风险识别管理(新版)

风险识别管理提供了多维度的关联分析及算法,智能化的分析技术帮助您通过风险识别规则,主动发现风险操作并预警,使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则,您可以直接使用,也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。

背景信息

数据输入DataWorks后会经过数据保护伞进行过滤处理,旧版风险识别管理的风险识别功能仅当涉及敏感数据时才会被识别为风险,不支持操作审计相关场景及事件统计聚合场景的识别。因此,DataWorks为解决该问题,为您提供了功能更加全面的新版风险识别管理功能。具体如下:

  • 易用性好

    包含数据访问风险数据导出风险数据操作风险其他风险类型等4类风险类型,并支持访问时间敏感类型访问量等多种维度组合识别各类风险。

  • 精准度高

    增加事件聚合统计比较,通过比较时间窗口内事件发生次数的阈值,更精准识别风险,减少大量误报。例如,在10分钟内发生相同事件3次以上才会命中风险。

  • 精细化管理

    支持配置的风险级别,根据风险级别精细化管理风险。

  • 规则灵活

    内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。详情请参见系统内置风险识别规则新建风险识别规则

新旧版本风险识别规则配置项的配置位置存在差异,详情请参见新旧版风险识别规则配置项位置对比说明

使用限制

  • 版本限制

    • 仅DataWorks专业版及以上版本支持使用新版风险识别管理功能。

    • 仅DataWorks企业版及以上版本支持内置风险识别规则。

  • 新旧版本切换

    • 旧版风险识别管理运行的时间将保留至2022年06月30日(请以界面实际显示的保留时间为准),保留时间到期后,已创建的风险识别规则及相关风险数据将自动清除,后续则只能使用新版风险识别管理功能。请您及时将需要使用的规则及风险数据导出备份,导出备份操作,详情请参见风险识别管理(旧版)

    • 新版风险识别管理在旧版保留时间段内会同时运行,您可以切换至新版使用。切换至新版后,旧版中已创建的风险识别规则及风险数据不会同步至新版,您需要在新版中重新创建相关规则。

  • 告警方式

    仅支持邮件和WebHook告警方式。

    说明

    DataWorks支持使用钉钉群、企业微信和飞书的WebHook地址。其中,仅企业版及以上版本支持推送报警信息至企业微信或飞书。

进入风险识别管理

  1. 进入数据保护伞

    1. 登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据开发与治理 > 数据开发,在下拉框中选择对应工作空间后单击进入数据开发

    2. 单击左上方的图标图标,选择全部产品 > 数据治理 > 数据保护伞

    3. 单击立即体验,进入数据保护伞。

  2. 进入风险识别管理

    数据保护伞页面的左侧导航栏,单击规则配置 > 风险识别管理,默认进入旧版风险识别管理页面。您需要单击体验新版本切换至新版,使用新版风险识别管理功能创建并管理风险识别规则。

    新版风险识别管理内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。详情请参见系统内置风险识别规则新建风险识别规则

系统内置风险识别规则

新版风险识别管理功能支持的内置规则如下表。

规则名称

规则类型

规则等级

规则配置

非工作时间查询大数据量敏感数据

数据访问风险

如下时间段查询数据量大于10000时命中该规则。

  • 周一至周五:22:00~24:00

  • 周六至周日:00:00~24:00

相似SQL查询

数据访问风险

十分钟内查询相似SQL大于等于10次时,命中该规则。

批量查询大量敏感数据

数据访问风险

单次查询数据量大于10000时命中该规则。

批量导出大量敏感数据

数据导出风险

单次导出数据量大于10000时命中该规则。

非工作时间导出大数据量敏感数据

数据导出风险

如下时间段导出数据量大于10000时命中该规则。

  • 周一至周五:22:00~24:00

  • 周六至周日:00:00~24:00

新建风险识别规则

  1. 新建规则的规划和准备工作。

    您可以基于实际场景,选择从数据位置数据属性用户信息操作时间等维度识别风险数据,配置更精细的风险识别条件。当使用数据属性用户信息的不同细分类别配置风险识别条件时,需要进行如下准备工作。

