不正検知管理は、多次元関連分析とアルゴリズムを使用します。このインテリジェントな技術により、リスクのある操作を事前に特定し、アラートを受信できます。不正検知ルールを使用し、可視化ツールで包括的な監査を実行できます。DataWorks には、多くのシナリオに対応する組み込みの不正検知ルールが含まれています。これらのルールはそのまま使用することも、必要に応じてカスタムルールを作成することもできます。このトピックでは、不正検知ルールの作成方法と管理方法について説明します。
背景情報
DataWorks に入力されたデータは、データセキュリティガードによってフィルターされます。DataWorks は、さまざまなシナリオで機密データを検知するための包括的な不正検知管理機能を提供します。この機能には、次の利点があります。
使いやすさ
この機能には、[データアクセスリスク]、[データエクスポートリスク]、[データ操作リスク]、[その他のリスクタイプ] の 4 つのリスクタイプが含まれています。また、[アクセス時間]、[機密度タイプ]、[アクセス量] などの複数のディメンションを組み合わせて、さまざまなタイプのリスクを検知することもサポートしています。
高い精度
この機能は、イベント集約と統計的比較を使用します。タイムウィンドウ内のイベント発生回数をしきい値と比較することで、より正確にリスクを検知し、誤検知を減らします。たとえば、同じイベントが 10 分以内に 3 回以上発生した場合にのみリスクが検知されます。
詳細な管理
この機能は、[高]、[中]、[低] のリスクレベルを設定して、詳細なリスク管理をサポートします。
柔軟なルール
この機能には、一般的なシナリオ向けの組み込みルールがあり、直接使用できます。必要に応じて、カスタムの不正検知ルールを作成することもできます。詳細については、「組み込みの不正検知ルール」および「不正検知ルールの作成」をご参照ください。
制限事項
バージョン制限
DataWorks Professional Edition 以降のバージョンのみが不正検知管理機能をサポートします。
DataWorks Enterprise Edition のみが組み込みの不正検知ルールをサポートします。
アラートメソッド
メールと WebHook のアラートメソッドのみがサポートされています。
説明DataWorks は、DingTalk グループ、WeCom、Lark の WebHook URL をサポートしています。Enterprise Edition のみ、WeCom または Lark へのアラート情報のプッシュをサポートしています。
不正検知管理への移動
[データセキュリティガード] に移動します。
DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。
左側のナビゲーションウィンドウで、 をクリックして、[データセキュリティガード] ページに移動します。
説明ご利用の Alibaba Cloud アカウントに必要な権限が付与されている場合、データセキュリティガードページに直接アクセスできます。
ご利用の Alibaba Cloud アカウントに必要な権限が付与されていない場合、データセキュリティガードの権限付与ページにリダイレクトされます。Alibaba Cloud アカウントに必要な権限が付与された後にのみ、データセキュリティガードの機能を使用できます。
[不正検知管理] に移動します。
[データセキュリティガード] ページの左側のナビゲーションウィンドウで、 を選択します。不正検知管理ページにリダイレクトされ、そこで不正検知ルールの作成と管理ができます。
不正検知管理には、多くの一般的なシナリオに対応する組み込みルールがあり、直接使用できます。必要に応じて、カスタムの不正検知ルールを作成することもできます。詳細については、「組み込みの不正検知ルール」および「不正検知ルールの作成」をご参照ください。
組み込みの不正検知ルール
不正検知管理機能は、次の表にリストされている組み込みルールをサポートしています。
ルール名 | ルールタイプ | ルールレベル | ルール構成 |
[勤務時間外の大量の機密データのクエリ] | データアクセスリスク | 低 | 次の期間中にクエリのデータ量が 10,000 を超えると、このルールにヒットします。
|
類似の SQL クエリ | データアクセスリスク | 低 | 10 分以内に 5 つ以上の類似した SQL クエリが実行されると、このルールにヒットします。 |
