异常告警功能支持内置检测模型和自定义检测模型,根据您配置的检测模型,检测与敏感数据相关的异常操作并上报告警。本文介绍如何管理内置检测模型、自定义检测模型以及查看并处理异常风险事件。
前提条件
已开启安全审计(新版),详情请参见开启安全审计(新版)。
查看单个实例的异常告警
登录DAS控制台。
在左侧导航栏中,单击实例监控。
找到目标实例,单击实例ID,进入目标实例详情页。
在左侧导航栏,单击安全审计。
在安全审计页面,单击异常告警。
在异常告警页,查看与敏感数据相关的异常告警事件。
单击流转异常、行为异常或自定义异常页签切换到对应异常事件统计数据页面,查看不同类型异常事件的统计数据。
单击目标异常事件操作列的查看详情,在异常事件详情面板,查看事件基础信息、事件对象信息、事件描述和处置历史等信息。
单击目标异常事件操作列的处理。
在风险告警面板,按照提供的处理方案及时处理该告警。
您需要设置以下参数。
事件核查结果
确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项。您需要根据页面提示的信息,定位到该异常事件的位置,并在对应的云产品中进行手动处理。确认违规的事件如未被处理,DAS将会一直对该事件进行异常事件告警。
加入白名单:如果您确认该检测结果属于正常操作、无需进行处理,选择该选项。异常事件加入白名单后,DAS将不再对该事件进行告警提示,即该事件将不会展示在异常事件告警列表中。
添加事件处理记录:填写处理该异常事件告警的备注信息,方便后续回溯。
单击异常事件列表上方的导出,可导出列表中展示的异常事件。
查看全部实例的异常告警
若您有多个数据库实例,并且都开通了安全审计功能,您可以查看所有实例的异常告警。
登录DAS控制台。
在左侧导航栏,单击安全审计。
在安全审计页面,单击异常告警。
在异常告警页,查看与敏感数据相关的异常告警事件。
单击流转异常、行为异常或自定义异常页签切换到对应异常事件统计数据页面,查看不同类型异常事件的统计数据。
单击目标异常事件操作列的查看详情,在异常事件详情面板,查看事件基础信息、事件对象信息、事件描述和处置历史等信息。
单击目标异常事件操作列的处理。
在风险告警面板,按照提供的处理方案及时处理该告警。
您需要设置以下参数。
事件核查结果
确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项。您需要根据页面提示的信息,定位到该异常事件的位置,并在对应的云产品中进行手动处理。确认违规的事件如未被处理,DAS将会一直对该事件进行异常事件告警。
加入白名单:如果您确认该检测结果属于正常操作、无需进行处理,选择该选项。异常事件加入白名单后,DAS将不再对该事件进行告警提示,即该事件将不会展示在异常事件告警列表中。
处理记录:填写处理该异常事件告警的备注信息,方便后续回溯。您可以根据需要,确定是否要勾选选择后将对该泄漏风险进行检测强化。选择该项后,DAS会将该异常事件输入到误报样本库中用于优化异常事件告警命中准确率。
单击异常事件列表上方的导出,可导出列表中展示的异常事件。
异常事件类型
异常事件可分为以下类型:
流转异常:数据在流转过程中出现的异常情况。例如:异常地理位置下载敏感数据。
行为异常:非正常的数据操作行为。例如:登录密码连续错误、登录使用终端异常等。
自定义异常:根据您自定义的检测模型检测异常事件并上报告警。
风险等级说明
异常事件的风险等级是根据命中事件的敏感等级按照一定规则确定的,属于同一事件子类型的告警风险等级可能不同。具体规则如下:
流转异常:命中该类规则的告警,命中文件的最高敏感等级>=S3,则该告警风险等级为高;命中文件的最高敏感等级为S1或S2,则该告警风险等级为中;命中文件的最高敏感等级为N/A,则该告警风险等级为低。
行为异常:命中该类规则的告警,命中文件的最高敏感等级>=S2,则该告警风险等级为中;命中文件的最高敏感等级<=S1,则该告警风险等级为低。
自定义异常:根据您配置的风险级别生效。
相关文档
DAS默认开启所有的内置异常检测模型,如果无需使用某些内置异常检测模型,您可以关闭对应模型。并且DAS支持根据访问的库、表、字段、访问源、实例等不同维度自定义检测模型。详情请参见配置告警规则。