安全风险功能提供多种内置的风险检测专家项,旨在帮助组织通过预设的风险识别规则,主动发现潜在的安全威胁和数据违规操作。该功能支持以可视化方式进行风险管理,从而提高风险检测和响应的效率。此外,您还可以根据具体业务场景自定义风险识别规则,以满足不同的安全策略和业务需求。
功能介绍
安全风险功能主要由以下三个核心模块构成,它们共同协作,形成从“规则定义”到“事件发现”再到“告警响应”的完整闭环。
风险检测项
这里是风险识别的规则库。它包含系统内置的专家规则(如“批量查询敏感数据”、“频繁删除敏感数据”等),同时也支持您根据独特的业务需求,创建自定义的检测规则,定义何种行为应被视为风险。
风险事件
基于开启的风险检测项,命中并生成风险事件。所有被检测到的安全风险事件都会在这里集中展示。您可以通过风险项名称、发生时间等条件进行筛选和追溯,是日常安全巡检和事后分析的核心界面。
告警策略
为了实现主动响应,您可以在此配置告警策略。当满足特定条件的风险事件发生时(例如,任意“高危”事件,或某个具体的“批量导出敏感数据”事件),系统将通过邮件、短信或钉钉/企业微信机器人等方式,自动将告警信息推送给指定人员。
风险检测识别结果的时效性为 T+1。这意味着,风险检测并非实时进行,而是基于前一天(T)的数据进行离线分析。因此,您在今天(T+1)看到的风险事件,是反映了昨天发生的操作。请在进行风险分析和事件追溯时,注意这一时间特性。
限制说明
适用用户:开通DataWorks的专业版、企业版,且在安全中心选择DataWorks新版数据安全的用户。
支持地域:华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、华南1(深圳)、西南1(成都)、中国香港、日本(东京)。
支持计算源:MaxCompute、Hologres。
前提条件
登录DataWorks主账号或RAM账号,且拥有以下权限或角色满足任一条件:
拥有AliyunDataWorksFullAccess权限的账号。
拥有DataWorks租户安全管理员角色的账号。
拥有DataWorks租户管理员角色的账号。
已完成新用户指引。
进入安全风险查看页面
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的,在右侧页面中单击进入安全中心。
在左侧导航栏,选择进入页面。
配置风险检测项
风险检测项用于定义需要被监控的特定数据操作行为模式。通过创建和配置检测项,您可以将潜在的安全威胁或不合规操作识别为具体的、可被追溯的风险事件。
内置风险检测项
支持修改默认内置风险检测项的配置,但不支持删除。
DataWorks系统内置常见的风险检测项。用户可以根据数据安全的需要,自定义风险检测项。系统部分内置风险检测项如下:
分类 | 风险项名称 | 风险描述 | 判定条件 / 默认阈值 |
异常来源 | 数据出境 | 来自境外IP(境外IP地址库、自定义IP列表)的数据下载行为。 重要 仅支持中国大陆地域,海外和中国香港不支持。 | - |
风险IP下载数据 | 来自风险IP(风险情报库、自定义IP列表)的数据下载行为。 | - | |
风险IP上传数据 | 来自风险IP(风险情报库、自定义IP列表)的数据上传行为。 | - | |
异常行为模式 | 相似SQL查询 | 指定时间范围内,相似SQL查询的次数超过阈值。 | 10分钟内查询次数 ≥ 10次 |
非工作时间批量查询敏感数据 | 在非工作时间,单次查询敏感数据的记录数超过阈值。 |
| |
非工作时间批量导出敏感数据 | 在非工作时间,单次导出敏感数据的记录数超过阈值。 | ||
删除敏感数据所在表 | 删除了包含敏感字段的表。 | - | |
清空敏感数据所在表 | 清空了包含敏感字段的表。 | - | |
高频操作 | 频繁查询敏感数据 | 指定时间范围内,查询敏感数据次数超过阈值。 | 5分钟内操作次数 ≥ 5次 |
频繁更新敏感数据 | 指定时间范围内,更新敏感数据次数超过阈值。 | ||
