风险详情及处置

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

数据安全中心 DSC(Data Security Center) 的检测响应增值服务提供数据泄露检测功能,本文档介绍查看风险事件详情及处置方法。

前提条件

  • 购买数据安全中心,并确保检测响应额度充足(可通过增值服务单独购买或企业版获取默认额度)。如果检测响应服务未开通或额度不足,您可以进行版本实例升级

  • 已完成资产授权

风险事件及处置总览

查看各风险事件级别数量及事件操作统计信息。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据检测响应 > 数据泄露

  3. 安全事件页签查看最近事件影响统计事件操作统计以及检测到的风险详情

    • 事件影响统计:展示最近一年检测到的事件总数高危中危低危事件个数。您可以单击对应风险等级下方的数字,按风险事件级别筛选下方风险详情列表。

    • 事件操作统计:展示最近一年检测到的风险事件的处置状态,包含已加白已处置待处理的事件数量。

    • 风险详情:按照风险类型(全部类型AK泄露数据库账密泄露人机账号混用敏感信息公开存储等),对风险事件进行展示。

      说明

      您可以单击统计数字或对应的风险类型,按条件筛选风险详情列表。

      image

查看风险事件详情及处置

DSC将检测到的风险事件分为4种基本类型。若您已开启对应风险类型的检测功能,发生风险事件后,可在风险详情区域列表中查看事件详细信息并进行相应处置。

AK泄露

通过Github,公开明文存储、私有明文存储、威胁情报及自建情报等情报源,检测有效状态AK泄露情况。您可以查看AK访问Bucket的详情,并针对AK建议联动KMS进行AK轮转或加白等操作,针对存储介质建议删除对应文件或加白。

  1. 风险类型区域单击AK泄露

  2. 在目标风险事件操作列单击详情

    重要

    查看风险事件的详细信息,必须先完成资产授权。

  3. 详情页查看该风险事件的详细信息,并进行处置。

    AK相关信息

    查看AccessKey IDAK归属账号AK状态首次检出时间最新检出时间情报源等信息。

    image

    1. 单击处置

    2. AK处置面板中进行禁用一键轮转操作。

    AK泄露详情

    支持查看以下情报源的AK泄露情况。您可以根据不同的情报源对风险事件进行处置或加白操作。

    • Github泄露量:GitHub平台上的公开源代码中包含的AK信息。

      image

      • 分别单击文件名用户名仓库名,可跳转至GitHub平台查看相关信息。

      • 单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成AK泄露风险事件。

    • 公开明文存储/私有明文存储:检测已授权的OSS Bucket文件中包含的公开/私有明文存储的AK信息。

      image

      • 修改ACL:单击文件ACL列的下拉按钮,可修改对应文件的ACL。

      • 删除:单击操作列的删除文件,删除对应Bucket中的文件。

      • 加白单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成AK泄露风险事件。

    • 威胁情报/自建情报:对于源自威胁情报或自建情报的AK泄露事件,您可对相关威胁来源或录入情报用户执行加白操作。

    说明
    • 文件删除后,T+1天会自动更新文件删除状态已删除,且状态更新为已处置

    • 文件加白后,T+1天会自动更新状态更新为已加白

    AK访问Bucket详情

    对于已泄露的AK访问Bucket详情,您不仅可以查看具体的文件访问列表,还可以配置Bucket的访问权限以及设置POP网关拦截策略,从而有效保障数据安全。

    image

    • 威胁溯源:单击目标AccessKey IDBucket名称/敏感等级,查看AKBucket访问行为可视化路径。

    • 查看访问文件列表:单击目标操作列的访问文件列表,查看被访问文件的相关信息。您也可以直接修改文件的ACL。

    • 处置:单击目标操作列的处置,配置Bucket的访问权限以及设置POP网关拦截策略。

      image

      • Bucket权限配置:单击配置,配置Bucket ACL和公网请求拦截,并单击确定

      • POP网关拦截策略:单击配置,跳转至RAM控制台,创建限制访问IP及访问敏感文件权限策略。具体操作,请参见创建自定义权限策略

数据库账密泄露

通过检测已授权OSS Bucket云数据库 RDS云原生数据库 PolarDB的账密信息(包括连接地址、端口号、账号和密码),识别并统计数据库实例及自建、威胁情报中的实例信息,同时跟踪使用这些账号访问对应数据库实例的风险行为,并生成风险事件。针对账号建议联动KMS进行账号轮转或加白等操作,针对存储介质建议删除对应文件或加白。