    风险识别维度

    细分类别

    描述

    数据属性

    数据分级

    识别指定级别的风险数据,您需要提前定义数据的分级,详情请参见配置敏感数据分类分级

    数据分类

    识别指定类别的风险数据,您需要提前定义数据的类别,详情请参见配置数据识别规则并执行识别任务

    敏感字段类型

    识别指定敏感字段的风险数据,您需要提前定义敏感字段类型,详情请参见配置数据识别规则并执行识别任务

    用户信息

    用户组

    识别当前登录账号下指定用户组的风险数据,您需要提前配置用户组,详情请参见配置用户组

    RAM角色

    识别当前登录账号下RAM用户的风险数据,您需要提前在当前阿里云账号下添加RAM用户,详情请参见创建RAM用户

  2. 风险识别管理页面右上角,单击+风险识别规则

  3. 新建风险识别规则对话框配置规则信息。

    说明

    当前仅支持新建统计关联规则统计关联规则用于对单一事件进行聚合统计,阈值比较,当事件数量超过设置的阈值时,则命中规则。例如,设置的规则为低权限用户在非工作时间访问敏感数据超过1万条。

    1. 配置规则基本信息。

      风险识别规则基本信息

      参数

      描述

      规则名称

      新建的风险识别规则名称。名称长度为1~30字符,并且不能包含特殊字符。

      规则类型

      风险识别规则的类型,取值如下:

      • 数据访问风险:访问数据时可能存在风险。

      • 数据导出风险:导出数据时可能存在风险。

      • 数据操作风险:创建、修改、删除数据时可能存在风险。

      • 其他:其他类型。

      规则等级

      风险识别规则的级别。包含等级。您可以根据实际需求,将识别重要数据信息的规则设置为高等级。

      描述信息

      风险识别规则的描述信息。长度为1~100字符。

    2. 单击下一步

    3. 配置风险识别条件及阈值。

      • 配置风险识别的条件。

        DataWorks支持设置从数据位置数据属性用户信息操作时间等维度识别风险数据,帮助您基于实际场景配置更精细的风险识别条件。

        说明

        当前最多支持添加10个条件。单击所选维度中的+添加比较关系即可添加多个识别条件,并且添加的多个条件逻辑关系为

        • 数据位置

          用于设置识别风险数据的位置范围,可以精确到字段。数据位置

          参数

          描述

          是否必配

          是否过滤所选位置

          选择是否过滤所选位置的风险数据。取值如下:

          • :表示过滤目标位置,即配置的风险识别规则不会识别所选位置中的风险数据。

          • =:表示仅识别目标位置,即配置的风险识别规则仅识别所选位置中的风险数据。

          数据引擎名称

          选择识别规则限定的引擎范围。

          说明
          • 当前仅支持识别MaxCompute引擎中的风险数据。

          • 每条比较关系只能选择一个引擎,如果您需要限定多个引擎范围,则请单击+添加比较关系配置多条风险识别条件。

          项目空间名称

          选择识别规则限定的目标项目空间。项目空间名称需要配置为所选引擎中的项目空间,您可以在下拉列表选择,也可以输入项目空间名称进行搜索。

          说明
          • 下拉列表最多显示100个项目空间名称。

          • 名称搜索支持模糊匹配,即输入关键词,即可搜索到名称包含关键词的项目。

          • 每条比较关系只能选择一个项目空间,如果您需要限定多个项目空间范围,则请单击+添加比较关系配置多条风险识别条件。

          表名

          输入识别规则限定的目标表。您可以输入单个或多个表名称,多个表名称之间使用英文逗号(,)分隔。输入表名称的说明如下:

