自定义检测模型

数据安全中心DSC(Data Security Center)的自定义检测模型功能支持用户根据业务需求和安全策略来创建特定的数据检测和告警规则,帮助用户实现数据库活动精细化监控、风险预警,从而保障数据资产不受威胁。本文介绍如何创建自定义检测模型。

支持的数据资源

RDS、OSS和MaxCompute。

创建自定义检测模型

如果内置检测模型无法满足您的业务或安全策略需求,您可以自定义检测模型。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > 访问行为异常

  3. 异常检测模型页签下,单击自定义检测模型

  4. 单击添加规则

  5. 新增规则对话框,完成自定义模型参数配置,并单击确定

    参数

    说明

    规则名称

    输入模型的名称,建议输入有实际意义的名称以便有效识别该规则。

    风险级别

    从下拉列表中选择模型的风险等级。

    资产类型

    选择模型检测的资产类型,可选项:

    • OSS

    • MaxCompute

    • RDS

    过滤条件

    根据实际需要配置过滤条件,指定需要检测的异常事件。

    继续添加

    单击继续添加,添加多条过滤条件。多条过滤条件之间是和(AND)关系。

    告警条件

    设置告警检测的时间单位和告警产生的条件。DSC基于过滤条件命中的数据进行异常检测,在自定义时间段内满足告警条件,会上报异常事件告警。

    说明 告警条件中的任何UA是指任何浏览器的UserAgent。UserAgent的信息包括硬件平台、系统软件、应用软件和用户个人偏好,通过UA可以分析出浏览器名称、浏览器版本号、渲染引擎、操作系统。告警条件选择了任何UA,可以抓取UserAgent中的相应异常事件。

    完成模型创建后,您可以在模型列表中查看该模型,如有需要您也可以编辑该模型。新创建的模型默认为未开启状态。模型需要启用后才会生效。

  6. 打开模型状态列的开关,启用该模型。

后续操作

自定义检测模型后,后续您需要关注异常告警上报情况。具体操作,请参见发现和处理异常告警