说明

只有当Bucket文件中同时包含数据库的账密、连接地址和端口号等信息时,才会被检测并认定为数据库账密泄露的风险事件。

  1. 风险类型区域单击数据库账密泄露

  2. 在目标风险事件操作列单击详情

    重要

    查看风险事件的详细信息,必须先完成资产授权。

  3. 详情页查看该风险事件的详细信息,并进行处置。

    数据库信息

    查看数据库账号数据库实例首次检出时间最新检出时间情报源等信息。

    image

    1. 单击处置

    2. 账号处置面板中进行删除一键轮转操作。

      • 删除:删除当前数据库实例的账号密码。

        警告

        此操作一旦执行将无法撤销,请务必谨慎处理。

      • 一键轮转

    账密泄露详情

    支持查看以下情报源的账密泄露情况。您可以根据不同的情报源对风险事件进行处置或加白操作。

    • 公开明文存储/私有明文存储:检测已授权的OSS Bucket文件中包含的公开/私有明文存储的数据库相关信息。

      image

      • 修改ACL:单击文件ACL列的下拉按钮,修改对应文件的ACL。

      • 删除:单击操作列的删除文件,删除对应Bucket中的文件。

      • 加白:单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成数据库账密泄露风险事件。

    • 威胁情报/自建情报:对于源自威胁情报或自建情报的数据库泄露事件,您可对相关威胁来源或录入情报用户执行加白操作。

    说明
    • 文件删除后,T+1天会自动更新文件删除状态已删除,且状态更新为已处置

    • 文件加白后,T+1天会自动更新状态更新为已加白

    访问数据库详情

    支持查看该账号访问的数据库名称、访问次数、访问时间和敏感数据分类分级结果外,您还可查看数据库的详细信息(包括数据库表及敏感信息等),并可解除该账号对数据库的访问与修改权限。

    image

    • 敏感详情:单击目标数据库操作列的敏感详情,查看数据库表详细信息。

      对于敏感列识别结果有误的,单击列详情,订正敏感数据识别结果。

    • 解除权限:单击目标数据库操作列的解除权限。并单击确定

      将删除当前账号对数据库的所有访问/修改权限。

人机账号混用

通过历史日志分析该账号的操作行为,判断存在人为使用机用账号的情况,并生成人机账号混用风险事件。

说明

机用账号主要用于软件、程序、脚本或服务之间的通信需求,通常由程序运行时使用,而不是供人类用户直接操作⁠⁣ ⁠。例如:

  • 该账号访问/使用了历史未出现过的对象/工具,包括:数据库、SQL语句、客户端IP、客户端工具等。

  • 该数据库账号本次操作频率较低频,是人为可以操作出来的行为该行为可能并未造成数据泄露,但暴露了账号管理存在漏洞,后续应明确“人机分离”原则,人用账号和机用账号分开管理和使用。

  1. 风险类型区域单击人机账号混用

  2. 在目标风险事件操作列单击详情

    重要

    查看风险事件的详细信息,必须先完成资产授权。

  3. 详情页查看该风险事件的详细信息,并进行处置。

    账号信息

    查看访问账号归属实例首次检出时间最新检出时间情报源等信息。

    image

    1. 单击处置

    2. 账号处置面板中进行删除一键轮转操作。

      • 删除:删除当前数据库实例的账号密码。

        警告

        此操作一旦执行将无法撤销,请务必谨慎处理。

      • 一键轮转

    详细异常语句

    查看操作语句执行的详细信息,包括数据库名、表名、访问时间、访问IP、访问客户端、操作类型、操作语句及返回行数等。

敏感信息公开存储

当检测到已授权且公开的OSS Bucket中存在超过1000条敏感数据等级为S3及以上级别的文件时,系统将进行告警提示。建议您修改Bucket的状态或针对敏感文件做删除/修改ACL(访问控制)操作。

  1. 风险类型区域单击敏感信息公开存储

  2. 在目标风险事件操作列单击详情

    重要

    查看风险事件的详细信息,必须先完成资产授权。

  3. 详情页查看该风险事件的详细信息,并进行处置。

    Bucket信息

    查看Bucket名称归属账号首次检出时间最新检出时间等信息。

    image

    1. 单击处置

    2. 配置Bucket的访问权限以及设置POP网关拦截策略。

      image

      • Bucket权限配置:单击配置,配置Bucket ACL和公网请求拦截,并单击确定

      • POP网关拦截策略:单击配置,跳转至RAM控制台,创建限制访问IP及访问敏感文件权限策略。具体操作,请参见创建自定义权限策略

    敏感文件列表

    查看检测到的敏感文件详情,包括敏感数据信息以及文件访问路径的溯源信息,并支持修改文件ACL。

    image

    • 敏感详情:单击敏感详情,查看文件中包含的敏感信息详情。

    • 威胁溯源:单击威胁溯源,查看文件访问行为可视化路径。

其他操作

风险事件策略配置

DSC将检测到的风险事件分为4种基本类型,您需开启相应类型的状态并配置对应的风险级别。

  1. 在左侧导航栏,选择数据检测响应 > 数据泄露

  2. 策略配置页签中,开启对应风险事件类型的风险事件状态,然后根据需求配置风险事件级别。

    重要
    • 风险事件状态默认开启,且人机账号混用事件类型默认风险级别为中危,其他类型默认风险级别为高危

    • 风险事件关闭后不再产生新的告警事件,存量事件不受影响。

    • 调整风险事件级别后,已存在的事件风险级别将同步更新。

  3. 配置完成后,单击保存

修改事件处置状态

支持修改风险事件开启状态(如已加白、已处置、待处理等)。

  • 您可以在安全事件页签中,风险详情列表修改事件开启状态。

    image

  • 或在目标风险事件详情页面,修改事件开启状态。

    image