風險詳情及處置

更新時間:
Copy as MD

Data Security Center (DSC) 的檢測響應增值服務提供資料泄露檢測功能,本文檔介紹查看風險事件詳情及處置方法。

前提條件

風險事件及處置總覽

查看各風險事件層級數量及事件操作統計資訊。

  1. 登入資料資訊安全中心控制台

  2. 在左側導覽列,選擇数据检测响应 > 数据泄露

  3. 安全事件頁簽查看最近事件影响统计事件操作统计以及檢測到的風險詳情

    • 事件影响统计:展示最近一年檢測到的事件总数高危中危低危事件個數。您可以單擊對應風險等級下方的數字,按風險事件層級篩選下方風險詳情列表。

    • 事件操作统计:展示最近一年檢測到的風險事件的處置狀態,包含已加白已处置待处理的事件數目量。

    • 風險詳情:按照風險類型(全部類型AK泄露数据库账密泄露人机账号混用敏感信息公开存储等),對風險事件進行展示。

      說明

      您可以單擊統計數字或對應的风险类型,按條件式篩選風險詳情列表。

查看風險事件詳情及處置

DSC將檢測到的風險事件分為4種基本類型。若您已開啟對應風險類型的檢測功能,發生風險事件後,可在風險詳情地區列表中查看事件詳細資料並進行相應處置。

AK泄露

通過Github,公開明文儲存、私人明文儲存、威脅情報及自建情報等情報源,檢測有效狀態AK泄露情況。您可以查看AK訪問Bucket的詳情,並針對AK建議聯動KMS進行AK輪轉或加白等操作,針對儲存介質建議刪除對應檔案或加白。

