文档

配置告警规则

更新时间:

安全审计(新版)功能默认开启所有的内置数据库审计规则和异常检测模型,如果无需使用某些内置数据库审计规则和异常检测模型,您可以关闭对应规则和模型。并且该功能支持根据访问的库、表、字段、访问源、实例等不同维度自定义检测模型,使安全策略更加灵活自由。

前提条件

已开启安全审计(新版),详情请参见开启安全审计(新版)

管理数据库审计规则

DAS默认开启所有的内置数据库审计规则,如果无需使用某些内置数据库审计规则,您可以关闭对应规则和模型。

  1. 登录DAS控制台

  2. 在左侧导航栏,单击安全审计

  3. 安全审计页面,单击告警规则 > 数据库审计规则

  4. 根据实际情况关闭不需要的规则。

管理异常检测模型

DAS默认开启所有的内置异常检测模型,如果无需使用某些内置异常检测模型,您可以关闭对应模型。

  1. 登录DAS控制台

  2. 在左侧导航栏,单击安全审计

  3. 安全审计页面,单击告警规则 > 异常检测模型

  4. 根据实际情况关闭不需要的模型。

自定义检测模型

如果内置检测模型无法满足异常事件检测需求,您可以自定义检测模型。

  1. 登录DAS控制台

  2. 在左侧导航栏,单击安全审计

  3. 安全审计页面,单击告警规则 > 自定义模型

  4. 根据实际情况关闭不需要的模型。

  5. 单击添加规则

  6. 新增规则对话框,完成自定义模型参数配置,并单击确定

    参数

    说明

    规则名称

    输入模型的名称,建议输入有实际意义的名称以便有效识别该规则。

    风险级别

    从下拉列表中选择模型的风险等级。

    资产类型

    选择模型检测的资产类型,请选择RDS

    过滤条件

    根据实际需要配置过滤条件,指定需要检测的异常事件。

    继续添加

    单击继续添加,添加多条过滤条件。多条过滤条件之间是和(AND)关系。

    告警条件

    设置告警检测的时间单位和告警产生的条件。DAS基于过滤条件命中的数据进行异常检测,在自定义时间段内满足告警条件,会上报异常事件告警。

    说明

    告警条件中的任何UA是指任何浏览器的UserAgent。UserAgent的信息包括硬件平台、系统软件、应用软件和用户个人偏好,通过UA可以分析出浏览器名称、浏览器版本号、渲染引擎、操作系统。告警条件选择了任何UA,可以抓取UserAgent中的相应异常事件。

    完成模型创建后,您可以在模型列表中查看该模型,如有需要您也可以编辑该模型。新创建的模型默认为未开启状态。模型需要启用后才会生效。

  7. 打开模型状态列的开关,启用该模型。