安全監控的維度

監控特征

特征描述

流轉異常

異常地理位置下載敏感數據

來自異常地理位置的數據下載可能是由于賬號訪問權限被外部攻擊者獲取，并導致數據泄露。

異常終端下載敏感數據

來自異常終端的數據下載可能是由于賬號訪問權限被外部攻擊者獲取，或者員工使用非工作終端進行數據下載。

異常時間下載敏感數據

來自異常時間的數據下載可能是由于賬號訪問權限被外部攻擊者獲取，或者員工在非正常工作時間內進行數據下載。

初次下載敏感數據

賬號首次下載敏感數據可能是由于賬號被錯誤分配敏感數據下載權限，導致敏感數據泄露。

下載非常用敏感表

賬號下載非常用敏感表可能是由于賬號被錯誤分配敏感數據下載權限，導致敏感數據泄露。

文件下載量異常

賬號文件下載量異?？赡苁怯捎谫~號訪問權限被外部攻擊者獲取，或者員工惡意備份數據。

下載非常用Bucket內敏感文檔

賬號下載非常用敏感Bucket可能是由于賬號被錯誤分配敏感數據下載權限，導致敏感數據泄露。

數據下載量異常

賬號數據下載量異?？赡苁怯捎谫~號訪問權限被外部攻擊者獲取，或者員工惡意備份數據。

下載非常用敏感庫（IP維度）

IP訪問非歷史常用庫可能是由于賬號訪問權限被外部攻擊者獲取，并導致數據泄露。

下載敏感數據的IP數量過多

使用過多的IP進行數據下載可能是由于賬號訪問權限被外部攻擊者獲取，并導致數據泄露。

異常頻率下載敏感數據

使用過快的頻率進行數據下載可能是由于賬號訪問權限被外部攻擊者獲取，并導致數據泄露。

異常Referer下載敏感數據

來自異常Referer的數據下載可能是由于賬號訪問權限被外部攻擊者獲取，并導致數據泄露。

執行SQL語句異常

異常的SQL執行可能是由于賬號訪問權限被外部攻擊者獲取，或者員工在執行新業務。

行為異常

登錄時間異常

來自異常時間的鑒權記錄可能是由于賬號訪問權限被外部攻擊者獲取，或者員工在非工作時間訪問數據。

登錄使用終端異常

來自異常終端鑒權記錄可能是由于賬號訪問權限被外部攻擊者獲取，或者員工使用非辦公終端訪問數據。

登錄地址異常

來自異常地理位置的鑒權記錄可能是由于賬號訪問權限被外部攻擊者獲取，可能導致數據泄露。

多次嘗試訪問不存在的文件

出現多次嘗試訪問不存在的文件可能是存在外部攻擊嘗試。

多次嘗試訪問沒有權限的文件

出現多次嘗試訪問沒有權限的文件可能是存在外部攻擊嘗試。

登錄密碼連續錯誤

多次嘗試錯誤的賬號密碼登錄可能是由于攻擊者在使用弱口令探測登錄密碼。

來自惡意源（威脅情報數據）的敏感數據下載

來自惡意源的下載可能是攻擊者正在嘗試攻擊或者已經攻擊成功。

配置異常

配置失當-MaxCompute敏感項目未設置保護

包含敏感數據的項目未設置Protection標識，則該項目無法實現數據流出保護。

配置失當-MaxCompute敏感項目未設置標簽安全

包含敏感數據的項目未設置Label Security標識，則無法控制用戶對敏感數據的訪問。

配置失當-OSS敏感Bucket被設置為公開

包含敏感數據的Bucket被設置為公開，則外部人員都可以通過接口訪問到敏感數據。

RDS白名單IP被設置為公開訪問

RDS實例IP白名單存在0.0.0.0/0，則任何外部人員都可以連接到該實例，從而暴力破解登錄密碼。