風險詳情及處置
Data Security Center (DSC) 的檢測響應增值服務提供資料泄露檢測功能,本文檔介紹查看風險事件詳情及處置方法。
前提條件
-
已購買資料資訊安全中心,並確保檢測響應額度充足(可通過增值服務單獨購買或企業版擷取預設額度)。如果檢測響應服務未開通或額度不足,您可以進行版本執行個體升級。
-
已完成資產授權。
風險事件及處置總覽
查看各風險事件層級數量及事件操作統計資訊。
-
登入資料資訊安全中心控制台。
-
在左側導覽列,選擇。
-
在安全事件頁簽查看最近事件影响统计和事件操作统计以及檢測到的風險詳情。
-
事件影响统计:展示最近一年檢測到的事件总数、高危、中危及低危事件個數。您可以單擊對應風險等級下方的數字,按風險事件層級篩選下方風險詳情列表。
-
事件操作统计:展示最近一年檢測到的風險事件的處置狀態,包含已加白、已处置和待处理的事件數目量。
-
風險詳情:按照風險類型(全部類型、AK泄露、数据库账密泄露、人机账号混用、敏感信息公开存储等),對風險事件進行展示。
說明您可以單擊統計數字或對應的风险类型,按條件式篩選風險詳情列表。
-
查看風險事件詳情及處置
DSC將檢測到的風險事件分為4種基本類型。若您已開啟對應風險類型的檢測功能,發生風險事件後,可在風險詳情地區列表中查看事件詳細資料並進行相應處置。
AK泄露
通過Github,公開明文儲存、私人明文儲存、威脅情報及自建情報等情報源,檢測有效狀態AK泄露情況。您可以查看AK訪問Bucket的詳情,並針對AK建議聯動KMS進行AK輪轉或加白等操作,針對儲存介質建議刪除對應檔案或加白。
-
在风险类型地區單擊AK泄露。
-
在目標風險事件操作列單擊詳情。
重要查看風險事件的詳細資料,必須先完成資產授權。
-
在詳情頁查看該風險事件的詳細資料,並進行處置。
AK相關資訊
查看AccessKey ID、AK归属账号、AK状态、首次检出时间、最新检出时间、情报源等資訊。
-
單擊處置。
-
在AK处置面板中進行禁用或一键轮转操作。
-
禁用:跳轉至RAM控制台,對當前主帳號下及其RAM使用者的AccessKey執行禁用操作。具體操作,請參見禁用RAM使用者的AccessKey。
-
一键轮转:
-
已接入KMS:單擊確認後KMS會執行輪轉操作,刪除並重新建立一個新的AK。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
-
未接入KMS:跳轉至Key Management Service控制台,將AK憑證託管至KMS。如果您未開通KMS,必須先購買和啟用KMS執行個體。
-
-
AK泄露詳情
支援查看以下情報源的AK泄露情況。您可以根據不同的情報源對風險事件進行處置或加白操作。
-
Github泄露量:GitHub平台上的公開原始碼中包含的AK資訊。
該列表還包含時間列(顯示最新檢測時間、首次檢測時間和檔案更新時間)和狀態列。
-
分別單擊文件名、使用者名稱、仓库名,可跳轉至GitHub平台查看相關資訊。
-
單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。
-
-
公开明文存储/私有明文存储:檢測已授權的OSS Bucket檔案中包含的公開/私人明文儲存的AK資訊。
公開明文儲存頁簽下的表格列包括Bucket名稱、檔案名稱、檔案路徑、時間(含最新檢測時間、首次檢測時間和檔案更新時間)、檔案ACL、檔案刪除狀態、狀態和操作。
-
修改ACL:單擊文件ACL列的下拉按鈕,可修改對應檔案的ACL。
-
刪除:單擊操作列的删除文件,刪除對應Bucket中的檔案。
-
加白:單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。
-
-
