数据安全中心DSC(Data Security Center)通过内置的行为异常自学习模型和流转异常自学习模型,能够高效地分析审计日志,以识别与敏感数据相关的异常行为及攻击行为。当这些模型检测到潜在的风险活动时,会自动触发告警。
支持的数据库
RDS、PolarDB、PolarDB-X、OSS和MaxCompute。
支持的模型列表
您可以在数据安全中心控制台页面的异常检测模型页签下,查看DSC支持的内置检测模型。各模型的详细说明请参见下表。
模型类型 | 模型名称 | 告警原因分析 |
流转异常 | 异常地理位置下载敏感数据 | 来自异常地理位置的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 |
异常终端下载敏感数据 | 来自异常终端的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工使用非工作终端进行数据下载。 | |
异常时间下载敏感数据 | 来自异常时间的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工在非正常工作时间内进行数据下载。 | |
初次下载敏感数据 | 账号首次下载敏感数据可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
下载非常用敏感表 | 账号下载非常用敏感表可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
文件下载量异常 | 账号文件下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。 | |
下载非常用Bucket内敏感文件 | 账号下载非常用敏感Bucket可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。 | |
数据下载量异常 | 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。 | |
下载非常用敏感库(IP维度) | IP访问非历史常用库可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
下载敏感数据的IP数量过多 | 使用过多的IP进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
异常频率下载敏感数据 | 使用过快的频率进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
异常Referer下载敏感数据 | 来自异常Referer的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。 | |
执行SQL语句异常 | 异常的SQL执行可能是由于账号访问权限被外部攻击者获取,或者员工在执行新业务。 | |
行为异常 | 登录时间异常 | 来自异常时间的鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在非工作时间访问数据。 |
登录使用终端异常 | 来自异常终端鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工使用非办公终端访问数据。 | |
登录地址异常 | 来自异常地理位置的鉴权记录可能是由于账号访问权限被外部攻击者获取,可能导致数据泄露。 | |
多次尝试访问不存在的文件 | 出现多次尝试访问不存在的文件可能是存在外部攻击尝试。 | |
多次尝试访问没有权限的文件 | 出现多次尝试访问没有权限的文件可能是存在外部攻击尝试。 | |
撞库攻击告警 | 某IP连续尝试登录并且失败次数较多时,可能是攻击者使用获取的用户名和密码组合来尝试登录。 | |
来自恶意源(威胁情报数据)的敏感数据下载 | 来自恶意源的下载可能是攻击者正在尝试攻击或者已经攻击成功。 | |
账号破解告警 | 出现某账号在短时间内多次使用错误密码尝试登录,可能是存在外部攻击尝试。 | |
短时间内大量删除数据 | 某账号在短时间内大量删除数据。 | |
短时间内大量删除表 | 某账号在短时间内大量删除表。 |
开启或关闭内置检测模型
DSC默认开启所有的内置检测模型。如果无需使用某些内置检测模型,您可以关闭对应模型。
登录数据安全中心控制台。
在左侧导航栏,选择。
在策略管理页面异常检测模型页签下,查看内置检测模型。
单击目标内置检测模型状态列下的开关,开启或关闭该模型。