異常警示功能支援內建檢測模型和自訂檢測模型,根據您配置的檢測模型,檢測與敏感性資料相關的異常操作並上報警示。本文介紹如何管理內建檢測模型、自訂檢測模型以及查看並處理異常風險事件。
前提條件
已開啟安全審計(新版),詳情請參見開啟安全審計(新版)。
查看單個執行個體的異常警示
登入DAS控制台。
在左側導覽列中,單擊智能營運中心 > 執行個體監控。
找到目標執行個體,單擊執行個體ID,進入目標執行個體詳情頁。
在左側導覽列,單擊安全審計。
在安全審計頁面,單擊異常警示。
在異常警示頁,查看與敏感性資料相關的異常警示事件。
單擊流轉異常、行為異常或自訂異常頁簽切換到對應例外狀況事件統計資料頁面,查看不同類型例外狀況事件的統計資料。
單擊目標例外狀況事件操作列的查看詳情,在例外狀況事件詳情面板,查看事件基礎資訊、事件對象資訊、事件描述和處置歷史等資訊。
單擊目標例外狀況事件操作列的處理。
在風險警示面板,按照提供的處理方案及時處理該警示。
您需要設定以下參數。
事件核查結果
確認異常並已處理:如果您確認該檢測結果確實為例外狀況事件,選擇該選項。您需要根據頁面提示的資訊,定位到該例外狀況事件的位置,並在對應的雲產品中進行手動處理。確認違規的事件如未被處理,DAS將會一直對該事件進行例外狀況事件警示。
加入白名單:如果您確認該檢測結果屬於正常操作、無需進行處理,選擇該選項。例外狀況事件加入白名單後,DAS將不再對該事件進行警示提示,即該事件將不會展示在例外狀況事件警示列表中。
添加事件處理記錄:填寫處理該例外狀況事件警示的備忘資訊,方便後續回溯。
單擊例外狀況事件列表上方的匯出,可匯出列表中展示的例外狀況事件。
查看全部執行個體的異常警示
若您有多個資料庫執行個體,並且都開通了安全審計功能,您可以查看所有執行個體的異常警示。
登入DAS控制台。
在左側導覽列中,單擊資訊安全中心 > 安全審計。
在安全審計頁面,單擊異常警示。
在異常警示頁,查看與敏感性資料相關的異常警示事件。
單擊流轉異常、行為異常或自訂異常頁簽切換到對應例外狀況事件統計資料頁面,查看不同類型例外狀況事件的統計資料。
單擊目標例外狀況事件操作列的查看詳情,在例外狀況事件詳情面板,查看事件基礎資訊、事件對象資訊、事件描述和處置歷史等資訊。
單擊目標例外狀況事件操作列的處理。
在風險警示面板,按照提供的處理方案及時處理該警示。
您需要設定以下參數。
事件核查結果
確認異常並已處理:如果您確認該檢測結果確實為例外狀況事件,選擇該選項。您需要根據頁面提示的資訊,定位到該例外狀況事件的位置,並在對應的雲產品中進行手動處理。確認違規的事件如未被處理,DAS將會一直對該事件進行例外狀況事件警示。
加入白名單:如果您確認該檢測結果屬於正常操作、無需進行處理,選擇該選項。例外狀況事件加入白名單後,DAS將不再對該事件進行警示提示,即該事件將不會展示在例外狀況事件警示列表中。
處理記錄:填寫處理該例外狀況事件警示的備忘資訊,方便後續回溯。您可以根據需要,確定是否要勾選選擇後將對該泄漏風險進行檢測強化。選擇該項後,DAS會將該例外狀況事件輸入到誤判樣本庫中用於最佳化例外狀況事件警示命中準確率。
單擊例外狀況事件列表上方的匯出,可匯出列表中展示的例外狀況事件。
例外狀況事件類型
例外狀況事件可分為以下類型:
流轉異常:資料在流轉過程中出現的異常情況。例如:異常地理位置下載敏感性資料。
行為異常:非正常的資料操作行為。例如:登入密碼連續錯誤、登入使用終端異常等。
自訂異常:根據您自訂的檢測模型檢測例外狀況事件並上報警示。
風險等級說明
例外狀況事件的風險等級是根據命中事件的敏感等級按照一定規則確定的,屬於同一事件子類型的警示風險等級可能不同。具體規則如下:
流轉異常:命中該類規則的警示,命中檔案的最高敏感等級>=S3,則該警示風險等級為高;命中檔案的最高敏感等級為S1或S2,則該警示風險等級為中;命中檔案的最高敏感等級為N/A,則該警示風險等級為低。
行為異常:命中該類規則的警示,命中檔案的最高敏感等級>=S2,則該警示風險等級為中;命中檔案的最高敏感等級<=S1,則該警示風險等級為低。
自訂異常:根據您配置的風險層級生效。
相關文檔
DAS預設開啟所有的內建異常檢測模型,如果無需使用某些內建異常檢測模型,您可以關閉對應模型。並且DAS支援根據訪問的庫、表、欄位、訪問源、執行個體等不同維度自訂檢測模型。詳情請參見配置警示規則。