すべてのプロダクト
Search

このプロダクト

    Database Autonomy Service:異常アラートの表示

    ドキュメントセンター

    Database Autonomy Service:異常アラートの表示

    最終更新日:Mar 25, 2025

    異常アラート機能は、組み込みの異常検出モデルとカスタムの異常検出モデルをサポートしています。モデルを指定すると、Database Autonomy Service (DAS) はそのモデルを使用して機密データに対する異常な操作を検出し、異常アラートを生成します。このトピックでは、組み込みおよびカスタムの異常検出モデルを管理する方法、異常イベントを表示および処理する方法について説明します。

    前提条件

    セキュリティ監査機能の新バージョンが有効になっています。詳細については、「セキュリティ監査(新バージョン)を有効にする」をご参照ください。

    単一データベースインスタンスの異常アラートを表示する

    1. DAS コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[インテリジェント O&M センター] > インスタンスモニター を選択します。

    3. 表示されたページで、管理するデータベースインスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細ページが表示されます。

    4. 左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティ監査] を選択します。

    5. [セキュリティ監査] ページで、[アラート] タブをクリックします。

    6. [アラート] タブで、機密データに関連する異常アラートを表示します。

      [異常フロー][異常動作]、または [カスタム例外] タブをクリックして、さまざまな種類の異常イベントの統計情報を表示します。

    7. 表示する異常イベントを見つけ、[アクション] 列の [詳細の表示] をクリックします。[異常イベントの詳細] パネルで、異常イベントの基本情報、オブジェクト情報、説明、および処理履歴を表示します。

    8. 処理する異常イベントを見つけ、[アクション] 列の [処理] をクリックします。

    9. [リスクアラート] パネルで、提供されているソリューションに基づいて異常イベントを処理します。

      以下のパラメーターを構成する必要があります。

      • 異常イベントの検証

        • 確認済みおよび処理済み: 検出されたイベントが異常イベントであることを確認した場合は、このオプションを選択します。 表示された情報に基づいて、異常イベントが発生したデータベースインスタンスを見つけ、対応するクラウドサービスで異常イベントを手動で処理する必要があります。 イベントに対してこのオプションを選択してもイベントを処理しない場合、DAS はイベントのアラートを生成し続けます。

        • ホワイトリストに追加: 検出されたイベントが通常の操作に関連していることを確認した場合は、このオプションを選択します。 異常イベントがホワイトリストに追加されると、DAS はそのイベントのアラートを生成しなくなります。 イベントは異常イベントリストに表示されません。

      • 処理レコードを追加: 今後の参照のために、異常イベントの処理に関する注釈を入力します。

    10. 異常イベントリストの上にある [エクスポート] をクリックして、リストされている異常イベントをエクスポートします。

    複数データベースインスタンスの異常アラートを表示する

    複数のデータベースインスタンスに対してセキュリティ監査を有効にしている場合は、同じページですべてのデータベースインスタンスの異常アラートを表示できます。

    1. DAS コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティ監査] を選択します。

    3. [セキュリティ監査] ページで、[アラート] タブをクリックします。

    4. [アラート] タブで、機密データに関連する異常アラートを表示します。

      [異常フロー][異常動作]、または [カスタム例外] タブをクリックして、さまざまな種類の異常イベントの統計情報を表示します。

    5. 表示する異常イベントを見つけ、[アクション] 列の [詳細の表示] をクリックします。[異常イベントの詳細] パネルで、異常イベントの基本情報、オブジェクト情報、説明、および処理履歴を表示します。

    6. 処理する異常イベントを見つけ、[アクション] 列の [処理] をクリックします。

    7. [リスクアラート] パネルで、提供されているソリューションに基づいて異常イベントを処理します。

      以下のパラメーターを構成する必要があります。

      • 異常イベントの検証

        • [確認済みおよび処理済み]: 検出されたイベントが異常イベントであることを確認した場合は、このオプションを選択します。表示された情報に基づいて、異常イベントが発生したデータベースインスタンスを見つけ、対応するクラウドサービスで異常イベントを手動で処理する必要があります。イベントに対してこのオプションを選択してもイベントを処理しない場合、DAS はイベントのアラートを生成し続けます。

        • [ホワイトリストに追加]: 検出されたイベントが通常の操作に関連していることを確認した場合は、このオプションを選択します。異常イベントがホワイトリストに追加されると、DAS はそのイベントのアラートを生成しなくなります。イベントは異常イベントリストに表示されません。

      • [処理レコードを追加]: 今後の参照用に、異常イベントの処理に関する注釈を入力します。

    8. 異常イベントリストの上にある [エクスポート] をクリックして、リストされている異常イベントをエクスポートします。

    異常イベントの種類

    異常イベントは、次の種類に分類できます。

    • 異常フロー:この種類の異常イベントは、データフロー中に発生する例外を示します。たとえば、機密データが異常な地理的な場所でダウンロードされています。

    • 異常な動作:この種類の異常イベントは、連続した無効なパスワード試行や異常なデバイスからのログインなど、異常なデータ操作を示します。

    • カスタム例外:この種類の異常イベントは、指定したカスタム異常検出モデルによって検出されます。

    リスクレベル

    異常イベントのリスクレベルは、イベントの感度レベルに基づいて特定のルールを使用して決定されます。同じイベントサブタイプに属するアラートは、リスクレベルが異なる場合があります。次のルールが適用されます。

    • 異常フロー:この種類のアラートの場合、一致するファイルの最高の感度レベルが S3 以上の場合、アラートのリスクレベルは「高」です。一致するファイルの最高の感度レベルが S1 または S2 の場合、アラートのリスクレベルは「中」です。一致するファイルの最高の感度レベルが N/A の場合、アラートのリスクレベルは「低」です。

    • 異常な動作:この種類のアラートの場合、一致するファイルの最高の感度レベルが S2 以上の場合、アラートのリスクレベルは「中」です。一致するファイルの最高の感度レベルが S1 以下の場合、アラートのリスクレベルは「低」です。

    • カスタム例外:この種類のアラートの場合、リスクレベルは構成によって決まります。

    参照

    デフォルトでは、DAS はすべての組み込み異常検出モデルを有効にします。不要なモデルは無効にすることができます。また、データベース、テーブル、フィールド、アクセスソース、インスタンスなど、さまざまなレベルで異常検出モデルをカスタマイズすることもできます。詳細については、「アラート ルールを構成する」をご参照ください。