威脅情報/自建情报:對於源自威脅情報或自建情報的AK泄露事件,您可對相關威脅來源或錄入情報使用者執行加白操作。
說明-
檔案刪除後,T+1天會自動更新文件删除状态為已删除,且狀態更新為已处置。
-
檔案加白後,T+1天會自動更新狀態更新為已加白。
AK訪問Bucket詳情
對於已泄露的AK訪問Bucket詳情,您不僅可以查看具體的檔案訪問列表,還可以配置Bucket的存取權限以及設定POP網關攔截策略,從而有效保障資料安全。
該頁面以表格形式展示警示記錄,除下文提及的 AccessKey ID、Bucket名稱/敏感等級 和 操作 列外,還包含 警示時間、歸屬帳號 和 檔案數/敏感等級 列。
-
資料庫賬密泄露
通過檢測已授權OSS Bucket中雲資料庫 RDS或雲原生資料庫 PolarDB的賬密資訊(包括串連地址、連接埠號碼、帳號和密碼),識別並統計資料庫執行個體及自建、威脅情報中的執行個體資訊,同時跟蹤使用這些帳號訪問對應資料庫執行個體的風險行為,並產生風險事件。針對帳號建議聯動KMS進行帳號輪轉或加白等操作,針對儲存介質建議刪除對應檔案或加白。
只有當Bucket檔案中同時包含資料庫的賬密、串連地址和連接埠號碼等資訊時,才會被檢測並認定為資料庫賬密泄露的風險事件。
-
在风险类型地區單擊数据库账密泄露。
-
在目標風險事件操作列單擊詳情。
重要查看風險事件的詳細資料,必須先完成資產授權。
-
在詳情頁查看該風險事件的詳細資料,並進行處置。
資料庫資訊
查看數據庫賬號、数据库实例、首次检出时间、最新检出时间、情报源等資訊。
-
單擊處置。
-
在账号处置面板中進行刪除或一键轮转操作。
-
刪除:刪除當前資料庫執行個體的帳號密碼。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
-
一键轮转:
-
已接入KMS:單擊確認後,資料庫賬密會執行輪轉操作,刪除並重新建立一個新的資料庫賬密。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
-
未接入KMS:跳轉至Key Management Service控制台,將資料庫賬密憑證託管至KMS平台。如果您未開通KMS,必須先購買和啟用KMS執行個體。
-
-
賬密泄露詳情
支援查看以下情報源的賬密泄露情況。您可以根據不同的情報源對風險事件進行處置或加白操作。
-
公开明文存储/私有明文存储:檢測已授權的OSS Bucket檔案中包含的公開/私人明文儲存的資料庫相關資訊。
私人明文儲存頁簽的資料表格包含 Bucket名稱、檔案名稱、檔案路徑、時間、檔案ACL、檔案刪除狀態、狀態、操作 列。賬密泄露詳情頁另有 威脅情報 和 自建情報 頁簽。
-
修改ACL:單擊文件ACL列的下拉按鈕,修改對應檔案的ACL。
-
刪除:單擊操作列的删除文件,刪除對應Bucket中的檔案。
-
加白:單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生資料庫賬密泄露風險事件。
-
-
威脅情報/自建情报:對於源自威脅情報或自建情報的資料庫泄露事件,您可對相關威脅來源或錄入情報使用者執行加白操作。
說明-
檔案刪除後,T+1天會自動更新文件删除状态為已删除,且狀態更新為已处置。
-
檔案加白後,T+1天會自動更新狀態更新為已加白。
訪問資料庫詳情
支援查看該帳號訪問的資料庫名稱、訪問次數、訪問時間和敏感性資料分類分級結果外,您還可查看資料庫的詳細資料(包括資料庫表及敏感資訊等),並可解除該帳號對資料庫的訪問與修改許可權。
訪問資料庫詳情的資料表格包含 資料庫名稱、訪問次數、訪問時間、敏感等級、操作 列。
-
敏感详情:單擊目標資料庫操作列的敏感详情,查看資料庫表詳細資料。
對于敏感列識別結果有誤的,單擊列詳情,訂正敏感性資料識別結果。
-
