数据安全中心DSC(Data Security Center)提供系统白名单功能,支持将您数据资产中信任的账号、IP地址等加入白名单。DSC对加入白名单的账号或IP地址中数据资产不进行审计告警和异常告警,可以有效帮助您减少无效告警。本文介绍如何新增、编辑、删除系统白名单。
前提条件
已完成支持配置白名单的数据资产授权:
RDS、PolarDB、PolarDB-X、OceanBase、TableStore、ADB-MYSQL、ADB-PG的数据资产授权,请参见通用数据库授权。
OSS的资产授权,请参见非结构化数据OSS授权。
MaxCompute的数据资产授权,请参见MaxCompute授权。
背景信息
DSC针对已授权数据资产的风险活动,提供审计告警和异常告警检测,默认开启并按照内置的审计告警规则和异常检测模型进行检测。
内置审计规则类型有异常操作规则、数据泄漏规则、漏洞攻击规则、SQL注入规则、风险操作规则,同时支持添加并开启自定义审计规则。具体内容,请参见配置并开启审计告警规则。
内置异常检测模型有流转异常和行为异常,同时支持添加并开启自定义异常检测模型,具体内容,请参见内置检测模型说明。
如果您确认某些IP或账号下数据库活动正常,可以新增白名单规则。DSC后续检测时,如果命中白名单规则,则不再对数据库或OSS操作行为或事件进行告警提示。
您在处理审计告警或异常告警时,如果选择加入白名单作为处理方式,则加入白名单的账号、IP地址等会展示在系统白名单列表中,对应白名单规则名称格式为告警时间+审计告警规则名称或异常检测模型名称
,例如2024-05-21 20:58:09 OSS规则测试
。具体内容,请参见查看和处理审计告警和发现和处理异常告警。
使用限制
同一个白名单规则中:
仅支持选择一种资产类型。
至少设置一个账号、IP或IP段。
IP或IP段总数不能超过10个,账号数量不能超过10个。
如果包含多个实例、多个账号,实例之间、账号之间是或关系,实例和账号之间是且的关系。例如,有实例A、实例B、账号A、账号B,表示是(实例A或实例B)且(账号A或账号B)。
生效说明
新增、编辑或删除系统白名单后,新配置对审计告警和异常告警统一生效,且会在1分钟内生效。
新增白名单规则
如果您不需要对资产中的某些账号、IP地址、IP段的数据进行审计和检测,可以将此类账号、IP地址、IP段添加到系统白名单。
登录数据安全中心控制台。
在左侧导航栏,单击系统设置。
在系统设置页面,单击白名单页签。
在白名单页签,单击新增白名单。
在新增白名单对话框中,完成参数配置,然后单击确定。
参数
说明
规则名称
自定义白名单规则名称,建议设置为便于识别的名称。最多支持输入100个字符(50个中文汉字)。
IP
输入加入白名单的IP地址或IP段。
支持填写IP或IP段总数不超过10个,您可以通过回车换行方式或逗号分割方式填写多个IP或IP段。
数据资产
选择资产类型,然后根据页面提示选择对应的资产,例如RDS的实例、数据库、表名称和账号。
支持选择多个资产实例和账号,并支持添加自定义账号。
操作类型
默认为全部操作类型,您可根据业务需求选择对应数据资产的一个或多个操作类型。
完成添加白名单规则后,可在白名单规则列表,根据资产类型、账号、IP或数据资产实例名称,搜索查看对应的白名单规则。
编辑或删除白名单规则
如果需要对指定IP或账号下数据资产重新检测,以进行审计告警和异常告警,可以编辑或删除对应的白名单规则。
编辑已有白名单规则时,不支持修改资产类型。
登录数据安全中心控制台。
在左侧导航栏,单击系统设置。
在系统设置页面,单击白名单页签。
单击目标白名单操作列的编辑或删除,修改或删除对应白名单。
相关文档
您可以通过阿里云SDK调用以下API,查询DSC已授权数据资产信息。数据安全中心支持的语言及依赖安装方法,请参见数据安全中心SDK。阿里云SDK集成方式说明,请参见阿里云SDK。
查询已授权资产列表,请参见DescribeParentInstance。
查询已授权扫描的实例、库和Bucket数据资产列表,请参见DescribeDataLimits。
查询指定产品的已授权扫描的实例、库或Bucket等列表,请参见DescribeDataLimitSet。