频繁删除敏感数据 | 指定时间范围内,删除敏感数据次数超过阈值。 | ||
频繁上传敏感数据 | 指定时间范围内,上传敏感数据次数超过阈值。 | ||
频繁导出敏感数据 | 指定时间范围内,导出敏感数据次数超过阈值。 | ||
批量操作 | 批量查询敏感数据 | 单次查询敏感数据记录数超过阈值。 | 单次操作记录数 ≥ 10000条 |
批量更新敏感数据 | 单次更新敏感数据记录数超过阈值。 | ||
批量删除敏感数据 | 单次删除敏感数据记录数超过阈值。 | ||
批量上传敏感数据 | 单次上传敏感数据记录数超过阈值。 | ||
批量导出敏感数据 | 单次导出敏感数据记录数超过阈值。 |
自定义检测项
该功能允许您根据业务需求,组合不同的操作维度(如操作目标、操作类型、数据量、频率、操作者和时间)来创建精细化的风险识别规则。系统将依据已生效的识别规则来分析数据操作日志,并生成相应的风险事件。
在安全风险页面,单击风险检测项页签,进入风险检测项列表页面。
单击新增检测项按钮,进行自定义检测项配置,配置详情可参考下表:
基本信息说明:用于定义检测项的基础属性和元数据。
参数
必填
说明
策略名称
是
为该检测项命名,名称应能清晰地反映其监控目的,例如“批量导出核心客户信息检测”。
风险类型
是
对风险进行分类,便于后续的统计和管理。
行为风险:通常指由用户或系统账户执行的、可能存在安全隐患的操作。
流转风险:侧重于数据在不同系统、应用或网络边界之间传输时可能产生的风险。
风险等级
是
定义该检测项所对应风险的严重程度。系统依据此等级进行风险聚合和告警。
高危:可能导致严重数据泄露、业务中断或重大合规问题的行为。
中危:可能存在潜在安全威胁,需要安全人员关注和审计的行为。
低危:一般性的不规范操作,通常用于审计或统计目的。
备注信息
否
对该检测项的详细描述,例如其创建背景、监控的具体业务场景或相关负责人信息。
操作目标:用于定义规则的监控范围,即哪些数据资产的操作会被纳入检测。
参数
必填
说明
检测范围
是
定义要监控的数据资产范围。您可以根据数据管理策略,选择一个或多个维度进行组合。
按位置:根据数据存储的物理或逻辑位置(如特定的数据库实例、存储桶)进行筛选。选择Hologres,层级依次为数据库名称>表名称。选择MaxCompute时,层级依次为项目名称>表名称。
按分类:根据数据分类进行筛选。
按分级:根据数据的敏感级(如S1、S2、S3)进行筛选。
当选择多个维度时,它们之间为
AND关系,即同时满足所有选定维度的资产才会被监控。操作规则定义:这部分是规则定义的核心,用于精确描述何种行为模式应被视为风险。
参数
必填
说明
数据操作
否
定义需要监控的 SQL 操作类型。默认为空,表示监控所有操作类型。
行为风险:可选操作包括
Select,Update,Insert,Delete,Alter,Drop,Truncate等。流转风险:可选操作包括
TunnelUpload、TunnelDownload等。
操作数据量
否
设置数据操作量的阈值。不启用则不限制。
单次操作数据量:当单次操作影响的数据行数大于或等于设定值时触发。
累计时间内的数量:当在指定时间窗口内,累计操作的数据行数大于或等于设定值时触发。
操作频率
否
设置数据操作频率的阈值。不启用则不限制。
例如:在
1分钟内,执行5次DELETE操作。表示1分钟内第5次命中规则时,将生成一次告警。
操作者
否
指定该规则作用于哪些用户或用户组。
启用此项:规则仅对选定的用户生效。
不启用/留空:规则对所有用户生效。请注意,这可能会产生大量风险事件。
操作时间
否
定义规则生效的时间窗口。不启用则表示全天24小时生效。您可以按周和小时(0-23点)灵活选择一个或多个时间段。例如,仅在非工作时间(如下午6点至次日上午9点)监控批量数据导出行为。
操作按钮:
立即生效:保存当前配置并立即激活该检测项。系统将从下一个检测周期(T+1)开始依据此规则进行风险分析。
仅保存:保存当前配置,但不激活。该检测项将处于“禁用”状态,不会用于风险分析,您可以在后续手动启用它。
