文档

发现和处理风险事件

更新时间:

数据安全中心DSC(Data Security Center)支持内置检测模型和自定义检测模型,根据您配置的检测模型,检测敏感数据相关的异常操作并上报告警。本文介绍如何管理内置检测模型、自定义检测模型以及查看并处理异常风险事件。

管理内置检测模型

支持的内置检测模型

您可以在数据安全中心控制台风险治理 > 检测模型页面,查看数据安全中心支持的内置检测模型。各模型的详细说明请参见下表。

模型类型

模型名称

告警原因分析

流转异常

异常地理位置下载敏感数据

来自异常地理位置的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。

异常终端下载敏感数据

来自异常终端的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工使用非工作终端进行数据下载。

异常时间下载敏感数据

来自异常时间的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工在非正常工作时间内进行数据下载。

初次下载敏感数据

账号首次下载敏感数据可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。

下载非常用敏感表

账号下载非常用敏感表可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。

文件下载量异常

账号文件下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。

下载非常用Bucket内敏感文件

账号下载非常用敏感Bucket可能是由于账号被错误分配敏感数据下载权限,导致敏感数据泄露。

数据下载量异常

账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份数据。

下载非常用敏感库(IP维度)

IP访问非历史常用库可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。

下载敏感数据的IP数量过多

使用过多的IP进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。

异常频率下载敏感数据

使用过快的频率进行数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。

异常Referer下载敏感数据

来自异常Referer的数据下载可能是由于账号访问权限被外部攻击者获取,并导致数据泄露。

执行SQL语句异常

异常的SQL执行可能是由于账号访问权限被外部攻击者获取,或者员工在执行新业务。

行为异常

登录时间异常

来自异常时间的鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在非工作时间访问数据。

登录使用终端异常

来自异常终端鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工使用非办公终端访问数据。

登录地址异常

来自异常地理位置的鉴权记录可能是由于账号访问权限被外部攻击者获取,可能导致数据泄露。

多次尝试访问不存在的文件

出现多次尝试访问不存在的文件可能是存在外部攻击尝试。

多次尝试访问没有权限的文件

出现多次尝试访问没有权限的文件可能是存在外部攻击尝试。

登录密码连续错误

多次尝试错误的账号密码登录可能是由于攻击者在使用弱口令探测登录密码。

来自恶意源(威胁情报数据)的敏感数据下载

来自恶意源的下载可能是攻击者正在尝试攻击或者已经攻击成功。

配置异常

配置失当-MaxCompute敏感项目未设置保护

包含敏感数据的项目未设置Protection标识,则该项目无法实现数据流出保护。

配置失当-MaxCompute敏感项目未设置标签安全

包含敏感数据的项目未设置Label Security标识,则无法控制用户对列敏感数据的访问。

配置失当-OSS敏感Bucket被设置为公开

包含敏感数据的Bucket被设置为公开,则外部人员都可以通过接口访问到敏感数据。

RDS白名单IP被设置为公开访问

RDS实例IP白名单存在0.0.0.0/0,则任何外部人员都可以连接到该实例,从而暴力破解登录密码。

开启或关闭内置检测模型

DSC默认开启所有的内置检测模型。如果无需使用某些内置检测模型,您可以关闭对应模型。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择风险治理 > 检测模型

  3. 单击目标内置检测模型状态列下的开关,开启或关闭该模型。

自定义检测模型

如果内置检测模型无法满足异常事件检测需求,您可以自定义检测模型。

重要

目前,仅OSS、RDS和MaxCompute支持自定义检测模型,其余云产品仅支持使用内置检测模型。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择风险治理 > 检测模型

  3. 检测模型页面,单击自定义检测模型页签。

  4. 单击添加规则

  5. 新增规则对话框,完成自定义模型参数配置,并单击确定

    参数

    说明

    规则名称

    输入模型的名称,建议输入有实际意义的名称以便有效识别该规则。

    风险级别

    从下拉列表中选择模型的风险等级。

    资产类型

    选择模型检测的资产类型,可选项:

    • OSS

    • MaxCompute

    • RDS

    过滤条件

    根据实际需要配置过滤条件,指定需要检测的异常事件。

    继续添加

    单击继续添加,添加多条过滤条件。多条过滤条件之间是和(AND)关系。

    告警条件

    设置告警检测的时间单位和告警产生的条件。DSC基于过滤条件命中的数据进行异常检测,在自定义时间段内满足告警条件,会上报异常事件告警。

    说明 告警条件中的任何UA是指任何浏览器的UserAgent。UserAgent的信息包括硬件平台、系统软件、应用软件和用户个人偏好,通过UA可以分析出浏览器名称、浏览器版本号、渲染引擎、操作系统。告警条件选择了任何UA,可以抓取UserAgent中的相应异常事件。

    完成模型创建后,您可以在模型列表中查看该模型,如有需要您也可以编辑该模型。新创建的模型默认为未开启状态。模型需要启用后才会生效。

  6. 打开模型状态列的开关,启用该模型。

管理异常事件

异常事件类型

异常事件可分为以下类型:

  • 流转异常:数据在流转过程中出现的异常情况。例如:下载非常用Bucket内敏感文件、初次下载敏感数据等。
  • 行为异常:非正常的数据操作行为。例如:登录密码连续错误、登录使用终端异常等。
  • 配置异常:数据库中存在的配置问题。例如:RDS实例账号存在弱口令、RDS白名单IP被设置为公开访问等。
  • 自定义异常:根据您自定义的检测模型检测异常事件并上报告警。

风险等级说明

异常事件的风险等级是根据命中事件的敏感等级按照一定规则确定的,属于同一事件子类型的告警风险等级可能不同。具体规则如下:

  • 流转异常:命中该类规则的告警,命中文件的最高敏感等级>=S3,则该告警风险等级为高;命中文件的最高敏感等级为S1或S2,则该告警风险等级为中;命中文件的最高敏感等级为N/A,则该告警风险等级为低。

  • 行为异常:命中该类规则的告警,命中文件的最高敏感等级>=S2,则该告警风险等级为中;命中文件的最高敏感等级<=S1,则该告警风险等级为低。

  • 自定义异常:根据您配置的风险级别生效。

查看并处理异常事件

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,单击风险治理 > 异常事件

  3. 异常事件页面,查看异常事件的统计结果和列表信息。

    单击流转异常行为异常配置异常自定义异常页签切换到对应异常事件统计数据页面,查看不同类型异常事件的统计数据。

  4. 单击目标异常事件操作列的查看详情,在异常事件详情面板,查看事件基础信息、事件对象信息、事件描述和处置历史等信息。

  5. 单击目标异常事件操作列的处理

  6. 风险告警面板,按照提供的处理方案及时处理该告警。

    您需要设置以下参数。

    • 事件核查结果

      • 确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项。您需要根据页面提示的信息,定位到该异常事件的位置,并在对应的云产品中进行手动处理。确认违规的事件如未被处理,DSC将会一直对该事件进行异常事件告警。

      • 加入白名单:如果您确认该检测结果属于正常操作、无需进行处理,选择该选项。异常事件加入白名单后,DSC将不再对该事件进行告警提示,即该事件将不会展示在异常事件告警列表中。

    • 处理记录:填写处理该异常事件告警的备注信息,方便后续回溯。您可以根据需要,确定是否要勾选选择后将对该泄漏风险进行检测强化。选择该项后,DSC会将该异常事件输入到误报样本库中用于优化异常事件告警命中准确率。

  7. 单击异常事件列表上方的导出,可导出列表中展示的异常事件。

  • 本页导读 (1)
文档反馈