智能分析是指数据库审计系统可以学习用户的数据库操作习惯,通过对用户操作所涉及的IP、客户端操作工具等信息进行统计分析,实现对异常行为的告警,可以帮助您发现数据库异常行为。本文介绍了在云盾数据库审计系统中,如何添加行为模型学习任务和查询行为模型学习。
背景信息
数据库审计系统内置8类行为模型维度,可以学习一段时间内基于数据库的8种维度的行为。分别从不同角度展示数据库审计的学习结果,并对非学习范围内的操作进行异常行为告警。
添加行为模型学习任务
通过添加行为模型学习任务可以指定具体的学习对象。
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择
。在行为模型页面,单击添加。
在行为模型学习配置对话框,配置相关参数,并单击开始学习。
配置项
说明
资产
选择已添加的资产。可通过名称、IP等关键字搜索资产,从而实现快速选择。
学习维度
指定行为模型引擎所学习(即统计分析)的维度。
学习截止时间
行为模型学习任务的学习截止时间。默认为一周。
告警等级
包括不告警、低风险、中风险、高风险告警,默认为低风险告警。
学习范围(IP)
如需指定学习任务的IP范围,单击更多配置。配置行为模型引擎学习客户端IP的范围。支持以下三种格式:
可填写多个IP,每个IP之间用“,”(半角逗号)隔开。
IP网段,用“*”(星号)表示0~255,例如:192.168.0.*、10.1.*.*。
IP范围,例如:192.168.2.1~192.168.2.128。
了解模型学习趋势图
添加行为模型学习任务后,单击目标学习任务模型数量列下的数字,可以查看行为模型趋势图。该图中横轴显示数据时间,纵轴显示模型数量。
结束或重新学习
只有结束行为模型的学习任务后,数据库审计系统才会根据学习生成的规则检查该资产新产生的审计日志,如果数据库审计系统检测到的操作和学习到的规则不一致,则按照学习任务定义的规则产生相应告警。处于学习中状态的学习任务不会产生告警。
单击目标学习任务操作列的结束学习,可结束当前学习任务。
如果您的数据库业务有了较大的调整,需要重新学习。您可以单击目标学习任务操作列的重新学习,并配置行为模型学习任务。
执行重新学习操作会停止对数据库操作的检测,建议您在确认无需持续检测时,再执行重新学习操作。
查询模型详情
在学习任务执行一段时间后,您可以查看为指定资产生成的模型详情。
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择
。在任务配置页签,单击目标资产名称。
您也可以在模型查询页签,选择对应资产,查看为该资产生成的行为模型。
在模型查询页签,您可以查看该资产行为学习分析生成的模型结果。
您可以通过设置筛选条件后,单击分析,查看对应的分析结果,单击分级结果图中的节点,可以查看该节点关联的详细信息。
查看告警信息
结束学习任务后,您可以在
页面,查看行为模型自动产生的告警。行为模型产生的告警规则类型为行为模型。