DSC默认为数据资产提供并开启内置审计告警规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。审计告警规则可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航,是等保合规利器。本文介绍数据审计支持的内置审计告警规则及如何自定义审计规则。
前提条件
已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
背景信息
开启数据审计后,DSC可以根据审计模式采集对应的库的操作审计日志,然后通过已开启的审计告警规则,根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险并上报告警信息。
使用说明
内置审计告警规则:适用的数据源为OSS、MaxCompute和RDS、PolarDB等数据库,默认无需手动开启,即可生效和应用。
自定义审计规则:支持按照访问内容敏感类型、访问内容敏感程度、库、表、字段、访问源、数据库实例等多种维度进行审计规则设置,安全策略灵活且自由,实现精细化监控。您可根据不同场景不同类型的应用进行个性化定制,精确掌控数据库访问信息。
查看内置审计规则
内置审计规则可分为以下类型:数据库审计规则、OSS审计规则、MaxCompute审计规则。参考以下步骤查看具体的审计规则类型。
登录数据安全中心控制台。
在左侧导航栏,选择。
在策略管理页面,单击审计告警规则页签。
单击数据库审计规则、OSS审计规则或MaxCompute审计规则子页签,在左侧规则分类列表,查看审计规则类型。
在右侧规则列表,查看具体的规则名称、风险级别、启用状态、命中次数,单击对应操作列的详情,可查看对应支持的资产类型。
您也可在左侧规则分类列表,选中规则前的复选框,查看目标规则类型下的具体规则列表。
添加自定义审计规则
如果内置审计规则无法满足您的审计需求,您可以自定义审计规则。创建自定义审计规则成功后,默认开启该自定义审计规则。
在审计告警规则页签,单击自定义审计规则子页签。
单击新增规则。
在新增规则面板,完成审计规则配置,然后单击提交。
配置项
描述
规则名称
自定义审计规则的名称,建议输入有实际意义的名称以便有效识别审计规则。
规则类型
从下拉列表中选择审计告警的规则类型。
风险级别
从下拉列表中选择审计告警规则的风险级别:高、中或低。
资产类型
从下拉列表中选择审计告警规则生效的资产类型。
行为信息
输入审计规则的说明信息。
规则描述
根据实际需要配置规则条件。规则配置完成后,单击添加。支持添加多条规则,多条规则之间是与的关系。
DSC将在命中规则条件时,上报审计告警。
开启或关闭审计告警规则
如果无需使用指定内置规则或已开启的自定义审计规则,您可以关闭审计告警规则状态开关。如果需要重新使用指定的审计告警规则,您可以打开审计告警规则状态开关。
在审计告警规则页签,单击数据库审计规则、OSS审计规则、MaxCompute审计规则或自定义审计规则子页签。
在规则列表中,找到目标规则名称,单击状态列的开关。
配置告警通知
为了及时收到审计告警通知,您需要在数据安全中心控制台系统设置页面的告警通知页签下,新增告警通知。具体操作,请参见配置邮箱告警通知。
后续操作
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。
相关文档
DSC提供系统白名单功能,支持将您数据资产中信任的账号、IP地址等加入白名单。DSC对加入白名单的账号或IP地址中数据资产不进行审计告警,可以有效帮助您减少无效告警。具体内容,请参见管理白名单。
- 本页导读 (1)