阿里云敏感数据保护服务(SDDP)可检测敏感数据相关的异常操作并提供告警信息。SDDP控制台提供了异常事件类型及其异常事件的统计信息,您可集中处理检测到的异常事件。

概述

异常事件分为4大类:
  • 权限使用异常:不规范的权限使用情况,例如:登录地址异常、使用其他人的AK进行登录等。
  • 数据流转异常:数据在流转过程中出现的异常情况,例如:下载非常用敏感数据文件、异常时间下载敏感数据文件等。
  • 数据操作异常:非正常的数据操作,例如:敏感数据字段变更等。
  • 自定义异常:根据您自定义的异常事件规则检测并告警对应的异常事件。具体参见异常事件规则

SDDP内置的异常检测规则详情,请参见SDDP内置的异常检测规则

步骤一:查看异常事件

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击智能异常检测 > 异常事件
  3. 异常事件处理页面查看异常事件的统计结果和列表信息。
    • 异常事件处理页面上方查看到不同异常事件类型的统计数据,包括异常事件类型及未处理、已处理和确认误报的异常事件数量。统计结果
    • 异常事件处理页面下方查看已检测出的异常事件列表信息。您可根据事件类型、事件的所处状态(待处理、已处理、确认误报)告警时间筛选定位到您需要查看的异常事件。
      说明 告警时间范围的设置无限制。
      定位查询异常事件

步骤二:处理异常事件

您可在异常事件处理页面下方的异常事件列表中,查看异常事件详情和对SDDP检测到的异常事件进行处理。
  • 查看异常事件详情:单击查看详情展开异常事件详情页面。您可在该页面查看异常事件的基本信息、所属的云产品信息、异常操作描述和异常处理建议方案等。查看详情
  • 处理异常事件:单击处理展开异常事件处理页面,对异常事件进行处理。

    异常事件通常是非法用户在未经授权的情况下对敏感数据进行了访问、下载,或合法用户在非正常时间对敏感数据进行了访问、下载,以及访问敏感数据的用户登录终端异常等情况。

    处理异常事件
    SDDP检测到敏感数据相关的异常情况后,会将检测结果展示在异常事件处理页面中。您可在异常事件处理页面进行相关操作。异常事件处理
    • 添加事件处理记录:填写您对该异常事件的备注信息,方便后续回溯。
    • 事件核查结果
      • 确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项,并需要您根据异常事情详情页面提示的信息,定位到该异常事件的位置,并根据事件处置建议方案在对应的云产品中进行手动处理。确认违例的事件如未被处理,SDDP将会一直对该事件进行异常事件告警。
      • 误报:如果您确认该检测结果属于正常操作、无需进行处理,选择该选项。异常事件设为误报后,SDDP将不再对该事件进行告警提示,即该事件将不会展示在异常事件列表中。
    • 异常事件样本强化:您确认该检测结果属于正常操作时选择误报,并完成异常事件处理后,SDDP会将该异常事件输入到误报样本库中用于优化异常事件命中准确率。