本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
数据安全中心 DSC(Data Security Center) 的检测响应增值服务提供数据泄露检测功能,本文档介绍查看风险事件详情及处置方法。
前提条件
风险事件及处置总览
查看各风险事件级别数量及事件操作统计信息。
登录数据安全中心控制台。
在左侧导航栏,选择 。
在安全事件页签查看最近事件影响统计和事件操作统计以及检测到的风险详情。
事件影响统计:展示最近一年检测到的事件总数、高危、中危及低危事件个数。您可以单击对应风险等级下方的数字,按风险事件级别筛选下方风险详情列表。
事件操作统计:展示最近一年检测到的风险事件的处置状态,包含已加白、已处置和待处理的事件数量。
风险详情:按照风险类型(全部类型、AK泄露、数据库账密泄露、人机账号混用、敏感信息公开存储等),对风险事件进行展示。
说明您可以单击统计数字或对应的风险类型,按条件筛选风险详情列表。
查看风险事件详情及处置
DSC将检测到的风险事件分为4种基本类型。若您已开启对应风险类型的检测功能,发生风险事件后,可在风险详情区域列表中查看事件详细信息并进行相应处置。
AK泄露
通过Github,公开明文存储、私有明文存储、威胁情报及自建情报等情报源,检测有效状态AK泄露情况。您可以查看AK访问Bucket的详情,并针对AK建议联动KMS进行AK轮转或加白等操作,针对存储介质建议删除对应文件或加白。
在风险类型区域单击AK泄露。
在目标风险事件操作列单击详情。
重要查看风险事件的详细信息,必须先完成资产授权。
在详情页查看该风险事件的详细信息,并进行处置。
AK相关信息
查看AccessKey ID、AK归属账号、AK状态、首次检出时间、最新检出时间、情报源等信息。
单击处置。
在AK处置面板中进行禁用或一键轮转操作。
禁用:跳转至RAM控制台,对当前主账号下及其RAM用户的AccessKey执行禁用操作。具体操作,请参见禁用RAM用户的AccessKey。
一键轮转:
已接入KMS:单击确认后KMS会执行轮转操作,删除并重新创建一个新的AK。
警告此操作一旦执行将无法撤销,请务必谨慎处理。
未接入KMS:跳转至密钥管理服务控制台,将AK凭证托管至KMS。如果您未开通KMS,必须先购买和启用KMS实例。
AK泄露详情
支持查看以下情报源的AK泄露情况。您可以根据不同的情报源对风险事件进行处置或加白操作。
Github泄露量:GitHub平台上的公开源代码中包含的AK信息。
分别单击文件名、用户名、仓库名,可跳转至GitHub平台查看相关信息。
单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成AK泄露风险事件。
公开明文存储/私有明文存储:检测已授权的OSS Bucket文件中包含的公开/私有明文存储的AK信息。
修改ACL:单击文件ACL列的下拉按钮,可修改对应文件的ACL。
删除:单击操作列的删除文件,删除对应Bucket中的文件。
加白:单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成AK泄露风险事件。
威胁情报/自建情报:对于源自威胁情报或自建情报的AK泄露事件,您可对相关威胁来源或录入情报用户执行加白操作。
说明文件删除后,T+1天会自动更新文件删除状态为已删除,且状态更新为已处置。
文件加白后,T+1天会自动更新状态更新为已加白。
AK访问Bucket详情
对于已泄露的AK访问Bucket详情,您不仅可以查看具体的文件访问列表,还可以配置Bucket的访问权限以及设置POP网关拦截策略,从而有效保障数据安全。
数据库账密泄露
通过检测已授权OSS Bucket中云数据库 RDS或云原生数据库 PolarDB的账密信息(包括连接地址、端口号、账号和密码),识别并统计数据库实例及自建、威胁情报中的实例信息,同时跟踪使用这些账号访问对应数据库实例的风险行为,并生成风险事件。针对账号建议联动KMS进行账号轮转或加白等操作,针对存储介质建议删除对应文件或加白。
只有当Bucket文件中同时包含数据库的账密、连接地址和端口号等信息时,才会被检测并认定为数据库账密泄露的风险事件。
在风险类型区域单击数据库账密泄露。
在目标风险事件操作列单击详情。
重要查看风险事件的详细信息,必须先完成资产授权。
在详情页查看该风险事件的详细信息,并进行处置。
数据库信息
查看数据库账号、数据库实例、首次检出时间、最新检出时间、情报源等信息。
单击处置。
在账号处置面板中进行删除或一键轮转操作。
删除:删除当前数据库实例的账号密码。
