本文档主要介绍DAS安全审计的功能和使用方法。

前提条件

在DAS中接入对应的数据库实例,并且接入状态显示为连接正常,目前该功能仅支持用户自建的MySQL数据库。
说明 接入数据库实例的操作详情可参见接入其他自建数据库实例

背景信息

数据库是企业最重要的资产之一,其可能面临来自外部的攻击、内部的危险操作、数据泄漏等风险。DAS安全审计功能,采用旁路的技术,采集并分析对数据库服务器的各类操作行为,实时地、智能地解析对数据库服务器的各种操作,自动识别高位SQL、SQL注入、新增访问来源等风险。

SQL

高危SQL

DAS会根据预设的规则库,自动识别三种类型的高危SQL。

  • DDL(新建表、修改表结构、修改索引、重命名表等操作)。
  • 全表更新(例如全表Update、全表Delete等操作)。
  • 大请求,默认规则是满足下面三个条件中的任意一个。
    • 扫描行数 >= 100万
    • 返回行数 >= 10万
    • 更新行数 >= 10万

SQL注入

SQL注入就是通过把SQL命令插入到Web表单、域名或页面请求中,最终达到欺骗服务器执行恶意的SQL命令,严重危害数据库的健康。DAS会持续不断地监控和识别数据库中是否存在SQL注入的情况,并且发现访问来源。

新增访问来源

DAS会与历史的访问来源纪录进行对比,自动识别新增的访问来源,帮助用户确认是否存在未知的机器在访问或者读取数据库。

说明 默认规则是过去七天没有出现过的访问来源,即为新增访问来源。

操作步骤

  1. 登录DAS控制台
  2. 在左侧导航栏,单击实例监控
  3. 单击目标实例,进入实例详情页面。
  4. 在左侧导航栏,单击安全审计
  5. 单击开启,在弹出框中单击确定即可;单击右上角的关闭安全审计,即可以关闭该功能,并且同时关闭全量SQL功能。