解除权限:單擊目標資料庫操作列的解除权限。並單擊確定。
將刪除當前帳號對資料庫的所有訪問/修改許可權。
-
人機帳號混用
通過歷史日誌分析該帳號的操作行為,判斷存在人為使用機用帳號的情況,並產生人機帳號混用風險事件。
機用帳號主要用於軟體、程式、指令碼或服務之間的通訊需求,通常由程式運行時使用,而不是供人類使用者直接操作 。例如:
-
該帳號訪問/使用了歷史未出現過的對象/工具,包括:資料庫、SQL語句、用戶端IP、用戶端工具等。
-
該資料庫帳號本次操作頻率較低頻,是人為可以操作出來的行為該行為可能並未造成資料泄露,但暴露了帳號管理存在漏洞,後續應明確“人機分離”原則,人用帳號和機用帳號分開管理和使用。
-
在风险类型地區單擊人机账号混用。
-
在目標風險事件操作列單擊詳情。
重要查看風險事件的詳細資料,必須先完成資產授權。
-
在詳情頁查看該風險事件的詳細資料,並進行處置。
帳號資訊
查看访问账号、归属实例、首次检出时间、最新检出时间、情报源等資訊。
-
單擊處置。
-
在账号处置面板中進行刪除或一键轮转操作。
-
刪除:刪除當前資料庫執行個體的帳號密碼。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
-
一键轮转:
-
已接入KMS:單擊確認後,資料庫賬密會執行輪轉操作,刪除並重新建立一個新的資料庫賬密。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
-
未接入KMS:跳轉至Key Management Service控制台,將資料庫賬密憑證託管至KMS平台。如果您未開通KMS,必須先購買和啟用KMS執行個體。
-
-
詳細異常語句
查看動作陳述式執行的詳細資料,包括資料庫名、表名、訪問時間、訪問IP、訪問用戶端、操作類型、動作陳述式及返回行數等。
-
敏感資訊公開儲存
當檢測到已授權且公開的OSS Bucket中存在超過1000條敏感性資料等級為S3及以上層級的檔案時,系統將進行警示提示。建議您修改Bucket的狀態或針對敏感檔案做刪除/修改ACL(存取控制)操作。
-
在风险类型地區單擊敏感信息公开存储。
-
在目標風險事件操作列單擊詳情。
重要查看風險事件的詳細資料,必須先完成資產授權。
-
在詳情頁查看該風險事件的詳細資料,並進行處置。
Bucket資訊
查看Bucket名稱、归属账号、首次检出时间、最新检出时间等資訊。
敏感檔案清單
查看檢測到的敏感檔案詳情,包括敏感性資料資訊以及檔案訪問路徑的溯源資訊,並支援修改檔案ACL。
敏感檔案清單展示每個檔案的檔案名稱、檔案大小(Byte)、檔案類型、分類分級結果、檔案狀態和檔案ACL等資訊。
-
敏感详情:單擊敏感详情,查看檔案中包含的敏感資訊詳情。
-
威胁溯源:單擊威胁溯源,查看檔案訪問行為可視化路徑。
-
其他動作
風險事件策略配置
DSC將檢測到的風險事件分為4種基本類型,您需開啟相應類型的狀態並配置對應的風險層級。
-
在左側導覽列,選擇。
-
在策略配置頁簽中,開啟對應風險事件類型的風險事件狀態,然後根據需求配置風險事件層級。
重要-
風險事件狀態預設開啟,且人机账号混用事件類型預設風險層級為中危,其他類型預設風險層級為高危。
-
風險事件關閉後不再產生新的警示事件,存量事件不受影響。
-
調整風險事件層級後,已存在的事件風險層級將同步更新。
-
-
配置完成後,單擊保存。
修改事件處置狀態
支援修改風險事件開啟狀態(如已加白、已處置、待處理等)。
-
您可以在安全事件頁簽中,風險詳情列表修改事件開啟狀態。
在目標風險事件的風險事件開啟狀態列,單擊目前狀態值,從下拉式清單中選擇已加白、已處置或待處理。
-
或在目標風險事件詳情頁面,修改事件開啟狀態。
在警示名稱右側的狀態下拉框(當前顯示待處理)中選擇目標狀態即可完成修改。