本文介绍RDS操作合规的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现RDS操作合规问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见设置告警。
RDS实例SQL洞察关闭告警
告警ID | sls_app_audit_cis_at_rds_sql_audit |
告警名称 | RDS实例SQL洞察关闭告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控RDS实例的SQL洞察关闭行为。RDS实例的SQL洞察功能应该保持开启,关闭后会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许RDS SQL洞察功能关闭的账号白名单。白名单账号下RDS实例的SQL洞察功能关闭后,不会触发告警。 |
消除方法 | 禁止白名单以外的账号下的RDS实例关闭SQL洞察功能。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RDS实例访问白名单异常设置告警
告警ID | sls_app_audit_cis_at_rds_access_whitelist |
告警名称 | RDS实例访问白名单异常设置告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控RDS实例的访问白名单的异常设置行为。RDS实例的访问白名单不应该设置为0.0.0.0,否则会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许RDS访问白名单设置为0.0.0.0的账号白名单。白名单账号下RDS实例的访问白名单设置为0.0.0.0后,不会触发告警。 |
消除方法 | 禁止白名单以外的账号下的RDS实例将访问白名单设置为0.0.0.0。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
新创建的RDS实例的SSL未开启告警
告警ID | sls_app_audit_cis_at_rds_ssl_off |
告警名称 | 新创建的RDS实例的SSL未开启告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控新创建的RDS实例SSL未开启行为。RDS实例创建后应该尽快(1小时内)开启SSL,否则会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去1小时 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许RDS不开启SSL的账号白名单。白名单账号下RDS实例在创建后可以不开启SSL。 |
消除方法 | 白名单以外账号下的RDS实例在创建后尽快(1小时内)打开SSL。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
新创建的RDS实例的TDE未开启告警
告警ID | sls_app_audit_cis_at_rds_tde_off |
告警名称 | 新创建的RDS实例的TDE未开启告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控新创建的RDS实例TDE未开启行为。RDS实例在创建后应该尽快(1小时)打开TDE功能,否则会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去1小时 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为中。 |
外部配置 | 允许RDS不开启TDE的账号白名单。白名单账号下的RDS实例在创建后可以不开启TDE。 |
消除方法 | 白名单以外账号下的RDS实例在创建后尽快(1小时内)打开TDE。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RDS实例SSL关闭告警
告警ID | sls_app_audit_cis_at_rds_ssl_config |
告警名称 | RDS实例SSL关闭告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控RDS实例的SSL关闭行为。RDS实例的SSL应该保持开启,关闭后会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允允许RDS不开启SSL的账号白名单。白名单账号下RDS实例的SSL功能关闭后,不会触发告警。 |
消除方法 | 禁止白名单以外的账号下的RDS实例关闭SSL。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RDS实例配置变更告警
告警ID | sls_app_audit_cis_at_rds_conf_change |
告警名称 | RDS实例配置变更告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、RDS操作合规 |
作用 | 监控RDS实例的配置变更行为。RDS实例的配置发生变更后会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为低。 |
外部配置 | RDS配置变更不会触发告警的账号白名单。白名单账号下RDS实例的配置发生变更后,不会触发告警。 |
消除方法 | 检查发生配置变更的RDS实例及其配置变更项是否存在异常。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)