警告此操作一旦执行将无法撤销,请务必谨慎处理。
一键轮转:
已接入KMS:单击确认后,数据库账密会执行轮转操作,删除并重新创建一个新的数据库账密。
警告此操作一旦执行将无法撤销,请务必谨慎处理。
未接入KMS:跳转至密钥管理服务控制台,将数据库账密凭证托管至KMS平台。如果您未开通KMS,必须先购买和启用KMS实例。
账密泄露详情
支持查看以下情报源的账密泄露情况。您可以根据不同的情报源对风险事件进行处置或加白操作。
公开明文存储/私有明文存储:检测已授权的OSS Bucket文件中包含的公开/私有明文存储的数据库相关信息。
修改ACL:单击文件ACL列的下拉按钮,修改对应文件的ACL。
删除:单击操作列的删除文件,删除对应Bucket中的文件。
加白:单击操作列的加白,对目标文件进行加白处理,该文件后续将不会再生成数据库账密泄露风险事件。
威胁情报/自建情报:对于源自威胁情报或自建情报的数据库泄露事件,您可对相关威胁来源或录入情报用户执行加白操作。
说明文件删除后,T+1天会自动更新文件删除状态为已删除,且状态更新为已处置。
文件加白后,T+1天会自动更新状态更新为已加白。
访问数据库详情
支持查看该账号访问的数据库名称、访问次数、访问时间和敏感数据分类分级结果外,您还可查看数据库的详细信息(包括数据库表及敏感信息等),并可解除该账号对数据库的访问与修改权限。
敏感详情:单击目标数据库操作列的敏感详情,查看数据库表详细信息。
对于敏感列识别结果有误的,单击列详情,订正敏感数据识别结果。
解除权限:单击目标数据库操作列的解除权限。并单击确定。
将删除当前账号对数据库的所有访问/修改权限。
人机账号混用
通过历史日志分析该账号的操作行为,判断存在人为使用机用账号的情况,并生成人机账号混用风险事件。
机用账号主要用于软件、程序、脚本或服务之间的通信需求,通常由程序运行时使用,而不是供人类用户直接操作 。例如:
该账号访问/使用了历史未出现过的对象/工具,包括:数据库、SQL语句、客户端IP、客户端工具等。
该数据库账号本次操作频率较低频,是人为可以操作出来的行为该行为可能并未造成数据泄露,但暴露了账号管理存在漏洞,后续应明确“人机分离”原则,人用账号和机用账号分开管理和使用。
在风险类型区域单击人机账号混用。
在目标风险事件操作列单击详情。
重要查看风险事件的详细信息,必须先完成资产授权。
在详情页查看该风险事件的详细信息,并进行处置。
账号信息
查看访问账号、归属实例、首次检出时间、最新检出时间、情报源等信息。
单击处置。
在账号处置面板中进行删除或一键轮转操作。
删除:删除当前数据库实例的账号密码。
警告此操作一旦执行将无法撤销,请务必谨慎处理。
一键轮转:
已接入KMS:单击确认后,数据库账密会执行轮转操作,删除并重新创建一个新的数据库账密。
警告此操作一旦执行将无法撤销,请务必谨慎处理。
未接入KMS:跳转至密钥管理服务控制台,将数据库账密凭证托管至KMS平台。如果您未开通KMS,必须先购买和启用KMS实例。
详细异常语句
查看操作语句执行的详细信息,包括数据库名、表名、访问时间、访问IP、访问客户端、操作类型、操作语句及返回行数等。
敏感信息公开存储
当检测到已授权且公开的OSS Bucket中存在超过1000条敏感数据等级为S3及以上级别的文件时,系统将进行告警提示。建议您修改Bucket的状态或针对敏感文件做删除/修改ACL(访问控制)操作。
在风险类型区域单击敏感信息公开存储。
在目标风险事件操作列单击详情。
重要查看风险事件的详细信息,必须先完成资产授权。
在详情页查看该风险事件的详细信息,并进行处置。
Bucket信息
查看Bucket名称、归属账号、首次检出时间、最新检出时间等信息。
敏感文件列表
查看检测到的敏感文件详情,包括敏感数据信息以及文件访问路径的溯源信息,并支持修改文件ACL。
敏感详情:单击敏感详情,查看文件中包含的敏感信息详情。
威胁溯源:单击威胁溯源,查看文件访问行为可视化路径。
其他操作
风险事件策略配置
DSC将检测到的风险事件分为4种基本类型,您需开启相应类型的状态并配置对应的风险级别。
在左侧导航栏,选择 。
在策略配置页签中,开启对应风险事件类型的风险事件状态,然后根据需求配置风险事件级别。
重要风险事件状态默认开启,且人机账号混用事件类型默认风险级别为中危,其他类型默认风险级别为高危。
风险事件关闭后不再产生新的告警事件,存量事件不受影响。
调整风险事件级别后,已存在的事件风险级别将同步更新。
配置完成后,单击保存。
修改事件处置状态
支持修改风险事件开启状态(如已加白、已处置、待处理等)。
您可以在安全事件页签中,风险详情列表修改事件开启状态。
或在目标风险事件详情页面,修改事件开启状态。