风险识别管理提供了多维度的关联分析及算法,智能化的分析技术帮助您通过风险识别规则,主动发现风险操作并预警,使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则,您可以直接使用,也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。
背景信息
数据输入DataWorks后会经过数据保护伞进行过滤处理,旧版风险识别管理的风险识别功能仅当涉及敏感数据时才会被识别为风险,不支持操作审计相关场景及事件统计聚合场景的识别。因此,DataWorks为解决该问题,为您提供了功能更加全面的新版风险识别管理功能。具体如下:- 易用性好
包含数据访问风险、数据导出风险、数据操作风险、其他风险类型等4类风险类型,并支持访问时间、敏感类型、访问量等多种维度组合识别各类风险。
- 精准度高
增加事件聚合统计比较,通过比较时间窗口内事件发生次数的阈值,更精准识别风险,减少大量误报。例如,在10分钟内发生相同事件3次以上才会命中风险。
- 精细化管理
支持配置高、中、低的风险级别,根据风险级别精细化管理风险。
- 规则灵活
内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。详情请参见系统内置风险识别规则及新建风险识别规则。
使用限制
- 版本限制
- 仅DataWorks专业版及以上版本支持使用新版风险识别管理功能。
- 仅DataWorks企业版及以上版本支持内置风险识别规则。
- 新旧版本切换
- 旧版风险识别管理运行的时间将保留至2022年06月30日(请以界面实际显示的保留时间为准),保留时间到期后,已创建的风险识别规则及相关风险数据将自动清除,后续则只能使用新版风险识别管理功能。请您及时将需要使用的规则及风险数据导出备份,导出备份操作,详情请参见风险识别管理(旧版)。
- 新版风险识别管理在旧版保留时间段内会同时运行,您可以切换至新版使用。切换至新版后,旧版中已创建的风险识别规则及风险数据不会同步至新版,您需要在新版中重新创建相关规则。
- 告警方式
仅支持邮件和WebHook告警方式。
说明 DataWorks支持使用钉钉群、企业微信和飞书的WebHook地址。其中,仅企业版及以上版本支持推送报警信息至企业微信或飞书。
进入风险识别管理
- 进入数据保护伞。
- 登录DataWorks控制台。
- 在左侧导航栏,单击工作空间列表。
- 选择工作空间所在地域后,单击相应工作空间后的数据开发。
- 单击左上方的
图标,选择。 - 单击立即体验,进入数据保护伞。
- 进入风险识别管理。在数据保护伞页面的左侧导航栏,单击,默认进入旧版风险识别管理页面。您需要单击体验新版本切换至新版,使用新版风险识别管理功能创建并管理风险识别规则。
新版风险识别管理内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。详情请参见系统内置风险识别规则及新建风险识别规则。
系统内置风险识别规则
新版风险识别管理功能支持的内置规则如下表。
| 规则名称 | 规则类型 | 规则等级 | 规则配置 |
|---|---|---|---|
| 非工作时间查询大数据量敏感数据 | 数据访问风险 | 低 | 如下时间段查询数据量大于10000时命中该规则。
|
| 相似SQL查询 | 数据访问风险 | 低 | 十分钟内查询相似SQL大于等于10次时,命中该规则。 |
| 批量查询大量敏感数据 | 数据访问风险 | 中 | 单次查询数据量大于10000时命中该规则。 |
| 批量导出大量敏感数据 | 数据导出风险 | 高 | 单次导出数据量大于10000时命中该规则。 |
| 非工作时间导出大数据量敏感数据 | 数据导出风险 | 高 | 如下时间段导出数据量大于10000时命中该规则。
|
新建风险识别规则
- 新建规则的规划和准备工作。您可以基于实际场景,选择从数据位置、数据属性、用户信息、操作时间等维度识别风险数据,配置更精细的风险识别条件。当使用数据属性及用户信息的不同细分类别配置风险识别条件时,需要进行如下准备工作。
