数据安全中心(Data Security Center,简称DSC)可检测敏感数据相关的异常操作并提供告警信息。本文介绍如何查看泄漏风险告警。

背景信息

泄漏风险告警可分为以下类型:
  • 流转异常:数据在流转过程中出现的异常情况。例如:下载非常用Bucket内敏感文件、初次下载敏感数据等。
  • 行为异常:非正常的数据操作行为。例如:登录密码连续错误、登录使用终端异常等。
  • 配置异常:数据库中存在的配置问题。例如:RDS实例账号存在弱口令、RDS白名单IP被设置为公开访问等。
  • 自定义异常:根据您自定义的泄漏检测模型检测并对异常事件进行告警。更多信息,请参见自定义异常事件规则

DSC提供内置的泄漏检测模型供您使用。关于内置泄漏检测模型更多信息,请参见内置的泄漏检测模型

步骤一:查看泄漏风险告警

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据防泄漏 > 泄漏风险告警
  3. 泄漏风险告警页面查看泄漏风险告警的统计结果和列表信息。
    • 查看泄漏风险告警统计数据

      单击流转异常行为异常配置异常自定义异常页签切换到对应泄漏风险事件统计数据页面,查看不同风险告警类型的统计数据,包括异常事件告警名称及未处理、已处理和确认误报的异常事件告警数量。

    • 查看泄漏风险告警列表

      泄漏风险告警页面下方查看已检测出的泄漏风险告警列表。您可根据事件类型、事件的所处状态(待处理、已处理、确认误报)ID告警时间筛选定位到您需要查看的异常事件告警。

步骤二:处理泄漏风险告警

您可在泄漏风险告警页面下方的泄漏风险告警列表中,查看、处理或导出泄漏风险告警。

查看泄漏风险告警详情

单击漏风险告警操作列的查看详情。在泄漏风险详情面板,查看泄漏风险信息、事件对象信息、事件描述、事件风险敞口、事件处置建议方案和处理历史。

处理泄漏风险告警

单击泄漏风险告警操作列的处理,在异常事件告警面板,对泄漏风险告警进行处理。

泄漏风险告警通常是非法用户在未经授权的情况下对敏感数据进行了访问、下载,或合法用户在非正常时间对敏感数据进行了访问、下载,以及访问敏感数据的用户登录终端异常等情况。DSC检测到敏感数据相关的异常情况后,会将检测结果展示在异常事件告警面板中。

您可在异常事件告警面板处理异常事件告警。您需要设置以下参数:
  • 事件核查结果
    • 确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项,并需要您根据异常事情详情页面提示的信息,定位到该异常事件的位置,并根据事件处置建议方案在对应的云产品中进行手动处理。确认违规的事件如未被处理,DSC将会一直对该事件进行异常事件告警。
    • 误报:如果您确认该检测结果属于正常操作、无需进行处理,选择该选项。异常事件设为误报后,DSC将不再对该事件进行告警提示,即该事件将不会展示在异常事件告警列表中。
  • 处理方式:开启对异常事件告警的处理方式,例如开启账号禁用、移除白名单开关。
  • 添加事件处理记录:填写您对该异常事件告警的备注信息,方便后续回溯。
  • 异常事件检测强化:您确认该检测结果属于正常操作时事件核查结果选择误报,并选择异常事件检测强化后,DSC会将该异常事件输入到误报样本库中用于优化异常事件告警命中准确率。

导出泄漏风险告警

DSC支持导出泄漏风险告警列表展示的泄漏风险告警。使用查询功能筛选出需导出的泄漏风险告警后,单击导出,即可导出列表中展示的泄漏风险告警。