[大量の機密データのバッチクエリ] | データアクセスリスク | 中 | 単一のクエリのデータ量が 10,000 を超えると、このルールにヒットします。 |
[大量の機密データのバッチエクスポート] | データ持ち出しリスク | 高 | 単一のエクスポートのデータ量が 10,000 を超えると、このルールにヒットします。 |
[勤務時間外の大量の機密データのエクスポート] | データエクスポートリスク | 高 | 次の期間中にエクスポートのデータ量が 10,000 を超えると、このルールにヒットします。
|
不正検知ルールの作成
ルールの作成を計画し、準備します。
シナリオに基づいて、[データロケーション]、[データプロパティ]、[ユーザー情報]、[操作時間] などのディメンションでリスクのあるデータを検知し、より詳細な検知条件を設定できます。[データプロパティ] と [ユーザー情報] のサブカテゴリを使用して検知条件を設定する場合は、次の準備手順を実行します。
検知ディメンション
サブカテゴリ
説明
データプロパティ
[データ分類レベル]
特定のレベルのリスクのあるデータを検知するには、事前にデータ分類レベルを定義する必要があります。詳細については、「機密データの分類とレベルの設定」をご参照ください。
データカテゴリ
特定のカテゴリのリスクのあるデータを検知するには、事前にデータカテゴリを定義する必要があります。詳細については、「データ検知ルールの設定と検知タスクの実行」をご参照ください。
機密フィールドタイプ
特定の機密フィールドでリスクのあるデータを検知するには、事前に機密フィールドタイプを定義する必要があります。詳細については、「データ検知ルールの設定と検知タスクの実行」をご参照ください。
ユーザー情報
ユーザーグループ
現在のログインアカウント下の特定のユーザーグループのリスクのあるデータを検知するには、事前にユーザーグループを設定する必要があります。詳細については、「ユーザーグループの設定」をご参照ください。
RAM ロール
現在のログインアカウント下の RAM ユーザーのリスクのあるデータを検知するには、事前に Alibaba Cloud アカウントに RAM ユーザーを追加する必要があります。詳細については、「RAM ユーザーの作成」をご参照ください。
[不正検知管理] ページの右上隅にある [+ 不正検知ルール] をクリックします。
[不正検知ルールの作成] ダイアログボックスで、ルールのパラメーターを設定します。
説明現在、[統計的関連付けルール] のみ作成できます。[統計的関連付けルール] は、単一のイベントを集約してカウントし、そのカウントをしきい値と比較します。イベントの数がしきい値を超えると、リスクが検知されます。たとえば、権限の低いユーザーが勤務時間外に 10,000 件以上の機密データにアクセスした場合にリスクを検知するルールを設定できます。
ルールの基本情報を設定します。
パラメーター
説明
(必須) [ルール名]
新しい不正検知ルールの名前。名前は 1~30 文字の長さで、特殊文字を含めることはできません。
(必須) [ルールタイプ]
不正検知ルールのタイプ。有効な値:
[データアクセスリスク]:データへのアクセス時に潜在的なリスクが存在します。
[データエクスポートリスク]:データのエクスポート時に潜在的なリスクが存在します。
[データ削除リスク]:データの削除時に潜在的なリスクが存在します。
[データ更新リスク]:データの更新時に潜在的なリスクが存在します。
[テーブルおよびライブラリ操作リスク]:テーブルおよびライブラリで操作が実行されるときに潜在的なリスクが存在します。
[データ権限付与リスク]:データ権限が付与されるときに潜在的なリスクが存在します。
(必須) [ルールレベル]
不正検知ルールのレベル。有効な値は [低]、[中]、[高] です。重要なデータを検知するルールには、ルールレベルを [高] に設定できます。
(任意) [説明]
不正検知ルールの説明。説明は 1~100 文字の長さです。
[次へ] をクリックします。
検知条件としきい値を設定します。
検知条件の設定
DataWorks では、[データロケーション]、[データプロパティ]、[ユーザー情報]、[操作時間] などのディメンションでリスクのあるデータを検知できます。これにより、シナリオに基づいてより詳細な検知条件を設定できます。
説明最大 10 個の条件を追加できます。選択したディメンション内で [+ 比較を追加] をクリックして、複数の検知条件を追加します。複数の条件間の論理関係は [AND] です。
