DSC默认为数据资产提供并开启内置审计告警规则,包括数据库策略、OSS策略、MaxCompute策略,并支持自定义策略。审计告警规则可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航,是等保合规利器。本文介绍数据审计支持的内置审计告警规则及如何自定义审计规则。
前提条件
已为需要查看审计日志并支持日志审计功能的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
背景信息
开启数据审计后,DSC可以根据审计模式采集对应的库的操作审计日志,然后通过已开启的审计告警规则,根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险并上报告警信息。
使用说明
内置审计告警规则:适用的数据源为OSS、MaxCompute和RDS、PolarDB等数据库,默认已自动开启,并对支持的资产类型生效。
自定义审计规则:支持按照访问内容敏感类型、访问内容敏感程度、库、表、字段、访问源、数据库实例等多种维度进行审计规则设置,安全策略灵活且自由,实现精细化监控。您可根据不同场景不同类型的应用进行个性化定制,精确掌控数据库访问信息。
查看内置审计规则
内置审计规则可分为以下类型:数据库策略、OSS策略、MaxCompute策略。参考以下步骤查看具体审计规则类型及规则详情。
登录数据安全中心控制台。
在左侧导航栏,选择。
在策略配置页签中,单击数据库策略、OSS策略或MaxCompute策略子页签,在左侧规则分类列表,查看审计规则类型。
选中规则前的复选框,查看目标规则类型下的具体规则列表。
在右侧规则列表,查看具体的规则名称、规则类型、风险级别、状态、命中次数等信息。
单击目标规则对应操作列的详情,可查看对应审计规则支持的资产类型和详细信息。
添加自定义审计规则
如果内置审计规则无法满足您的审计需求,您可以自定义审计规则。创建自定义审计规则成功后,默认开启该自定义审计规则。
在页签中,单击新增规则。
在新增规则面板,完成审计规则配置,然后单击提交。
配置项
描述
基本信息
规则名称:自定义审计规则的名称,建议输入有实际意义的名称以便有效识别审计规则。
规则类型:从下拉列表中选择审计告警的规则类型。
可选类型:SQL注入尝试利用、SQL注入尝试绕过、存储过程滥用、缓冲区溢出、基于报错的SQL注入、基于布尔值的SQL注入、基于时间的SQL注入、拒绝服务漏洞、数据库探测、拖库攻击、隐通道攻击、应用账号风险操作、运维人员风险操作、异常语句、大流量返回、配置操作、敏感数据审计、基于UNION的SQL注入、其它。
风险级别:从下拉列表中选择审计告警规则的风险级别:高、中或低。
资产类型:从下拉列表中选择审计告警规则生效的资产类型。
重要您需要根据内置审计规则的分类,确定已选规则类型支持所选的资产类型。否则,自定义审计规则不生效。
规则描述:输入审计规则的说明信息。
敏感数据模型
资产类型为RDS、PolarDB、自建数据库时,可配置敏感数据识别模板和模型。
资产
根据选择的资产类型,选择规则生效的具体资产对象。
客户端
根据选择的资产类型,配置规则生效的客户端条件。
行为
配置规则的生效的操作类型和状态码条件。
结果
根据选择的资产类型,配置规则生效的条件。
资产类型为Redis时,不支持该配置项。
开启或关闭审计告警规则
如果无需使用指定内置规则或已开启的自定义审计规则,您可以关闭审计告警规则状态开关。如果需要重新使用指定的审计告警规则,您可以打开审计告警规则状态开关。
在策略配置页签中,单击数据库策略、OSS策略、MaxCompute策略或自定义策略子页签。
在规则列表中,找到目标规则名称,单击状态列的开关。
配置告警通知
为了及时收到审计告警通知,您需要在左侧导航栏选择,在告警通知页签中,新增告警通知配置。具体操作,请参见配置邮箱、短信和电话告警通知。
后续操作
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。
相关文档
DSC提供系统白名单功能,支持将您数据资产中信任的账号、IP地址等加入白名单。DSC对加入白名单的账号或IP地址等产生的风险行为不进行审计告警,可以有效帮助您减少无效告警。具体内容,请参见管理白名单。