數據安全中心DSC(Data Security Center)提供系統白名單功能,支持將您數據資產中信任的賬號、IP地址等加入白名單。DSC對加入白名單的賬號或IP地址中數據資產不進行審計告警和異常行為訪問告警,可以有效幫助您減少無效告警。本文介紹如何新增、編輯、刪除系統白名單。
前提條件
已完成支持配置白名單的數據資產授權:
RDS、PolarDB、PolarDB-X、OceanBase、TableStore、ADB-MYSQL、ADB-PG的數據資產授權,請參見通用數據庫授權。
OSS的資產授權,請參見非結構化數據(OSS+SLS)授權。
MaxCompute的數據資產授權,請參見MaxCompute授權。
背景信息
DSC針對已授權數據資產的風險活動,提供審計告警和異常行為訪問告警檢測,默認開啟并按照內置的審計告警規則和異常檢測模型進行檢測。
內置審計規則類型有異常操作規則、數據泄露規則、漏洞攻擊規則、SQL注入規則、風險操作規則,同時支持添加并開啟自定義審計規則。具體內容,請參見配置并開啟審計告警規則。
內置異常檢測模型有流轉異常和行為異常,同時支持添加并開啟自定義異常檢測模型,具體內容,請參見內置檢測模型說明。
如果您確認某些IP或賬號下數據庫活動正常,可以新增白名單規則。DSC后續檢測時,如果命中白名單規則,則不再對數據庫或OSS操作行為或事件進行告警提示。
您在處理審計告警或異常行為訪問告警時,如果選擇加入白名單作為處理方式,則加入白名單的賬號、IP地址等會展示在系統白名單列表中,對應白名單規則名稱格式為告警時間+審計告警規則名稱或異常檢測模型名稱,例如2024-05-21 20:58:09 OSS規則測試。具體內容,請參見查看和處理審計告警和發現和處理異常告警。
使用限制
同一個白名單規則中:
僅支持選擇一種資產類型。
至少設置一個賬號、IP或IP段。
IP或IP段總數不能超過10個,賬號數量不能超過10個。
如果包含多個實例、多個賬號,實例之間、賬號之間是或關系,實例和賬號之間是且的關系。例如,有實例A、實例B、賬號A、賬號B,表示是(實例A或實例B)且(賬號A或賬號B)。
生效說明
新增、編輯或刪除系統白名單后,新配置對審計告警和異常告警統一生效,且會在1分鐘內生效。
新增白名單規則
如果您不需要對資產中的某些賬號、IP地址、IP段的數據進行審計和檢測,可以將此類賬號、IP地址、IP段添加到系統白名單。
登錄數據安全中心控制臺。
在左側導航欄,選擇。
在白名單頁面,單擊新增白名單。
在新增白名單對話框中,完成參數配置,然后單擊確定。
參數
說明
規則名稱
自定義白名單規則名稱,建議設置為便于識別的名稱。最多支持輸入100個字符(50個中文漢字)。
IP
輸入加入白名單的IP地址或IP段。
支持填寫IP或IP段總數不超過10個,您可以通過回車換行方式或逗號分割方式填寫多個IP或IP段。
數據資產
選擇資產類型,然后根據頁面提示選擇對應的資產,例如RDS的實例、數據庫、表名稱和賬號。
支持選擇多個資產實例和賬號。單擊賬號下拉框,在賬號列表末尾可單擊添加自定義賬號,輸入多個自定義賬號。
操作類型
默認為全部操作類型,您可根據業務需求選擇對應數據資產的一個或多個操作類型。
完成添加白名單規則后,可在白名單規則列表,根據資產類型、賬號、IP或數據資產實例名稱,搜索查看對應的白名單規則。
編輯或刪除白名單規則
如果需要對指定IP或賬號下數據資產重新檢測,以進行審計告警和異常告警,可以編輯或刪除對應的白名單規則。
編輯已有白名單規則時,不支持修改資產類型。
登錄數據安全中心控制臺。
在左側導航欄,選擇。
單擊目標白名單操作列的編輯或刪除,修改或刪除對應白名單。
相關文檔
您可以通過阿里云SDK調用以下API,查詢DSC已授權數據資產信息。數據安全中心支持的語言及依賴安裝方法,請參見數據安全中心SDK。阿里云SDK集成方式說明,請參見阿里云SDK。
查詢已授權資產列表,請參見DescribeParentInstance。
查詢已授權掃描的實例、庫和Bucket數據資產列表,請參見DescribeDataLimits。
查詢指定產品的已授權掃描的實例、庫或Bucket等列表,請參見DescribeDataLimitSet。
常見問題
支持。同一白名單規則中的配置的賬號總數不能超過10個。
已授權數據資產掃描任務未完成,需要完成識別任務掃描。具體內容,請參見通過識別任務掃描敏感數據。
如果白名單規則中,沒有設置任何賬號、IP和IP段,則該白名單規則是無效的。