取消:放弃本次所有配置,返回列表页面。
启用/停用风险检测项
完成检测项创建后,即可在风险检测项页签内对风险项进行启用或停用。
已启用:DataWorks会识别符合该检测项规则的事件,并标记为风险事件。
未启用:DataWorks依然会保留已标记的风险事件,后续不再识别新事件。
进行风险检测项启动时,单个启用或停用,亦可选择多个风险项进行批量开启或批量关闭。
编辑/删除风险检测项
完成检测项创建后,若需对风险检测项进行再编辑或删除,您可在风险检测项页签内对风险项进行编辑或删除。
编辑:重新配置风险检测项的信息,除过策略名称不可编辑外,其余配置信息均可重新配置。
删除:删除已配置的风险检测项。删除后不再生成新的风险事件。
风险检测项在编辑或删除时,可通过操作列对风险检测项进行单独编辑或删除,亦可多选多个风险检测项后批量删除。
处理风险事件
查看风险事件
当您配置并启用的风险检测项被触发后,系统会生成相应的风险事件。您可以风险事件页签中查看所有事件的详细列表。
字段 | 说明 | |
发生时间 | 操作人触发该事件的日期和时间。 | |
风险类型 | 该事件被识别为风险项后,对应的风险类型。 | |
风险项 | 该事件被识别为哪个安全风险。 | |
操作者 | 触发该事件的账号。一般是登录账号或数据源的默认访问身份。 | |
风险等级 | 评估该风险可能造成的后果及影响。 | |
处理状态 | 用于标记该风险的处置结果:已处理、未处理。 | |
相关事件 | 单击操作列的详情,查看相关事件。相关事件描述一系列事件的执行顺序,帮助安全管理员评估该事件的实际影响。 | |
处理风险事件
在安全风险页面的风险事件页签查看风险事件,而且可对风险事件进行处理,在操作列单击立即处理按钮,标记风险事件的处理状态。
告警策略配置
告警策略功能允许您针对不同的安全风险事件,自定义通知规则,确保相关责任人能够在第一时间获取风险信息并及时响应。
应用场景
在日常数据安全管理中,手动巡检风险事件效率低下且响应滞后。您可能需要根据风险的严重性或类型,将告警自动分发给不同团队。
场景一:关键风险实时响应
当系统检测到高危等级的安全事件时,需要立即通过短信和IM工具(例如钉钉等)通知安全负责人,以便进行紧急处理。
场景二:特定行为重点关注
数据安全团队希望监控所有批量导出敏感数据的事件,并自动发送邮件通知给团队所有成员进行审计。
场景三:按职能分类告警
数据行为风险相关的告警发送给数据治理团队,而数据流转风险相关的告警则发送给架构师团队。
功能作用
告警策略的核心作用是实现安全风险的自动化、差异化通知,将正确的信息在正确的时间发送给正确的人。
自定义告警规则:您可以根据风险等级、风险类型或具体的风险事件来灵活定义触发条件。
多渠道实时触达:支持通过邮件、短信、钉钉群/飞书群/企业微信机器人等多种方式发送告警,确保信息不被遗漏。
提升响应效率:变被动的“定位风险”为主动的“识别风险”,缩短从风险发生到响应处置的时间。
配置步骤
进入告警策略页面
在安全风险模块下,选择告警策略页签,单击新建告警策略。
填写基本信息
策略名称:为您的策略命名,例如“高危事件短信告警”。
策略描述(可选):简单描述该策略的用途。
定义触发条件:这是策略的核心,决定什么情况下会触发告警。
选择一个触发条件类型:
安全风险等级:最宽泛的规则。选择高危、中危或低危,所有该等级的风险事件都会触发此告警。
安全风险类型:按类别进行规则设置。选择数据行为风险或数据流转风险,该类别下的所有事件都会触发。
安全风险事件:最精细的规则。您可以选择一个或多个具体的事件,例如批量查询敏感数据、频繁更新敏感数据等。
配置告警通知
单击下拉框的添加通知方式,选择您希望的通知渠道(如邮件、短信、钉钉群机器人等)。
为每种方式选择对应的 通知对象。
邮件/短信:选择一个或多个 RAM 用户/角色。
机器人:填写对应群组的 Webhook 地址。
您可以为同一个策略添加多种通知方式。
保存与管理
单击新建策略保存。
保存后,策略会出现在列表中,您可以随时对其进行查看、编辑或移除。