安全审计(新版)功能默认开启所有的内置数据库审计规则和异常检测模型,如果无需使用某些内置数据库审计规则和异常检测模型,您可以关闭对应规则和模型。并且该功能支持根据访问的库、表、字段、访问源、实例等不同维度自定义检测模型,使安全策略更加灵活自由。
前提条件
已开启安全审计(新版),详情请参见开启安全审计(新版)。
管理数据库审计规则
DAS默认开启所有的内置数据库审计规则,如果无需使用某些内置数据库审计规则,您可以关闭对应规则和模型。
登录DAS控制台。
在左侧导航栏中,单击安全中心 > 安全审计。
在安全审计页面,单击告警规则 > 数据库审计规则。
根据实际情况关闭不需要的规则。
管理自定义审计规则
当内置的审计规则无法满足您的安全检测需求时,您可以通过创建自定义审计规则,灵活地定义需要监控的数据库行为和告警条件。
操作步骤
登录DAS控制台。
在左侧导航栏中,单击安全中心 > 安全审计。
在安全审计页面,单击告警规则 > 自定义审计规则页签。
在列表页中,点击新增规则按钮,弹出新增规则弹窗。
在弹框中,根据实际情况配置审计规则。
注意事项
在配置自定义规则时,请务必确保不同条件之间逻辑自洽。以下是几种常见的条件冲突场景,请参考以避免配置无效规则。
场景一:资产范围冲突
配置原则: 在资产模块配置资产条件时,实例名称、数据库名称与表名称之间必须存在明确的层级归属关系。
错误示例: 在资产范围中,实例名称选择了
Instance-A,但 数据库名称 却选择了不属于Instance-A的DB-B。原因分析: 由于
DB-B并不在Instance-A之下,该规则的监控范围无效,永远不会被触发。
场景二:行为与操作类型冲突
配置原则: 在行为模块配置行为条件时,SQL内容 必须与其对应的操作类型相匹配。
错误示例: 将 SQL内容 设为等于
login failed!,同时将 操作类型 设为等于Select。原因分析:
login failed!信息仅由Login操作产生,与Select操作无关,导致两个条件不成立。
场景三:行为与执行结果冲突
配置原则: 行为条件必须与其可能产生的执行结果相匹配。
错误示例 1:
行为: 在行为模块中配置SQL内容 等于
login failed!。结果: 在结果模块中配置影响行数 大于
10。原因分析: 登录失败不涉及任何数据操作,其影响行数永远为 0。该条件无法满足。
错误示例 2:
行为: 在行为模块中配置SQL内容等于
login failed!。结果: 在结果模块中配置执行状态 等于
成功。原因分析:
login failed!属于登录失败错误信息,与成功状态直接冲突。
配置技巧
当操作符为等于时,仅允许选择一个目标对象。
当操作符为属于时,若需输入多个目标对象,请使用 回车键 进行分隔。
管理异常检测模型
DAS默认开启所有的内置异常检测模型,如果无需使用某些内置异常检测模型,您可以关闭对应模型。
登录DAS控制台。
在左侧导航栏中,单击安全中心 > 安全审计。
在安全审计页面,单击告警规则 > 异常检测模型。
根据实际情况关闭不需要的模型。
自定义检测模型
如果内置检测模型无法满足异常事件检测需求,您可以自定义检测模型。
登录DAS控制台。
在左侧导航栏中,单击安全中心 > 安全审计。
在安全审计页面,单击告警规则 > 自定义检测模型。
单击添加规则。
在新增规则对话框,完成自定义模型参数配置,并单击确定。
参数
说明
规则名称
输入模型的名称,建议输入有实际意义的名称以便有效识别该规则。
风险级别
从下拉列表中选择模型的风险等级。
资产类型
选择模型检测的资产类型,请选择RDS。
过滤条件
根据实际需要配置过滤条件,指定需要检测的异常事件。
继续添加
单击继续添加,添加多条过滤条件。多条过滤条件之间是和(AND)关系。
告警条件
设置告警检测的时间单位和告警产生的条件。DAS基于过滤条件命中的数据进行异常检测,在自定义时间段内满足告警条件,会上报异常事件告警。
完成模型创建后,您可以在模型列表中查看该模型,如有需要您也可以编辑该模型。新创建的模型默认为未开启状态。模型需要启用后才会生效。
打开模型状态列的开关,启用该模型。