查看異常告警
異常告警功能支持內(nèi)置檢測模型和自定義檢測模型,根據(jù)您配置的檢測模型,檢測與敏感數(shù)據(jù)相關(guān)的異常操作并上報(bào)告警。本文介紹如何管理內(nèi)置檢測模型、自定義檢測模型以及查看并處理異常風(fēng)險(xiǎn)事件。
前提條件
已開啟安全審計(jì)(新版),詳情請參見開啟安全審計(jì)(新版)。
查看單個(gè)實(shí)例的異常告警
登錄DAS控制臺。
在左側(cè)導(dǎo)航欄中,單擊實(shí)例監(jiān)控。
找到目標(biāo)實(shí)例,單擊實(shí)例ID,進(jìn)入目標(biāo)實(shí)例詳情頁。
在左側(cè)導(dǎo)航欄,單擊安全審計(jì)。
在安全審計(jì)頁面,單擊異常告警。
在異常告警頁,查看與敏感數(shù)據(jù)相關(guān)的異常告警事件。
單擊流轉(zhuǎn)異常、行為異常或自定義異常頁簽切換到對應(yīng)異常事件統(tǒng)計(jì)數(shù)據(jù)頁面,查看不同類型異常事件的統(tǒng)計(jì)數(shù)據(jù)。
單擊目標(biāo)異常事件操作列的查看詳情,在異常事件詳情面板,查看事件基礎(chǔ)信息、事件對象信息、事件描述和處置歷史等信息。
單擊目標(biāo)異常事件操作列的處理。
在風(fēng)險(xiǎn)告警面板,按照提供的處理方案及時(shí)處理該告警。
您需要設(shè)置以下參數(shù)。
事件核查結(jié)果
確認(rèn)異常并已處理:如果您確認(rèn)該檢測結(jié)果確實(shí)為異常事件,選擇該選項(xiàng)。您需要根據(jù)頁面提示的信息,定位到該異常事件的位置,并在對應(yīng)的云產(chǎn)品中進(jìn)行手動(dòng)處理。確認(rèn)違規(guī)的事件如未被處理,DAS將會(huì)一直對該事件進(jìn)行異常事件告警。
加入白名單:如果您確認(rèn)該檢測結(jié)果屬于正常操作、無需進(jìn)行處理,選擇該選項(xiàng)。異常事件加入白名單后,DAS將不再對該事件進(jìn)行告警提示,即該事件將不會(huì)展示在異常事件告警列表中。
添加事件處理記錄:填寫處理該異常事件告警的備注信息,方便后續(xù)回溯。
單擊異常事件列表上方的導(dǎo)出,可導(dǎo)出列表中展示的異常事件。
查看全部實(shí)例的異常告警
若您有多個(gè)數(shù)據(jù)庫實(shí)例,并且都開通了安全審計(jì)功能,您可以查看所有實(shí)例的異常告警。
登錄DAS控制臺。
在左側(cè)導(dǎo)航欄,單擊安全審計(jì)。
在安全審計(jì)頁面,單擊異常告警。
在異常告警頁,查看與敏感數(shù)據(jù)相關(guān)的異常告警事件。
單擊流轉(zhuǎn)異常、行為異常或自定義異常頁簽切換到對應(yīng)異常事件統(tǒng)計(jì)數(shù)據(jù)頁面,查看不同類型異常事件的統(tǒng)計(jì)數(shù)據(jù)。
單擊目標(biāo)異常事件操作列的查看詳情,在異常事件詳情面板,查看事件基礎(chǔ)信息、事件對象信息、事件描述和處置歷史等信息。
單擊目標(biāo)異常事件操作列的處理。
在風(fēng)險(xiǎn)告警面板,按照提供的處理方案及時(shí)處理該告警。
您需要設(shè)置以下參數(shù)。
事件核查結(jié)果
確認(rèn)異常并已處理:如果您確認(rèn)該檢測結(jié)果確實(shí)為異常事件,選擇該選項(xiàng)。您需要根據(jù)頁面提示的信息,定位到該異常事件的位置,并在對應(yīng)的云產(chǎn)品中進(jìn)行手動(dòng)處理。確認(rèn)違規(guī)的事件如未被處理,DAS將會(huì)一直對該事件進(jìn)行異常事件告警。
加入白名單:如果您確認(rèn)該檢測結(jié)果屬于正常操作、無需進(jìn)行處理,選擇該選項(xiàng)。異常事件加入白名單后,DAS將不再對該事件進(jìn)行告警提示,即該事件將不會(huì)展示在異常事件告警列表中。
處理記錄:填寫處理該異常事件告警的備注信息,方便后續(xù)回溯。您可以根據(jù)需要,確定是否要勾選選擇后將對該泄漏風(fēng)險(xiǎn)進(jìn)行檢測強(qiáng)化。選擇該項(xiàng)后,DAS會(huì)將該異常事件輸入到誤報(bào)樣本庫中用于優(yōu)化異常事件告警命中準(zhǔn)確率。
單擊異常事件列表上方的導(dǎo)出,可導(dǎo)出列表中展示的異常事件。
異常事件類型
異常事件可分為以下類型:
流轉(zhuǎn)異常:數(shù)據(jù)在流轉(zhuǎn)過程中出現(xiàn)的異常情況。例如:異常地理位置下載敏感數(shù)據(jù)。
行為異常:非正常的數(shù)據(jù)操作行為。例如:登錄密碼連續(xù)錯(cuò)誤、登錄使用終端異常等。
自定義異常:根據(jù)您自定義的檢測模型檢測異常事件并上報(bào)告警。
風(fēng)險(xiǎn)等級說明
異常事件的風(fēng)險(xiǎn)等級是根據(jù)命中事件的敏感等級按照一定規(guī)則確定的,屬于同一事件子類型的告警風(fēng)險(xiǎn)等級可能不同。具體規(guī)則如下:
流轉(zhuǎn)異常:命中該類規(guī)則的告警,命中文件的最高敏感等級>=S3,則該告警風(fēng)險(xiǎn)等級為高;命中文件的最高敏感等級為S1或S2,則該告警風(fēng)險(xiǎn)等級為中;命中文件的最高敏感等級為N/A,則該告警風(fēng)險(xiǎn)等級為低。
行為異常:命中該類規(guī)則的告警,命中文件的最高敏感等級>=S2,則該告警風(fēng)險(xiǎn)等級為中;命中文件的最高敏感等級<=S1,則該告警風(fēng)險(xiǎn)等級為低。
自定義異常:根據(jù)您配置的風(fēng)險(xiǎn)級別生效。
相關(guān)文檔
DAS默認(rèn)開啟所有的內(nèi)置異常檢測模型,如果無需使用某些內(nèi)置異常檢測模型,您可以關(guān)閉對應(yīng)模型。并且DAS支持根據(jù)訪問的庫、表、字段、訪問源、實(shí)例等不同維度自定義檢測模型。詳情請參見配置告警規(guī)則。