データロケーション
リスクのあるデータを検知するロケーション範囲を指定するために使用します。
パラメーター
説明
必須
選択したロケーションをフィルター
選択したロケーションのリスクのあるデータをフィルターするかどうかを指定します。有効な値:
[≠]:宛先ロケーションをフィルターします。ルールは選択したロケーションのリスクのあるデータを検知しません。
[=]:宛先ロケーションでのみ検知します。ルールは選択したロケーションのリスクのあるデータのみを検知します。
はい
データエンジン名
ルールのエンジン範囲を選択します。
説明現在、MaxCompute エンジン内のリスクのあるデータのみを検知できます。
各比較で選択できるエンジンは 1 つだけです。複数のエンジンを指定するには、[+ 比較を追加] をクリックして複数の検知条件を設定します。
はい
[プロジェクト名]
ルールの宛先プロジェクトを選択します。[プロジェクト名] は、選択したエンジン内のプロジェクトである必要があります。ドロップダウンリストからプロジェクトを選択するか、プロジェクト名を入力して検索できます。
説明ドロップダウンリストには最大 100 個のプロジェクト名が表示されます。
検索はあいまい一致をサポートしています。キーワードを入力して、名前にキーワードが含まれるプロジェクトを検索します。
各比較で選択できるプロジェクトは 1 つだけです。複数のプロジェクトを指定するには、[+ 比較を追加] をクリックして複数の検知条件を設定します。
はい
テーブル名
ルールの宛先テーブルを入力します。1 つ以上のテーブル名をコンマ (,) で区切って入力できます。テーブル名を入力する際は、次の点にご注意ください。
単一のテーブル名は最大 30 文字です。すべてのテーブル名の合計長は 100 文字を超えることはできません。
ワイルドカード (
*) がサポートされています。たとえば、*nameは、名前がnameで終わるすべてのテーブルに一致します。
いいえ。このパラメーターを設定しない場合、ルールはデフォルトで選択したプロジェクト内のすべてのテーブルのリスクのあるデータを検知します。
[データプロパティ]
リスクのあるデータを検知するプロパティ範囲を指定するために使用します。
パラメーター
説明
プロパティ
ビジネスニーズに基づいて、リスクのあるデータを検知するためのプロパティカテゴリを選択します。次のプロパティカテゴリがサポートされています。
[データ分類レベル]:どのレベルのリスクのあるデータを検知するかを指定するために使用します。事前にデータ分類レベルを定義する必要があります。詳細については、「機密データの分類とレベルの設定」をご参照ください。
[データカテゴリ]:どのカテゴリのリスクのあるデータを検知するかを指定するために使用します。事前にデータカテゴリを定義する必要があります。詳細については、「データ検知ルールの設定と検知タスクの実行」をご参照ください。
[機密フィールドタイプ]:どのタイプの機密フィールドでリスクのあるデータを検知するかを指定するために使用します。事前に機密フィールドタイプを定義する必要があります。詳細については、「データ検知ルールの設定と検知タスクの実行」をご参照ください。
選択したプロパティをフィルター
選択したプロパティを持つリスクのあるデータをフィルターするかどうかを指定します。有効な値:
[≠]:宛先プロパティをフィルターします。ルールは選択したプロパティを持つリスクのあるデータを検知しません。
[=]:宛先プロパティのみを検知します。ルールは選択したプロパティを持つリスクのあるデータのみを検知します。
ユーザー情報
リスクのあるデータを検知するユーザー情報範囲を指定するために使用します。
パラメーター
説明
[情報カテゴリ]
リスクのあるデータを検知するユーザー情報カテゴリを選択します。有効な値:
[ユーザーグループ]:現在のログインアカウント下のユーザーグループの名前。事前にユーザーグループを設定する必要があります。詳細については、「ユーザーグループの設定」をご参照ください。
RAM ロール: 現在のログインアカウントに属する RAM ユーザーです。事前に Alibaba Cloud アカウントに RAM ユーザーを追加しておく必要があります。詳細については、「RAM ユーザーの作成」をご参照ください。
[ユーザー名]:現在のログインユーザー。
選択したユーザー情報をフィルター
[≠]:宛先ユーザー情報をフィルターします。ルールは選択したユーザーのリスクのあるデータを検知しません。