  1. 风险类型地區單擊AK泄露

  2. 在目標風險事件操作列單擊詳情

    重要

    查看風險事件的詳細資料,必須先完成資產授權。

  3. 詳情頁查看該風險事件的詳細資料,並進行處置。

    AK相關資訊

    查看AccessKey IDAK归属账号AK状态首次检出时间最新检出时间情报源等資訊。

    1. 單擊處置

    2. AK处置面板中進行禁用一键轮转操作。

    AK泄露詳情

    支援查看以下情報源的AK泄露情況。您可以根據不同的情報源對風險事件進行處置或加白操作。

    • Github泄露量:GitHub平台上的公開原始碼中包含的AK資訊。

      該列表還包含時間列(顯示最新檢測時間首次檢測時間檔案更新時間)和狀態列。

      • 分別單擊文件名使用者名稱仓库名,可跳轉至GitHub平台查看相關資訊。

      • 單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。

    • 公开明文存储/私有明文存储:檢測已授權的OSS Bucket檔案中包含的公開/私人明文儲存的AK資訊。

      公開明文儲存頁簽下的表格列包括Bucket名稱檔案名稱檔案路徑時間(含最新檢測時間、首次檢測時間和檔案更新時間)、檔案ACL檔案刪除狀態狀態操作

      • 修改ACL:單擊文件ACL列的下拉按鈕,可修改對應檔案的ACL。

      • 刪除:單擊操作列的删除文件,刪除對應Bucket中的檔案。

      • 加白單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。

    • 威脅情報/自建情报:對於源自威脅情報或自建情報的AK泄露事件,您可對相關威脅來源或錄入情報使用者執行加白操作。

    說明
    • 檔案刪除後,T+1天會自動更新文件删除状态已删除,且狀態更新為已处置

    • 檔案加白後,T+1天會自動更新狀態更新為已加白

    AK訪問Bucket詳情

    對於已泄露的AK訪問Bucket詳情,您不僅可以查看具體的檔案訪問列表,還可以配置Bucket的存取權限以及設定POP網關攔截策略,從而有效保障資料安全。

    該頁面以表格形式展示警示記錄,除下文提及的 AccessKey IDBucket名稱/敏感等級操作 列外,還包含 警示時間歸屬帳號檔案數/敏感等級 列。

    • 威脅溯源:單擊目標AccessKey IDBucket名称/敏感等级,查看AKBucket訪問行為可視化路徑。

    • 查看访问文件列表:單擊目標操作列的访问文件列表,查看被訪問檔案的相關資訊。您也可以直接修改檔案的ACL。

    • 處置:單擊目標操作列的處置,配置Bucket的存取權限以及設定POP網關攔截策略。

      Bucket ACL 支援三種許可權選項:公用讀取公用讀寫私人

      • Bucket权限配置:單擊配置,配置Bucket ACL和公網請求攔截,並單擊確定

      • POP网关拦截策略:單擊配置,跳轉至RAM控制台,建立限制訪問IP及訪問敏感檔案權限原則。具體操作,請參見建立自訂權限原則

資料庫賬密泄露

通過檢測已授權OSS Bucket雲資料庫 RDS雲原生資料庫 PolarDB的賬密資訊(包括串連地址、連接埠號碼、帳號和密碼),識別並統計資料庫執行個體及自建、威脅情報中的執行個體資訊,同時跟蹤使用這些帳號訪問對應資料庫執行個體的風險行為,並產生風險事件。針對帳號建議聯動KMS進行帳號輪轉或加白等操作,針對儲存介質建議刪除對應檔案或加白。

說明

只有當Bucket檔案中同時包含資料庫的賬密、串連地址和連接埠號碼等資訊時,才會被檢測並認定為資料庫賬密泄露的風險事件。

  1. 风险类型地區單擊数据库账密泄露

  2. 在目標風險事件操作列單擊詳情

    重要

    查看風險事件的詳細資料,必須先完成資產授權。

  3. 詳情頁查看該風險事件的詳細資料,並進行處置。

    資料庫資訊

    查看數據庫賬號数据库实例首次检出时间最新检出时间情报源等資訊。

    1. 單擊處置

    2. 账号处置面板中進行刪除一键轮转操作。

    賬密泄露詳情

    支援查看以下情報源的賬密泄露情況。您可以根據不同的情報源對風險事件進行處置或加白操作。

    • 公开明文存储/私有明文存储:檢測已授權的OSS Bucket檔案中包含的公開/私人明文儲存的資料庫相關資訊。

      私人明文儲存頁簽的資料表格包含 Bucket名稱檔案名稱檔案路徑時間檔案ACL檔案刪除狀態狀態操作 列。賬密泄露詳情頁另有 威脅情報自建情報 頁簽。

      • 修改ACL:單擊文件ACL列的下拉按鈕,修改對應檔案的ACL。

      • 刪除:單擊操作列的删除文件,刪除對應Bucket中的檔案。

      • 加白:單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生資料庫賬密泄露風險事件。

    • 威脅情報/自建情报:對於源自威脅情報或自建情報的資料庫泄露事件,您可對相關威脅來源或錄入情報使用者執行加白操作。

    說明
    • 檔案刪除後,T+1天會自動更新文件删除状态已删除,且狀態更新為已处置

    • 檔案加白後,T+1天會自動更新狀態更新為已加白

    訪問資料庫詳情

    支援查看該帳號訪問的資料庫名稱、訪問次數、訪問時間和敏感性資料分類分級結果外,您還可查看資料庫的詳細資料(包括資料庫表及敏感資訊等),並可解除該帳號對資料庫的訪問與修改許可權。

    訪問資料庫詳情的資料表格包含 資料庫名稱訪問次數訪問時間敏感等級操作 列。

    • 敏感详情:單擊目標資料庫操作列的敏感详情,查看資料庫表詳細資料。

      對于敏感列識別結果有誤的,單擊列詳情,訂正敏感性資料識別結果。

    • 解除权限:單擊目標資料庫操作列的解除权限。並單擊確定

      將刪除當前帳號對資料庫的所有訪問/修改許可權。

人機帳號混用

通過歷史日誌分析該帳號的操作行為,判斷存在人為使用機用帳號的情況,並產生人機帳號混用風險事件。

說明

機用帳號主要用於軟體、程式、指令碼或服務之間的通訊需求,通常由程式運行時使用,而不是供人類使用者直接操作⁠⁣ ⁠。例如:

  • 該帳號訪問/使用了歷史未出現過的對象/工具,包括:資料庫、SQL語句、用戶端IP、用戶端工具等。

  • 該資料庫帳號本次操作頻率較低頻,是人為可以操作出來的行為該行為可能並未造成資料泄露,但暴露了帳號管理存在漏洞,後續應明確“人機分離”原則,人用帳號和機用帳號分開管理和使用。

  1. 风险类型地區單擊人机账号混用

  2. 在目標風險事件操作列單擊詳情

    重要

    查看風險事件的詳細資料,必須先完成資產授權。

  3. 詳情頁查看該風險事件的詳細資料,並進行處置。

    帳號資訊

    查看访问账号归属实例首次检出时间最新检出时间情报源等資訊。

    1. 單擊處置

    2. 账号处置面板中進行刪除一键轮转操作。

    詳細異常語句

    查看動作陳述式執行的詳細資料,包括資料庫名、表名、訪問時間、訪問IP、訪問用戶端、操作類型、動作陳述式及返回行數等。

敏感資訊公開儲存

當檢測到已授權且公開的OSS Bucket中存在超過1000條敏感性資料等級為S3及以上層級的檔案時,系統將進行警示提示。建議您修改Bucket的狀態或針對敏感檔案做刪除/修改ACL(存取控制)操作。

  1. 风险类型地區單擊敏感信息公开存储

  2. 在目標風險事件操作列單擊詳情

    重要

    查看風險事件的詳細資料,必須先完成資產授權。

  3. 詳情頁查看該風險事件的詳細資料,並進行處置。

    Bucket資訊

    查看Bucket名稱归属账号首次检出时间最新检出时间等資訊。

    1. 單擊處置

    2. 配置Bucket的存取權限以及設定POP網關攔截策略。

      • Bucket权限配置:單擊配置,配置Bucket ACL和公網請求攔截,並單擊確定

      • POP网关拦截策略:單擊配置,跳轉至RAM控制台,建立限制訪問IP及訪問敏感檔案權限原則。具體操作,請參見建立自訂權限原則

    敏感檔案清單

    查看檢測到的敏感檔案詳情,包括敏感性資料資訊以及檔案訪問路徑的溯源資訊,並支援修改檔案ACL。

    敏感檔案清單展示每個檔案的檔案名稱檔案大小(Byte)檔案類型分類分級結果檔案狀態檔案ACL等資訊。

    • 敏感详情:單擊敏感详情,查看檔案中包含的敏感資訊詳情。

    • 威胁溯源:單擊威胁溯源,查看檔案訪問行為可視化路徑。

其他動作

風險事件策略配置

DSC將檢測到的風險事件分為4種基本類型,您需開啟相應類型的狀態並配置對應的風險層級。

  1. 在左側導覽列,選擇数据检测响应 > 数据泄露

  2. 策略配置頁簽中,開啟對應風險事件類型的風險事件狀態,然後根據需求配置風險事件層級。

    重要
    • 風險事件狀態預設開啟,且人机账号混用事件類型預設風險層級為中危,其他類型預設風險層級為高危

    • 風險事件關閉後不再產生新的警示事件,存量事件不受影響。

    • 調整風險事件層級後,已存在的事件風險層級將同步更新。

  3. 配置完成後,單擊保存

修改事件處置狀態

支援修改風險事件開啟狀態(如已加白、已處置、待處理等)。

  • 您可以在安全事件頁簽中,風險詳情列表修改事件開啟狀態。

    在目標風險事件的風險事件開啟狀態列,單擊目前狀態值,從下拉式清單中選擇已加白已處置待處理

  • 或在目標風險事件詳情頁面,修改事件開啟狀態。

    在警示名稱右側的狀態下拉框(當前顯示待處理)中選擇目標狀態即可完成修改。