安全审计(新版)功能默认开启所有的内置数据库审计规则和异常检测模型,如果无需使用某些内置数据库审计规则和异常检测模型,您可以关闭对应规则和模型。并且该功能支持根据访问的库、表、字段、访问源、实例等不同维度自定义检测模型,使安全策略更加灵活自由。
前提条件
已开启安全审计(新版),详情请参见开启安全审计(新版)。
管理数据库审计规则
DAS默认开启所有的内置数据库审计规则,如果无需使用某些内置数据库审计规则,您可以关闭对应规则和模型。
登录DAS控制台。
在左侧导航栏,单击安全审计。
在安全审计页面,单击告警规则 > 数据库审计规则。
根据实际情况关闭不需要的规则。
管理异常检测模型
DAS默认开启所有的内置异常检测模型,如果无需使用某些内置异常检测模型,您可以关闭对应模型。
登录DAS控制台。
在左侧导航栏,单击安全审计。
在安全审计页面,单击告警规则 > 异常检测模型。
根据实际情况关闭不需要的模型。
自定义检测模型
如果内置检测模型无法满足异常事件检测需求,您可以自定义检测模型。
登录DAS控制台。
在左侧导航栏,单击安全审计。
在安全审计页面,单击告警规则 > 自定义检测模型。
单击添加规则。
在新增规则对话框,完成自定义模型参数配置,并单击确定。
参数
说明
规则名称
输入模型的名称,建议输入有实际意义的名称以便有效识别该规则。
风险级别
从下拉列表中选择模型的风险等级。
资产类型
选择模型检测的资产类型,请选择RDS。
过滤条件
根据实际需要配置过滤条件,指定需要检测的异常事件。
继续添加
单击继续添加,添加多条过滤条件。多条过滤条件之间是和(AND)关系。
告警条件
设置告警检测的时间单位和告警产生的条件。DAS基于过滤条件命中的数据进行异常检测,在自定义时间段内满足告警条件,会上报异常事件告警。
完成模型创建后,您可以在模型列表中查看该模型,如有需要您也可以编辑该模型。新创建的模型默认为未开启状态。模型需要启用后才会生效。
打开模型状态列的开关,启用该模型。