配置并开启审计告警规则

DSC默认为数据资产提供并开启内置审计告警规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。审计告警规则可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航,是等保合规利器。本文介绍数据审计支持的内置审计告警规则及如何自定义审计规则。

前提条件

已为需要查看审计日志并支持日志审计功能的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式

背景信息

开启数据审计后,DSC可以根据审计模式采集对应的库的操作审计日志,然后通过已开启的审计告警规则,根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险并上报告警信息。

使用说明

  • 内置审计告警规则:适用的数据源为OSS、MaxCompute和RDS、PolarDB等数据库,默认已自动开启,并对支持的资产类型生效。

  • 自定义审计规则:支持按照访问内容敏感类型、访问内容敏感程度、库、表、字段、访问源、数据库实例等多种维度进行审计规则设置,安全策略灵活且自由,实现精细化监控。您可根据不同场景不同类型的应用进行个性化定制,精确掌控数据库访问信息。

查看内置审计规则

内置审计规则可分为以下类型:数据库审计规则、OSS审计规则、MaxCompute审计规则。参考以下步骤查看具体审计规则类型及规则详情。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > 数据审计

  3. 审计配置页签,单击规则配置页签。

  4. 单击数据库审计规则OSS审计规则MaxCompute审计规则子页签,在左侧规则分类列表,查看审计规则类型。

    image

  5. 在右侧规则列表,查看具体的规则名称规则类型风险级别、启用状态命中次数

    您也可在左侧规则分类列表,选中规则前的复选框,查看目标规则类型下的具体规则列表。

  6. 单击目标规则对应操作列的详情,可查看对应审计规则支持的资产类型详细信息

    image

添加自定义审计规则

如果内置审计规则无法满足您的审计需求,您可以自定义审计规则。创建自定义审计规则成功后,默认开启该自定义审计规则。

  1. 规则配置页签,单击自定义审计规则子页签。

  2. 单击新增规则

  3. 新增规则面板,完成审计规则配置,然后单击提交

    配置项

    描述

    规则名称

    自定义审计规则的名称,建议输入有实际意义的名称以便有效识别审计规则。

    规则类型

    从下拉列表中选择审计告警的规则类型。可选:

    • SQL注入尝试利用

    • SQL注入尝试绕过

    • 存储过程滥用

    • 缓冲区溢出

    • 基于报错的SQL注入

    • 基于布尔值的SQL注入

    • 基于时间的SQL注入

    • 拒绝服务漏洞

    • 数据库探测

    • 配置操作

    • 其他

    风险级别

    从下拉列表中选择审计告警规则的风险级别:高、中或低。

    资产类型

    从下拉列表中选择审计告警规则生效的资产类型。

    重要

    您需要根据内置审计规则的分类,确定已选规则类型支持所选的资产类型。否则,自定义审计规则不生效。

    行为信息

    输入审计规则的说明信息。

    规则描述

    根据实际需要配置规则条件。规则配置完成后,单击添加。支持添加多条规则,多条规则之间是的关系。

    DSC将在命中规则条件时,上报审计告警。

开启或关闭审计告警规则

如果无需使用指定内置规则或已开启的自定义审计规则,您可以关闭审计告警规则状态开关。如果需要重新使用指定的审计告警规则,您可以打开审计告警规则状态开关。

  1. 规则配置页签,单击数据库审计规则OSS审计规则MaxCompute审计规则自定义审计规则子页签。

  2. 在规则列表中,找到目标规则名称,单击状态列的开关。

    image

配置告警通知

为了及时收到审计告警通知,您需要在数据安全中心控制台系统设置 > 告警通知页面的告警通知页签,新增告警通知。具体操作,请参见配置邮箱、短信和电话告警通知

后续操作

开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警

相关文档

DSC提供系统白名单功能,支持将您数据资产中信任的账号、IP地址等加入白名单。DSC对加入白名单的账号或IP地址中数据资产不进行审计告警,可以有效帮助您减少无效告警。具体内容,请参见管理白名单