风险识别维度 细分类别 描述 数据属性 数据分级 识别指定级别的风险数据,您需要提前定义数据的分级,详情请参见配置敏感数据分类分级。 数据分类 识别指定类别的风险数据,您需要提前定义数据的类别,详情请参见通过内置规则识别。 敏感字段类型 识别指定敏感字段的风险数据,您需要提前定义敏感字段类型,详情请参见通过内置规则识别。 用户信息 用户组 识别当前登录账号下指定用户组的风险数据,您需要提前配置用户组,详情请参见配置用户组。 RAM角色 识别当前登录账号下RAM用户的风险数据,您需要提前在当前阿里云账号下添加RAM用户,详情请参见创建RAM用户。 - 在风险识别管理页面右上角,单击+风险识别规则。
- 在新建风险识别规则对话框配置规则信息。说明 当前仅支持新建统计关联规则。统计关联规则用于对单一事件进行聚合统计,阈值比较,当事件数量超过设置的阈值时,则命中规则。例如,设置的规则为低权限用户在非工作时间访问敏感数据超过1万条。
- 配置规则基本信息。
参数 描述 规则名称 新建的风险识别规则名称。名称长度为1~30字符,并且不能包含特殊字符。 规则类型 风险识别规则的类型,取值如下: - 数据访问风险:访问数据时可能存在风险。
- 数据导出风险:导出数据时可能存在风险。
- 数据操作风险:创建、修改、删除数据时可能存在风险。
- 其他:其他类型。
规则等级 风险识别规则的级别。包含低、中、高等级。您可以根据实际需求,将识别重要数据信息的规则设置为高等级。 描述信息 风险识别规则的描述信息。长度为1~100字符。 - 配置风险识别条件及阈值。
- 配置风险识别的条件。DataWorks支持设置从数据位置、数据属性、用户信息、操作时间等维度识别风险数据,帮助您基于实际场景配置更精细的风险识别条件。说明 当前最多支持添加10个条件。单击所选维度中的+添加比较关系即可添加多个识别条件,并且添加的多个条件逻辑关系为且。
- 数据位置用于设置识别风险数据的位置范围,可以精确到字段。
参数 描述 是否必配 是否过滤所选位置 选择是否过滤所选位置的风险数据。取值如下: - ≠:表示过滤目标位置,即配置的风险识别规则不会识别所选位置中的风险数据。
- =:表示仅识别目标位置,即配置的风险识别规则仅识别所选位置中的风险数据。
是 数据引擎名称 选择识别规则限定的引擎范围。 说明- 当前仅支持识别MaxCompute引擎中的风险数据。
- 每条比较关系只能选择一个引擎,如果您需要限定多个引擎范围,则请单击+添加比较关系配置多条风险识别条件。
是 项目空间名称 选择识别规则限定的目标项目空间。项目空间名称需要配置为所选引擎中的项目空间,您可以在下拉列表选择,也可以输入项目空间名称进行搜索。 说明- 下拉列表最多显示100个项目空间名称。
- 名称搜索支持模糊匹配,即输入关键词,即可搜索到名称包含关键词的项目。
- 每条比较关系只能选择一个项目空间,如果您需要限定多个项目空间范围,则请单击+添加比较关系配置多条风险识别条件。
是 表名 输入识别规则限定的目标表。您可以输入单个或多个表名称,多个表名称之间使用英文逗号(,)分隔。输入表名称的说明如下: - 单个表名不超过30个字符,输入的表名整体不超过100字符。
- 支持使用
*通配符。例如,*name表示识别所有名称为name后缀的表数据。
否。不配置默认识别所选项目空间中所有表的风险数据。 字段名 输入识别规则限定的目标字段。您可以输入单个或多个字段名称,多个字段名称之间使用英文逗号(,)分隔。输入字段名称的说明如下: - 单个字段名不超过30个字符,输入的字段名整体不超过100字符。
- 支持使用
*通配符。例如,*name表示识别所有名称为name后缀的字段数据。
否。不配置默认识别所有表字段的风险数据。 - 数据属性用于筛选识别风险数据的属性范围。
参数 描述 属性 您可以根据业务需求选择识别风险数据的属性类别。当前支持的属性类别如下: - 数据分级:用于指定识别哪个级别的风险数据。您需要提前定义数据的分级,详情请参见配置敏感数据分类分级。
- 数据分类:用于指定识别哪个类别的风险数据。您需要提前定义数据的类别,详情请参见通过内置规则识别。
- 敏感字段类型:用于指定识别哪类敏感字段的风险数据。您需要提前定义敏感字段类型,详情请参见通过内置规则识别。
是否过滤所选属性 选择是否过滤所选属性的风险数据。取值如下: - ≠:表示过滤目标属性,即配置的风险识别规则不会识别所选属性中的风险数据。
