前提條件

已為需要查看審計日志并支持日志審計功能的數據資產開啟日志審計功能。具體內容，請參見配置并開啟審計模式。

背景信息

開啟數據審計后，DSC可以根據審計模式采集對應的庫的操作審計日志，然后通過已開啟的審計告警規則，根據審計日志檢測數據資產的異常操作、數據泄漏、漏洞攻擊、SQL注入等風險并上報告警信息。

使用說明

• 內置審計告警規則：適用的數據源為OSS、MaxCompute和RDS、PolarDB等數據庫，默認已自動開啟，并對支持的資產類型生效。

• 自定義審計規則：支持按照訪問內容敏感類型、訪問內容敏感程度、庫、表、字段、訪問源、數據庫實例等多種維度進行審計規則設置，安全策略靈活且自由，實現精細化監控。您可根據不同場景不同類型的應用進行個性化定制，精確掌控數據庫訪問信息。

查看內置審計規則

內置審計規則可分為以下類型：數據庫審計規則、OSS審計規則、MaxCompute審計規則。參考以下步驟查看具體審計規則類型及規則詳情。

1. 登錄數據安全中心控制臺。

2. 在左側導航欄，選擇數據檢測響應 > 數據審計。

3. 在審計配置頁簽，單擊規則配置頁簽。

4. 單擊數據庫審計規則、OSS審計規則或MaxCompute審計規則子頁簽，在左側規則分類列表，查看審計規則類型。

   

5. 在右側規則列表，查看具體的規則名稱、規則類型、風險級別、啟用狀態、命中次數。

   您也可在左側規則分類列表，選中規則前的復選框，查看目標規則類型下的具體規則列表。

6. 單擊目標規則對應操作列的詳情，可查看對應審計規則支持的資產類型和詳細信息。

   

添加自定義審計規則

如果內置審計規則無法滿足您的審計需求，您可以自定義審計規則。創建自定義審計規則成功后，默認開啟該自定義審計規則。

1. 在規則配置頁簽，單擊自定義審計規則子頁簽。

2. 單擊新增規則。

3. 在新增規則面板，完成審計規則配置，然后單擊提交。

   配置項	描述
   規則名稱	自定義審計規則的名稱，建議輸入有實際意義的名稱以便有效識別審計規則。
   規則類型	從下拉列表中選擇審計告警的規則類型?？蛇x： SQL注入嘗試利用 SQL注入嘗試繞過 存儲過程濫用 緩沖區溢出 基于報錯的SQL注入 基于布爾值的SQL注入 基于時間的SQL注入 拒絕服務漏洞 數據庫探測 配置操作 其他
   風險級別	從下拉列表中選擇審計告警規則的風險級別：高、中或低。
   資產類型	從下拉列表中選擇審計告警規則生效的資產類型。 重要 您需要根據內置審計規則的分類，確定已選規則類型支持所選的資產類型。否則，自定義審計規則不生效。
   行為信息	輸入審計規則的說明信息。
   規則描述	根據實際需要配置規則條件。規則配置完成后，單擊添加。支持添加多條規則，多條規則之間是與的關系。 DSC將在命中規則條件時，上報審計告警。

開啟或關閉審計告警規則

如果無需使用指定內置規則或已開啟的自定義審計規則，您可以關閉審計告警規則狀態開關。如果需要重新使用指定的審計告警規則，您可以打開審計告警規則狀態開關。

1. 在規則配置頁簽，單擊數據庫審計規則、OSS審計規則、MaxCompute審計規則或自定義審計規則子頁簽。

2. 在規則列表中，找到目標規則名稱，單擊狀態列的開關。

   

配置告警通知

為了及時收到審計告警通知，您需要在數據安全中心控制臺的系統設置 > 告警通知頁面的告警通知頁簽，新增告警通知。具體操作，請參見配置郵箱、短信和電話告警通知。

后續操作

開啟審計告警規則后，DSC會將命中規則條件的行為，上報至DSC的審計告警。您可以根據告警信息和審計日志分析處理相關風險。詳細內容，請參見查看和處理審計告警。

相關文檔

DSC提供系統白名單功能，支持將您數據資產中信任的賬號、IP地址等加入白名單。DSC對加入白名單的賬號或IP地址中數據資產不進行審計告警，可以有效幫助您減少無效告警。具體內容，請參見管理白名單。