异常行为检测是DataWorks安全中心内置的智能化风险检测引擎。它通过预置的智能检测策略,持续分析用户对敏感数据的操作行为,自动识别出那些偏离常规模式、难以被固定规则捕获的潜在安全威胁,例如“某账号首次下载大量数据”、“某用户在非工作时间异常上传数据”等,旨在帮助您主动发现未知风险,从而提升整体安全态势感知和响应能力。
功能介绍
异常行为功能主要由以下三个核心模块构成,它们共同协作,形成从“策略管理”到“事件发现”再到“告警响应”的完整闭环。
智能检测策略
这里是风险识别的“智能大脑”。它包含一系列系统内置的、基于算法的异常行为检测模型。您无需进行复杂的规则配置,只需开启这些策略,即可让系统自动为您分析并发现潜在的异常行为。
异常事件
基于已开启的智能检测策略,命中并生成异常事件。所有被检测到的异常行为事件都会在此处集中展示。您可以通过看板快速了解态势,并通过列表对事件进行筛选、追溯详情和处置。
告警策略
为了实现主动响应,您可以配置告警策略。当满足指定条件的异常事件发生时(例如,任意“高危”等级的事件,或某个具体的“首次下载数据”事件),系统将通过邮件、短信等方式,自动将告警信息推送给指定人员。
异常行为的检测结果时效性为 T+1。这意味着,检测并非实时进行,而是基于前一天(T)的数据进行离线分析。因此,您在今天(T+1)看到的异常事件,是反映了昨天发生的操作。请在进行风险分析和事件追溯时,注意这一时间特性。
限制说明
适用用户:开通DataWorks的专业版、企业版,且在安全中心选择DataWorks新版数据安全的用户。
支持地域:华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、华南1(深圳)、西南1(成都)、中国香港、日本(东京)。
支持计算源:MaxCompute、Hologres。
前提条件
登录DataWorks主账号或RAM账号,且拥有以下权限或角色满足任一条件:
拥有AliyunDataWorksFullAccess权限的账号。
拥有DataWorks租户安全管理员角色的账号。
拥有DataWorks租户管理员角色的账号。
已完成新用户指引。
进入异常行为页面
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
在左侧导航栏,选择进入页面。
管理智能检测策略
在智能检测策略页签,您可以管理系统内置的所有智能化异常检测策略,它们是发现异常事件的规则基础。
所有智能检测策略均为系统内置,不支持用户新增、编辑或删除。您仅可控制其开启或关闭状态。
在策略列表中找到需要操作的策略,在开启状态列,通过滑动开关即可方便地开启或关闭该策略。
默认所有策略均为开启状态。关闭策略后,系统将不再依据该策略检测新的异常事件。
查看和处理异常事件
基于上述智能检测策略,系统自动判断、识别并生成异常事件。在异常事件页签,您可以监控和处置所有已发现的异常事件。
查看事件统计看板
核心指标看板,帮助您快速了解整体异常事件的态势。
指标 | 说明 |
今日异常事件 | 过去一天(00:00-23:59)新产生的所有异常事件总数。 |
待处理事件 | 所有历史异常事件中,处理状态为待处理的事件总数。 |
已处理事件 | 所有历史异常事件中,处理状态为已处理的事件总数。 |
处理率 |
|
处理单个事件
目前处理仅支持对事件的状态进行标记,不支持在界面上对事件本身做处理。
事件列表展示所有检测到的异常事件,并提供丰富的筛选和操作功能。您可对单个事件进行处理或查看其详情。
在事件列表中找到需要处理的事件,在操作列单击立即处理。
在弹出的对话框中,将标记处理状态从未处理修改为已处理(或反向操作),单击确认。
若需深入分析,可单击操作列的详情,右侧将弹出抽屉面板,展示本次异常事件的完整上下文信息,包括异常描述、涉及的数据源、Project、Table、数据量、客户端IP等。
配置告警策略
为了实现从被动发现到主动响应的闭环,您可以在此配置告警策略,确保关键的异常事件能第一时间通知到相关责任人。
在异常行为模块下,选择告警策略页签,单击新建告警策略。
定义触发条件:选择您触发告警的条件。支持按以下维度配置:
异常等级:例如,所有“高危”及以上的异常事件。
异常检测项:针对您特别关注的某几类异常行为,如所有“首次下载数据”事件。
配置告警通知:选择您希望的通知渠道(如邮件、短信、钉钉群机器人等),并为每种方式选择对应的通知对象。
配置完成后,单击确认保存策略。一旦有异常事件满足您配置的策略条件,系统将自动触发通知。