          • 单个表名不超过30个字符,输入的表名整体不超过100字符。

          • 支持使用*通配符。例如,*name表示识别所有名称为name后缀的表数据。

          否。不配置默认识别所选项目空间中所有表的风险数据。

          字段名

          输入识别规则限定的目标字段。您可以输入单个或多个字段名称,多个字段名称之间使用英文逗号(,)分隔。输入字段名称的说明如下:

          • 单个字段名不超过30个字符,输入的字段名整体不超过100字符。

          • 支持使用*通配符。例如,*name表示识别所有名称为name后缀的字段数据。

          否。不配置默认识别所有表字段的风险数据。

        • 数据属性

          用于筛选识别风险数据的属性范围。数据属性

          参数

          描述

          属性

          您可以根据业务需求选择识别风险数据的属性类别。当前支持的属性类别如下:

          是否过滤所选属性

          选择是否过滤所选属性的风险数据。取值如下:

          • :表示过滤目标属性,即配置的风险识别规则不会识别所选属性中的风险数据。

          • =:表示仅识别目标属性,即配置的风险识别规则仅识别所选属性中的风险数据。

        • 用户信息

          用于筛选识别风险数据的用户信息范围。用户信息

          参数

          描述

          信息类别

          选择识别风险数据的用户信息类别,取值如下:

          • 用户组:当前登录账号下的用户组名称。您需要提前配置用户组,详情请参见配置用户组

          • RAM角色:当前登录账号下的RAM用户。您需要提前在当前阿里云账号下添加RAM用户,详情请参见创建RAM用户

          • 用户名称:当前登录用户。

          是否过滤所选用户信息

          • :表示过滤目标用户信息,即配置的风险识别规则不会识别所选用户信息中的风险数据。

          • =:表示仅识别目标用户信息,即配置的风险识别规则仅识别所选用户信息中的风险数据。

        • 操作时间

          用于筛选识别风险数据的操作时间范围。操作时间

          参数

          描述

          选择时间范围

          单击目标星期及小时,即可选择所需的时间范围。您可以选择周一至周日的任意时间,精确到小时。

          是否过滤所选时间

          • :表示过滤目标操作时间,即配置的风险识别规则不会识别所选操作时间中的风险数据。

          • =:表示仅识别目标操作时间,即配置的风险识别规则仅识别所选操作时间中的风险数据。

      • 配置阈值。

        DataWorks支持事件聚合统计,您也可以选择通过比较时间窗口内事件发生次数的阈值识别风险数据。单击+添加阈值比较 即可配置多个风险识别阈值条件。阈值比较

        参数

        描述

        阈值类别

        • 数据量:通过操作的数据量大小识别风险数据。当操作的数据量超过设置的阈值时,则此次操作命中风险。数据量取值为1至1000万的整数,单位为条。默认取值为1。

        • 发生次数:通过指定时间范围单一事件发生的次数识别风险数据。当在指定时间范围内,某单一事件的发生次数超过设置的阈值时,则命中风险。发生次数取值为1至10000的整数,单位为次。默认取值为10。

          说明

          DataWorks自动帮您归类识别单一事件。

        时间窗口

        事件发生次数限定的时间范围,默认为10分钟。取值如下:

        • 分钟:取值范围为1~59

        • 小时:取值范围为1~23

        • :取值范围为1~7

        说明

        仅当阈值类别取值为发生次数,时需要配置该参数。

    4. 单击下一步

    5. 配置告警方式。

      在识别到数据风险后,您可以根据配置的告警方式,及时接收到告警信息,以便对风险进行相应的处理。支持您选择邮件webHook的告警方式。

      说明

      选择告警方式前请确保已在系统配置中完成邮箱及webHook的相关配置。

    6. 单击保存,规则创建完成。

      创建的自定义规则默认不生效,您需要在风险识别规则页面单击目标规则的重新生效,手动生效规则。

管理风险识别规则

风险识别管理页面,您可以查看已创建的规则列表及规则详细信息。同时,也可以编辑修改目标规则,或批量操作多个规则。管理风险识别规则

区域

描述

1

在该区域,您可以通过风险类型风险等级风险类型是否内置风险规则名称等条件进行筛选,查看目标条件的规则列表。

说明

通过名称搜索识别规则时支持模糊匹配,输入关键词即可搜索名称中包含关键词的风险识别规则。

2

在该区域,您可以执行如下操作:

  • 查看规则基本信息:查看已创建规则的风险类型、风险等级、生效状态等基本信息,以及该规则识别到的风险数据。您可以基于命中风险待处理风险已处理风险,了解当前租户存在的风险及风险处理情况。

  • 查看规则详情并编辑规则:单击查看详情,即可查看规则的详细配置信息,您也可以根据实际需求修改规则。

  • 重新生效规则:单击重新生效图标,即可使失效的规则重新生效。

    说明

    DataWorks仅支持失效状态的规则执行该操作。

3

在该区域,您可以批量操作目标规则。当前支持执行批量生效批量失效批量删除等批量操作,单击切换图标,即可切换批量操作类别。

说明

DataWorks不支持删除系统内置的风险识别规则,仅支持删除失效状态的自定义规则。

新旧版风险识别规则配置项位置对比说明

新旧版本规则配置位置新旧版本风险识别规则配置项的配置位置存在差异,具体如下表。

说明

新版风险识别规则的配置详情,请参见新建风险识别规则,旧版风险识别规则的配置详情,请参见风险规则配置

序号

风险识别规则配置项

旧版配置位置

新版配置位置

1

规则名称

基础配置 > 规则名

基本信息 > 规则名称

2

规则责任人

基础配置 > 负责人

默认规则的负责人为当前登录账号。

无该配置项,DataWorks自动记录规则责任人。

3

规则的描述信息

基础配置 > 备注

基本信息 > 描述信息

4

规则生效的引擎

规则项 > 引擎

规则定义 > 条件设置区域,选择条件选择数据位置时,所配置的数据引擎名称

5

规则生效的项目空间

规则项 > 项目空间

规则定义 > 条件设置区域,选择条件选择数据位置时,所配置的项目空间名称

6

规则所属的分类

规则项 > 分类

规则定义 > 条件设置区域,选择条件选择数据属性时,属性类别选择数据分类

7

规则所属的分级

规则项 > 分级

规则定义 > 条件设置区域,选择条件选择数据属性时,属性类别选择数据分级

8

命中规则的敏感字段类型

规则项 > 敏感字段类型

规则定义 > 条件设置区域,选择条件选择数据属性时,属性类别选择敏感字段类型

9

规则所属的操作类型

规则项 > 导出方式

取值包括:

  • 全部导出方式

  • Tunnel下载

  • 表访问

基本信息 > 规则类型

取值包括:

  • 数据访问风险

  • 数据导出风险

  • 数据操作风险

  • 其他

10

规则生效的表

规则项 > 表名

规则定义 > 条件设置区域,选择条件选择数据位置时,所配置的表名

11

规则生效的字段

规则项 > 字段

规则定义 > 条件设置区域,选择条件选择数据位置时,所配置的字段名

12

用于配置哪些用户访问时会触发该规则。

规则项 > 访问人员

规则定义 > 条件设置区域,选择条件选择用户信息时,所选择的信息类别

13

规则限制的操作数据量,当超出限制的数据量范围时命中规则。

规则项 > 操作数据量

规则定义 > 条件设置区域,阈值比较下配置数据量范围。

14

规则限制的访问时间范围,当访问操作与该时间范围匹配时命中规则。

规则项 > 访问时间

规则定义 > 条件设置区域,选择条件选择操作时间时,所设置的时间配置

15

触发规则后的告警方式

不支持

告警设置 > 告警方式

后续步骤

风险识别规则创建并生效后,您可以进入数据风险页面,查看规则命中的风险详情,及时处理存在风险。详情请参见查看数据风险(新版)