審計警示頁面按照已配置的審計模式和審計規則,展示對應資料資產的審計警示,您可以根據警示詳情,定位追蹤資料庫異常操作、漏洞攻擊、資料泄露等風險。本文介紹如何查看資料資產的審計警示,協助您更好地從審計視角瞭解資產的風險狀態並進行處理。
前提條件
已為需要且支援查看審計日誌的資料資產開啟日誌審計功能。具體內容,請參見配置並開啟審計模式。
如果審計警示規則未開啟或需要添加自訂審計規則,您需要配置並開啟審計警示規則。具體內容,請參見配置並開啟審計警示規則。
查看審計警示資訊
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
在風險檢測頁簽,查看警示概覽和警示日誌的統計資訊。
警示概覽
依據過去24小時的累計警示資料,計算得出的審計風險分,以及扣分規則和實際扣分列表。如果這24小時內未檢測到新的警示資訊,您的審計風險分將會提升。
資料資產的即時警示資訊,您可以單擊操作列的詳情,查看警示的處置建議、資產列表和訪問源列表。
警示日誌
在警示列表上方,選擇當前資料類型,例如RDS。預設查看對應資產最近1天的審計警示資訊。
您可以根據時間範圍、執行個體名稱、風險層級、操作類型、規則分類、規則名、帳號、用戶端IP、SQL命令等,篩選指定條件的警示資訊。
單擊操作列的詳情,可查看該警示的警示時間、用戶端資訊、服務端資訊、行文資訊、執行結果等,以便定位警示風險。
您可以單擊一鍵截圖,警示詳情截圖將被儲存在您瀏覽器的預設下載路徑中。
處理審計警示事件
如果您確認相關警示事件確實對資料安全造成威脅,您需要根據警示日誌,定位該警示事件發生的位置,並在對應資料資產中進行手動處理。
如果您確認警示事件屬於正常操作、無需進行處理,可將該警示事件加入白名單,DSC後續將不再對該資料資產的對應警示事件進行警示提示。
加入白名單
您可參考以下操作,將警示事件加入白名單。加入白名單的帳號、IP地址等會展示在系統白名單列表中。DSC後續檢測時,如果命中白名單規則,則不再對資料庫或OSS操作行為或事件進行警示提示。更多內容,請參見管理白名單。
在警示概覽或警示日誌頁簽的警示列表中,單擊目標警示事件操作列的詳情。
在警示事件詳情頁面的警示資產列表或訪問源的用戶端IP列表,找到需要加入白名單的資產或IP,單擊操作列的加入白名單。
在加入白名單對話方塊中,展示對應資產執行個體或IP及其資料庫帳號資訊,您可以添加更多需要加入白名單的資訊,然後單擊確定。
相關文檔
您可以在日誌分析頁面查看資料資產的更多審計日誌,詳細內容,請參見查看審計日誌。
您可以在資料資訊安全中心控制台的系統設定頁面的警示通知頁簽下,新增警示通知,以便及時收到審計警示通知。具體操作,請參見配置郵箱、簡訊和電話警示通知。