使用数据安全中心可以监测和防范各类数据泄露风险,例如身份盗用、越权操作、违规操作、操作失误、基础设施缺陷以及数据故意泄密等。检测到异常行为并触发异常告警后,您需要仔细分析审计日志,从而评估被记录操作的正当性,并采取相应的措施。
常见数据泄露原因
在获得用户授权后,异常告警功能可检测以下类型的问题:
内部数据泄漏
笔记本电脑和移动设备的丢失或失窃
敏感数据越权访问和存储
在职员工、待离职员工、合作伙伴、外包人员盗窃数据
员工外发、打印和复制敏感数据
意外传输敏感数据
外部攻击导致的数据泄漏
基础设施不可控,避免数据存储系统存在安全漏洞
配置不当导致的外部攻击
敏感数据越权访问和存储
支持的数据库
数据安全中心异常告警功能支持检测的数据库类型包括:RDS、PolarDB、PolarDB-X、OSS和MaxCompute。
准备工作
在数据安全中心控制台完成资产接入。具体操作,请参见通用数据库授权。
为资产开启安全审计。具体操作,请参见配置并开启审计模式。
配置风险告警通知。具体操作,请参见配置邮箱、短信和电话告警通知。
查看并处理异常告警
异常告警功能通过使用内置的行为异常自学习模型和流转异常自学习模型分析审计日志,检测敏感数据相关的异常并上报告警。关于内置模型的更多信息,请参见内置检测模型说明。
登录数据安全中心控制台。
在左侧导航栏,选择。
在异常告警页面,查看检测上报的告警。
当发现存在告警项后,单击目标异常告警操作列的查看详情。关注事件描述和对象信息,或单击原始日志进行评估和确定事件风险和影响。
排查后,在异常告警页面,单击异常事件所在行的处理,设置事件核查结果和处理记录,单击处理完成。
在左侧导航栏,单击。
在白名单页签,单击新增白名单。在新增白名单对话框,配置白名单。
配置白名单时,可以对一些资产账号加白,不进行审计和异常检测。
典型案例
以下案例均为产品模拟的告警截图。
违规操作(某互联网公司)
问题描述:数据安全中心检测到UA使用异常,收到邮件告警。
排查结果:查看数据安全中心日志,排查出有内部员工通过电报App将文件分享出去。
处理方法:在OSS控制台将文件下载链接取消,并且编写自定义异常规则,对非常规UA下载进行预警。
身份冒用(某教育公司)
问题描述:数据安全中心检测到异常地址访问。
排查结果:经确认用户本人未进行对应操作,排查后发现地址是出口IP,出口IP无法定位到内部具体执行人。
处理方法:修改配置文件中的AK后 , 在AccessKey管理控制台紧急停用AK、SK ,终止异常访问。
突发测试(某物流公司)
问题描述:数据安全中心检测到文件下载量异常。
排查结果:员工在进行压力测试,因此产生的事件较多。
处理方法:未发现违规。
合作方在家办公(某制造企业)
问题描述:数据安全中心检测到文件下载量异常。
排查结果:合作方员工在家未经审批下载了大量文件进行办公。
处理方法:通过数据安全中心控制台的页面中的审计日志持续监控后续行为,观察是否有违规行为。