数据安全中心(Data Security Center,简称DSC)根据内置和自定义的泄漏检测模型对数据库文件或数据库表中的敏感数据进行识别和告警。您可以在内置泄漏检测模型页面,管理内置泄漏检测模型。本文介绍如何配置内置泄漏检测模型。

背景信息

关于内置泄漏检测模型支持检测的云产品和详细介绍,请参见内置泄漏检测模型

操作步骤

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据防泄漏 > 泄漏检测模型
  3. 泄漏检测模型页面内置泄漏检测模型页签下,单击内置泄漏模型名称,在该模型的详情面板查看该模型的详细信息。
    DSC提供了内置模型的基本信息、描述信息和事件处置建议方案。
  4. 可选:内置泄漏检测模型页签,设置部分告警阈值。
    DSC通过智能学习规则,默认为您的每个数据库账号和资产都生成了不同的告警阈值。如果您需要每个数据库账号和资产使用相同的告警阈值,您可以单击该告警名称告警阈值列下的修改,修改对应阈值后再单击保存。支持修改以下告警的阈值:
    告警类型 告警名称 告警原因分析 告警阈值配置说明
    流转异常 异常时间下载敏感数据 来自异常时间的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工在非正常工作时间内进行数据下载。 配置下载敏感数据的异常时间段。默认为23:00~次日07:00
    敏感数据下载量异常 敏感数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 配置敏感数据下载量的告警阈值。单位为行,默认为10,000行。
    文件下载量异常 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 配置文件下载量的告警阈值。单位为个,默认为10,000个。
    数据下载量异常 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 配置数据下载量的告警阈值。单位为行,默认为10,000行。
    下载敏感数据的IP数量过多 下载敏感数据的IP数量过多可能是由于账号泄漏,非账号持有人执行了下载操作。 配置下载敏感数据的IP数量告警阈值。单位为个,默认为100个。
    行为异常 登录时间异常 来自异常时间的鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在非工作时间访问数据。 配置登录时间的异常时间段。默认为23:00~次日07:00
    多次尝试访问不存在的文件 出现多次访问不存在的文件可能是存在外部攻击尝试。 配置多次访问不存在的文件的次数告警阈值。单位为次,默认为10次。
    多次尝试访问没有权限的文件 出现多次访问没有权限的文件可能是存在外部攻击尝试。 配置多次访问没有权限的文件次数的告警阈值。单位为次,默认为10次。
    登录密码连续错误 出现登录密码连续错误可能是存在外部攻击尝试。 配置登录密码连续错误次数的告警阈值。单位为次,默认为10次。
    配置异常 日志输出量异常降低 日志输出量异常,可能存在产品日志输出故障,导致产品上的数据操作异常事件无法有效识别。 配置日志输出量降低的百分比的告警阈值。默认为20%。
    注意 未在以上列表中的内置泄漏检测模型不支持修改告警阈值。
  5. 可选:单击内置泄漏检测模型状态列下的开关,开启或关闭内置泄漏检测模型。
    DSC默认会为您开启所有的内置泄漏检测模型。如果您无需使用某些内置泄漏检测模型,您可以关闭该内置泄漏检测模型。