本文档介绍了如何创建审计规则,数据安全中心(DSC)会根据您自定义的审计规则抓取对应的审计日志数据。

背景信息

审计日志数据提供了包括审计规则命中结果、审计规则检测的资产类型、命中规则的操作类型和操作账号等信息,覆盖资产数据产生、更新和使用等全链路的日志数据。

说明 DSC支持审计OSS、RDS、OTS(即表格存储)、MaxCompute、DRDS、PolarDB、OceanBase数据。DSC内置的安全审计规则更多信息,请参见内置的安全审计规则

操作步骤

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择全域数据审计 > 审计规则
  3. 审计规则页面单击新增规则
  4. 新增规则页面配置审计规则相应参数。新增规则
    您可以参考以下表格中的参数说明配置防护策略。
    参数 说明
    规则名称 自定义审计规则的名称,建议输入有实际意义的名称以便有效识别该审计规则。
    规则类型 从下拉列表选择该审计规则的规则类型,支持选择以下类型:
    • 高危操作
    • SQL注入
    • 漏洞攻击
    风险级别 从下拉列表选择该审计规则的风险等级,支持选择以下风险级别:
    资产类型 请选择审计规则生效的资产类型。支持选择以下资产类型:
    • OSS
    • RDS
    • OTS
    • MaxCompute
    • DRDS
    • PolarDB
    行为信息 输入审计规则的说明信息。
    规则描述 您可以根据实际需要配置规则条件,DSC将在规则条件限定的范围内采集审计数据。
    添加 单击添加,完成当前规则的配置。支持添加多条规则。
  5. 单击提交
    审计规则创建完成后,您可以在审计规则列表中查看该审计规则的开启状态、命中次数和详情信息,或修改该审计规则。
    说明 创建完成后,审计规则的状态默认为开启。您也可在审计规则列表中手动开启或关闭审计规则。关闭该审计规则后,DSC不会再执行该审计规则项抓取审计日志数据。

后续步骤

创建并开启审计规则后,DSC将在5分钟内同步审计结果,您可在异常告警页面查看相关告警数据。更多信息,请参见异常告警审计日志