資料資訊安全中心DSC(Data Security Center)提供的資料審計功能,可以通過查看審計日誌分析資料庫活動資訊,進而協助您追蹤資料庫潛在的惡意行為或未授權訪問,調查安全事件原因。在使用資料審計前,您需要先完成審計模式配置,DSC才能根據您配置的審計模式採集相關資料庫的審計日誌。本文介紹如何進行審計配置。
前提條件
已開通資料資訊安全中心免費版執行個體或已購買資料資訊安全中心企業版執行個體。具體操作,請參見資料資訊安全中心免費版服務或購買資料資訊安全中心。
已完成資料資產授權。具體操作,請參見資產授權。
如需開啟ApsaraDB for OceanBase執行個體下資料審計功能,必須先開啟目標OceanBase執行個體下目標租戶的SQL審計。具體操作,請參見SQL 審計。
重要開啟目標OceanBase執行個體下目標租戶的SQL審計後,才能參照本文開啟目標OceanBase執行個體下審計模式。開啟審計模式成功後,該執行個體下所有已經開啟SQL審計的租戶下資料庫可使用資料審計服務。
背景資訊
新授權執行個體的審計模式預設為關閉狀態。您需要為資料庫資產開啟並配置審計模式,DSC才能採集到對應資料資產的動作記錄到審計日誌中,進而根據審計日誌通過審計警示規則對資料資產進行資料泄露、漏洞攻擊、SQL注入等風險檢測並上報警示資訊。
審計模式說明
原生日誌採集模式
DSC支援原生日誌採集審計模式:
支援的資料資產類型:OSS、阿里雲原生資料庫(不支援自建資料庫和Redis)。
工作原理:DSC自動建立與對應產品的資料擷取鏈路,採集日誌。日誌會記錄所有DQL、DML和DDL操作資訊,這些資訊是通過資料庫核心輸出,對系統CPU消耗極低。具體說明,請參見本文的常見問題。
警告該審計模式下,雲產品的優先順序策略為業務優先於審計,在業務負載高的情況下,該策略可能會導致少量日誌丟失。
計費說明:存在額外採集費用。計費詳情,請參見接入DSC的雲產品附加費用說明。
開啟原生日誌採集
步驟一:授權SLS訪問資料資產
原生日誌採集需要授予Log Service訪問雲資源的許可權。
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
在頁簽中,單擊點擊去授權。
跳轉至存取控制快速授權頁面,單擊確認授權。
步驟二:開啟審計模式
在资产接入頁簽選擇雲產品類型,例如RDS。
在資產列表找到目標資產,然後在審計模式列下選中原生日誌採集。
配置審計警示
DSC預設為資料資產提供內建審計規則,包括Database Audit規則、OSS審計規則、MaxCompute審計規則,並支援自訂審計規則。開啟審計警示規則後,可根據審計日誌檢測資料資產的異常操作、資料泄露、漏洞攻擊、SQL注入等風險。詳細內容,請參見配置並開啟審計警示規則。
開啟審計警示規則後,DSC會將命中規則條件的行為,上報至DSC的審計警示。您可以根據警示資訊和審計日誌分析處理相關風險。詳細內容,請參見查看和處理審計警示。