[=]:宛先ユーザー情報のみを検知します。ルールは選択したユーザーのリスクのあるデータのみを検知します。
操作時間
リスクのあるデータを検知する操作時間範囲を指定するために使用します。
パラメーター
説明
時間範囲の選択
曜日と時間をクリックして、目的の時間範囲を選択します。月曜日から日曜日までの任意の時間を、時間単位の精度で選択できます。複数の時間範囲を追加できます。追加された時間範囲は相互に排他的です。たとえば、条件 1 で月曜日を選択した場合、条件 2 で月曜日を選択することはできません。
選択した時間をフィルター
[≠]:宛先操作時間をフィルターします。ルールは選択した操作時間中にリスクのあるデータを検知しません。
[=]:宛先操作時間のみを検知します。ルールは選択した操作時間中にのみリスクのあるデータを検知します。
しきい値の設定
DataWorks はイベントの集約と統計をサポートしています。タイムウィンドウ内のイベント発生回数をしきい値と比較することで、リスクのあるデータを検知できます。[+ しきい値比較を追加] をクリックして、複数のしきい値条件を設定します。
パラメーター
説明
しきい値カテゴリ
[単一データ量]:操作のデータ量に基づいてリスクのあるデータを検知します。データ量が設定されたしきい値を超えると、操作はリスクにヒットします。データ量は 1 から 10,000,000 までの整数です。単位は件です。デフォルト値は 1 です。
[累積発生回数]:指定された時間範囲内での単一イベントの発生回数に基づいてリスクのあるデータを検知します。指定された時間範囲内で単一イベントの発生回数が設定されたしきい値を超えると、リスクにヒットします。発生回数は 1 から 10,000 までの整数です。単位は回です。デフォルト値は 10 です。
[累積データ量]:指定された時間範囲内で操作されたデータ量に基づいてリスクのあるデータを検知します。データ量が設定されたしきい値を超えると、操作はリスクにヒットします。データ量は 1 から 10,000,000 までの整数です。単位は件です。デフォルト値は 1 です。
説明DataWorks は自動的に単一イベントを分類し、検知します。
[タイムウィンドウ]
イベント発生回数を制限する時間範囲。デフォルト値は 10 分です。有効な値:
[分]:値の範囲は 1 から
59です。[時間]:値の範囲は 1 から
23です。[日]:値の範囲は 1 から
7です。
説明このパラメーターは、[しきい値カテゴリ] が [累積発生回数] に設定されている場合にのみ必須です。
[次へ] をクリックします。
アラートメソッドを設定します。
データリスクが検知された後、設定されたアラートメソッドに基づいてアラート情報を迅速に受信し、リスクを処理できます。[メール] と [WebHook] をアラートメソッドとして選択できます。
説明アラートメソッドを選択する前に、システム設定でメールと WebHook の設定が完了していることを確認してください。
[保存] をクリックします。ルールが作成されます。
カスタムルールは作成後、デフォルトで無効になっています。[不正検知管理] ページで、対象のルールの横にある [再有効化] をクリックして手動で有効にする必要があります。
不正検知ルールの管理
[不正検知管理] ページでは、作成されたルールのリストとその詳細を表示できます。また、特定のルールを編集することもできます。
エリア | 説明 |
1 | このエリアでは、[リスクタイプ]、[リスクレベル]、[組み込み]、[リスクルール名] などの条件でルールリストをフィルターできます。 説明 名前による検索はあいまい一致をサポートしています。キーワードを入力して、名前にキーワードが含まれる不正検知ルールを検索します。 |
2 | このエリアでは、次の操作を実行できます。
|
3 | このエリアでは、対象のルールに対してバッチ操作を実行できます。現在、[バッチ有効化]、[バッチ無効化]、[バッチ削除] などのバッチ操作を実行できます。 説明 DataWorks は、組み込みの不正検知ルールの削除をサポートしていません。[無効] 状態のカスタムルールのみを削除できます。 |
アイコンをクリックして、無効になっているルールを再有効化します。
アイコンをクリックして、バッチ操作の種類を切り替えます。次のステップ
不正検知ルールが作成され、有効化された後、[データリスク] ページに移動して、ルールによって検知されたリスクの詳細を表示し、迅速に処理できます。詳細については、「データリスクの表示」をご参照ください。