管理白名单

数据安全中心DSC(Data Security Center)提供系统白名单功能,支持将您数据资产中信任的账号、IP地址等加入白名单。DSC对加入白名单的账号或IP地址中数据资产不进行审计告警和异常告警,可以有效帮助您减少无效告警。本文介绍如何新增、编辑、删除系统白名单。

前提条件

已完成支持配置白名单的数据资产授权:

背景信息

DSC针对已授权数据资产的风险活动,提供审计告警和异常告警检测,默认开启并按照内置的审计告警规则和异常检测模型进行检测。

  • 内置审计规则类型有异常操作规则、数据泄漏规则、漏洞攻击规则、SQL注入规则、风险操作规则,同时支持添加并开启自定义审计规则。具体内容,请参见配置并开启审计告警规则

  • 内置异常检测模型有流转异常和行为异常,同时支持添加并开启自定义异常检测模型,具体内容,请参见内置检测模型说明

如果您确认某些IP或账号下数据库活动正常,可以新增白名单规则。DSC后续检测时,如果命中白名单规则,则不再对数据库或OSS操作行为或事件进行告警提示。

您在处理审计告警或异常告警时,如果选择加入白名单作为处理方式,则加入白名单的账号、IP地址等会展示在系统白名单列表中,对应白名单规则名称格式为告警时间+审计告警规则名称或异常检测模型名称,例如2024-05-21 20:58:09 OSS规则测试。具体内容,请参见查看和处理审计告警发现和处理异常告警

使用限制

同一个白名单规则中:

  • 仅支持选择一种资产类型。

  • 至少设置一个账号、IP或IP段。

  • IP或IP段总数不能超过10个,账号数量不能超过10个。

  • 如果包含多个实例、多个账号,实例之间、账号之间是或关系,实例和账号之间是且的关系。例如,有实例A、实例B、账号A、账号B,表示是(实例A或实例B)且(账号A或账号B)。

生效说明

新增、编辑或删除系统白名单后,新配置对审计告警和异常告警统一生效,且会在1分钟内生效。

新增白名单规则

如果您不需要对资产中的某些账号、IP地址、IP段的数据进行审计和检测,可以将此类账号、IP地址、IP段添加到系统白名单。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,单击系统设置

  3. 系统设置页面,单击白名单页签。

  4. 白名单页签,单击新增白名单

  5. 新增白名单对话框中,完成参数配置,然后单击确定

    image

    参数

    说明

    规则名称

    自定义白名单规则名称,建议设置为便于识别的名称。最多支持输入100个字符(50个中文汉字)。

    IP

    输入加入白名单的IP地址或IP段。

    支持填写IP或IP段总数不超过10个,您可以通过回车换行方式或逗号分割方式填写多个IP或IP段。

    数据资产

    选择资产类型,然后根据页面提示选择对应的资产,例如RDS的实例、数据库、表名称和账号。

    支持选择多个资产实例和账号,并支持添加自定义账号。

    操作类型

    默认为全部操作类型,您可根据业务需求选择对应数据资产的一个或多个操作类型。

  6. 完成添加白名单规则后,可在白名单规则列表,根据资产类型、账号、IP或数据资产实例名称,搜索查看对应的白名单规则。

    image

编辑或删除白名单规则

如果需要对指定IP或账号下数据资产重新检测,以进行审计告警和异常告警,可以编辑或删除对应的白名单规则。

说明

编辑已有白名单规则时,不支持修改资产类型

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,单击系统设置

  3. 系统设置页面,单击白名单页签。

  4. 单击目标白名单操作列的编辑删除,修改或删除对应白名单。

相关文档

您可以通过阿里云SDK调用以下API,查询DSC已授权数据资产信息。数据安全中心支持的语言及依赖安装方法,请参见数据安全中心SDK。阿里云SDK集成方式说明,请参见阿里云SDK

常见问题

  • 配置白名单时,支持添加自定义账号吗?可以添加多少个?

    支持。同一白名单规则中的配置的账号总数不能超过10个。

  • 在控制台配置白名单规则时,为什么选择不到已授权数据资产中的数据库、数据表?

    已授权数据资产扫描任务未完成,需要完成识别任务扫描。具体内容,请参见识别任务说明

  • 为什么目标数据资产实例已添加到白名单,还会产生审计或异常告警?

    如果白名单规则中,没有设置任何账号、IP和IP段,则该白名单规则是无效的。