数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心企业版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据资产授权。具体操作,请参见资产授权。
如需开启云数据库 OceanBase 版实例下数据审计功能,必须先开启目标OceanBase实例下目标租户的SQL审计。具体操作,请参见SQL 审计。
重要开启目标OceanBase实例下目标租户的SQL审计后,才能参照本文开启目标OceanBase实例下审计模式。开启审计模式成功后,该实例下所有已经开启SQL审计的租户下数据库可使用数据审计服务。
背景信息
新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。
审计模式说明
原生日志采集模式
DSC支持原生日志采集审计模式:
支持的数据资产类型:OSS、阿里云原生数据库(不支持自建数据库和Redis)。
工作原理:DSC自动建立与对应产品的数据采集链路,采集日志。日志会记录所有DQL、DML和DDL操作信息,这些信息是通过数据库内核输出,对系统CPU消耗极低。具体说明,请参见本文的常见问题。
警告该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。
计费说明:存在额外采集费用。计费详情,请参见接入DSC的云产品附加费用说明。
开启原生日志采集
步骤一:授权SLS访问数据资产
原生日志采集需要授予日志服务访问云资源的权限。
登录数据安全中心控制台。
在左侧导航栏,选择。
在页签中,单击点击去授权。
跳转至访问控制快速授权页面,单击确认授权。
步骤二:开启审计模式
在资产接入页签选择云产品类型,例如RDS。
在资产列表找到目标资产,然后在审计模式列下选中原生日志采集。
配置审计告警
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄露、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。