题或 SOP。

验收结果

• 已定位到足以支撑判断的审计或失败记录
• 关键事件时间线和影响对象清晰
• 后续处理建议已经明确到平台侧或租户侧

结果记录建议

• 记录检索条件、关键审计事件和时间线
• 记录是否涉及多个租户、公共入口或高风险动作
• 必要时记录是否需要导出、归档或交由安全事件流程继续处理

异常分流

• 没有找到足够审计线索，但运维异常仍在持续：先回到 平台可观测性与健康检查
• 审计显示是禁用租户、租户上下文或跨租户写入问题：转到 跨租户问题排查 SOP
• 审计显示是异常登录、会话风险或高风险操作：转到 平台安全事件处置 SOP

升级 / 回滚条件

• 若关键审计信息指向正在扩大的安全风险，应立即升级到安全事件处置
• 若问题与近期平台变更直接相关且已影响关键入口，应同步进入 平台级变更管理 的回滚评估

关联文档

• 上游专题：平台安全运营
• 邻接 SOP：平台安全事件处置 SOP、跨租户问题排查 SOP
• 参考文档：IDS MCP 运维入口