- =:表示仅识别目标属性,即配置的风险识别规则仅识别所选属性中的风险数据。
- 用户信息
- 操作时间用于筛选识别风险数据的操作时间范围。
参数 描述 选择时间范围 单击目标星期及小时,即可选择所需的时间范围。您可以选择周一至周日的任意时间,精确到小时。 是否过滤所选时间 - ≠:表示过滤目标操作时间,即配置的风险识别规则不会识别所选操作时间中的风险数据。
- =:表示仅识别目标操作时间,即配置的风险识别规则仅识别所选操作时间中的风险数据。
- 数据位置
- 配置阈值。DataWorks支持事件聚合统计,您也可以选择通过比较时间窗口内事件发生次数的阈值识别风险数据。单击+添加阈值比较 即可配置多个风险识别阈值条件。
参数 描述 阈值类别 - 数据量:通过操作的数据量大小识别风险数据。当操作的数据量超过设置的阈值时,则此次操作命中风险。数据量取值为1至1000万的整数,单位为条。默认取值为1。
- 发生次数:通过指定时间范围单一事件发生的次数识别风险数据。当在指定时间范围内,某单一事件的发生次数超过设置的阈值时,则命中风险。发生次数取值为1至10000的整数,单位为次。默认取值为10。说明 DataWorks自动帮您归类识别单一事件。
时间窗口 事件发生次数限定的时间范围,默认为10分钟。取值如下: - 分钟:取值范围为
1~59。 - 小时:取值范围为
1~23。 - 天:取值范围为
1~7。
说明 仅当阈值类别取值为发生次数,时需要配置该参数。
- 配置风险识别的条件。
- 配置规则基本信息。
管理风险识别规则
在风险识别管理页面,您可以查看已创建的规则列表及规则详细信息。同时,也可以编辑修改目标规则,或批量操作多个规则。
| 区域 | 描述 |
|---|---|
| 1 | 在该区域,您可以通过风险类型、风险等级、风险类型、是否内置、风险规则名称等条件进行筛选,查看目标条件的规则列表。 说明 通过名称搜索识别规则时支持模糊匹配,输入关键词即可搜索名称中包含关键词的风险识别规则。 |
| 2 | 在该区域,您可以执行如下操作:
|
| 3 | 在该区域,您可以批量操作目标规则。当前支持执行批量生效、批量失效、批量删除等批量操作,单击 图标,即可切换批量操作类别。说明 DataWorks不支持删除系统内置的风险识别规则,仅支持删除失效状态的自定义规则。 |
图标,即可使失效的规则重新生效。新旧版风险识别规则配置项位置对比说明
新旧版本风险识别规则配置项的配置位置存在差异,具体如下表。| 序号 | 风险识别规则配置项 | 旧版配置位置 | 新版配置位置 |
|---|---|---|---|
| 1 | 规则名称 | ||
| 2 | 规则责任人 | 。 默认规则的负责人为当前登录账号。 | 无该配置项,DataWorks自动记录规则责任人。 |
| 3 | 规则的描述信息 | ||
| 4 | 规则生效的引擎 | 区域,选择条件选择数据位置时,所配置的数据引擎名称。 | |
| 5 | 规则生效的项目空间 | 区域,选择条件选择数据位置时,所配置的项目空间名称。 | |
| 6 | 规则所属的分类 | 区域,选择条件选择数据属性时,属性类别选择数据分类。 | |
| 7 | 规则所属的分级 | 区域,选择条件选择数据属性时,属性类别选择数据分级。 | |
| 8 | 命中规则的敏感字段类型 | 区域,选择条件选择数据属性时,属性类别选择敏感字段类型。 | |
| 9 | 规则所属的操作类型 | 取值包括:
| 取值包括:
|
| 10 | 规则生效的表 | 区域,选择条件选择数据位置时,所配置的表名。 | |
| 11 | 规则生效的字段 | 区域,选择条件选择数据位置时,所配置的字段名。 | |
| 12 | 用于配置哪些用户访问时会触发该规则。 | 区域,选择条件选择用户信息时,所选择的信息类别。 | |
| 13 | 规则限制的操作数据量,当超出限制的数据量范围时命中规则。 | 在区域,阈值比较下配置数据量范围。 | |
| 14 | 规则限制的访问时间范围,当访问操作与该时间范围匹配时命中规则。 | 间 | 区域,选择条件选择操作时间时,所设置的时间配置。 |
| 15 | 触发规则后的告警方式 | 不支持 |