云安全中心企业版支持RDS SQL注入威胁检测功能,帮助您及时发现资产中是否存在RDS SQL注入隐患。

背景信息

RDS SQL注入是数据库攻击的常见方式之一。SQL注入会导致数据泄露、篡改或对敏感数据的非法操作,威胁您资产的数据安全。

开通了云安全中心日志分析功能后,您需要在日志服务控制台开启RDS SQL审计日志。云安全中心通过对RDS SQL审计日志数据进行检测,确认您的资产中是否存在RDS SQL注入的威胁。

说明 云安全中心基础版和高级版不支持RDS SQL注入威胁检测功能。

RDS SQL审计有以下特性:

  • 支持同步RDS SQL日志数据的RDS类型包括:Microsoft SQL(全版本)、PostgreSQL(全版本)、MySQL(除基础版以外的其他所有版本)。
  • 支持跨多个主账号。
  • 支持自动发现并同步所有区域下(目前仅包含国内区域)新创建的RDS实例。

步骤一:开启RDS SQL审计日志

  1. 登录日志服务管理控制台
  2. 定位到日志应用模块,单击日志审计服务下的进入应用日志审计服务
  3. 全局配置页面,单击中心项目Project所在区域下拉列表,选择RDS SQL相关的项目Project需要存放的区域。选择中心项目project所在区域
  4. 在全局配置列表中,单击RDS SQL审计日志开关,开启日志服务SLS对RDS SQL审计日志的采集。
  5. 设置采集同步授权,授权日志服务SLS采集和同步RDS SQL审计日志。

    可选以下两种授权方式:

    • 通过账号密钥辅助授权:输入具备对当前主账号访问控制(RAM)有读写操作权限的(子)账号的AccessKey和密钥,单击授权进行自动授权。
    • 手动授权:新建RAM角色并创建对应的授权策略,完成对当前主账号访问控制(RAM)的手动授权。步骤如下:
      1. RAM控制台创建RAM角色sls-audit-service-dispatchsls-audit-service-monitor
      2. 为RAM角色sls-audit-service-dispatch创建授权策略AliyunLogAuditServiceDispatchPolicy
      3. 为RAM角色sls-audit-service-monitor创建授权策略AliyunLogAuditServiceMonitorAccess并添加ReadOnlyAccess系统权限。
      详细操作步骤请参见日志服务管理控制台全局配置页面的操作提示。操作提示

    授权完成后,RDS相关日志数据会同步到日志服务中。

步骤二:开启云安全中心RDS SQL注入威胁检测

目前,RDS SQL注入威胁检测功能需要人工开通,您可以提交工单联系阿里云开通此功能。

步骤三(可选步骤):查看SQL注入告警

您的资产开启了RDS SQL注入威胁检测功能后,您可在云安全中心安全告警处理页面,查看和处理云安全中心为您检测到的RDS SQL注入告警事件。云产品威胁检测RDS SQL注入告警