DSC預設為資料資產提供並開啟內建審計警示規則,包括資料庫策略、OSS策略、MaxCompute策略,並支援自訂策略。審計警示規則可挖掘資料庫運行過程中各類潛在風險和隱患,為資料庫安全運行保駕護航,是等保合規利器。本文介紹資料審計支援的內建審計警示規則及如何自訂審計規則。
前提條件
已為需要查看審計日誌並支援日誌審計功能的資料資產開啟日誌審計功能。具體內容,請參見配置並開啟審計模式。
背景資訊
開啟資料審計後,DSC可以根據審計模式採集對應的庫的Action Trail日誌,然後通過已開啟的審計警示規則,根據審計日誌檢測資料資產的異常操作、資料泄漏、漏洞攻擊、SQL注入等風險並上報警示資訊。
使用說明
內建審計警示規則:適用的資料來源為OSS、MaxCompute和RDS、PolarDB等資料庫,預設已自動開啟,並對支援的資產類型生效。
自訂審計規則:支援按照訪問內容敏感類型、訪問內容敏感程度、庫、表、欄位、訪問源、資料庫執行個體等多種維度進行審計規則設定,安全性原則靈活且自由,實現精細化監控。您可根據不同情境不同類型的應用進行個人化定製,精確掌控資料庫訪問資訊。
查看內建審計規則
內建審計規則可分為以下類型:資料庫策略、OSS策略、MaxCompute策略。參考以下步驟查看具體審計規則類型及規則詳情。
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
在策略配置頁簽中,單擊数据库策略、OSS策略或MaxCompute策略子頁簽,在左側規則分類列表,查看審計規則類型。
選中規則前的複選框,查看目標規則類型下的具體規則列表。
在右側規則列表,查看具體的規則名稱、規則類型、風險級別、狀態、命中次數等資訊。
單擊目標規則對應操作列的詳情,可查看對應審計規則支援的資產類型和詳細資料。
添加自訂審計規則
如果內建審計規則無法滿足您的審計需求,您可以自訂審計規則。建立自訂審計規則成功後,預設開啟該自訂審計規則。
在頁簽中,單擊新增規則。
在新增規則面板,完成審計規則配置,然後單擊提交。
配置項
描述
基本信息
規則名稱:自訂審計規則的名稱,建議輸入有實際意義的名稱以便有效識別審計規則。
規則類型:從下拉式清單中選擇審計警示的規則類型。
可選類型:SQL注入嘗試利用、SQL注入嘗試繞過、預存程序濫用、緩衝區溢位、基於報錯的SQL注入、基於布爾值的SQL注入、基於時間的SQL注入、拒絕服務漏洞、資料庫探測、拖庫攻擊、隱通道攻擊、應用帳號風險操作、營運人員風險操作、異常語句、大流量返回、配置操作、敏感性資料審計、基於UNION的SQL注入、其它。
風險級別:從下拉式清單中選擇審計警示規則的風險層級:高、中或低。
資產類型:從下拉式清單中選擇審計警示規則生效的資產類型。
重要您需要根據內建審計規則的分類,確定已選規則類型支援所選的資產類型。否則,自訂審計規則不生效。
規則描述:輸入審計規則的說明資訊。
敏感数据模型
資產類型為RDS、PolarDB、ECS自建資料庫時,可配置敏感性資料識別模板和模型。
资产
根據選擇的資產類型,選擇規則生效的具體資產對象。
客户端
根據選擇的資產類型,配置規則生效的用戶端條件。
行为
配置規則的生效的操作類型和狀態代碼條件。
结果
根據選擇的資產類型,配置規則生效的條件。
資產類型為Redis時,不支援該配置項。
開啟或關閉審計警示規則
如果無需使用指定內建規則或已開啟的自訂審計規則,您可以關閉審計警示規則狀態開關。如果需要重新使用指定的審計警示規則,您可以開啟審計警示規則狀態開關。
在策略配置頁簽中,單擊数据库策略、OSS策略、MaxCompute策略或自定义策略子頁簽。
在規則列表中,找到目標規則名稱,單擊狀態列的開關。
配置警示通知
為了及時收到審計警示通知,您需要在左側導覽列選擇,在告警通知頁簽中,新增警示通知配置。具體操作,請參見配置郵箱、簡訊和電話警示通知。
後續操作
開啟審計警示規則後,DSC會將命中規則條件的行為,上報至DSC的審計警示。您可以根據警示資訊和審計日誌分析處理相關風險。詳細內容,請參見查看和處理審計警示。
相關文檔
DSC提供系統白名單功能,支援將您資料資產中信任的帳號、IP地址等加入白名單。DSC對加入白名單的帳號或IP地址等產生的風險行為不進行審計警示,可以有效協助您減少無效警示。具體內容,請參見管理白名單。