發(fā)現(xiàn)和處理異常告警
數(shù)據(jù)安全中心DSC(Data Security Center)針對數(shù)據(jù)庫風(fēng)險活動,提供了一套全面的檢測機制,包括預(yù)設(shè)的內(nèi)置檢測模型和靈活的自定義檢測模型。這些模型可以有效識別與敏感數(shù)據(jù)相關(guān)的異常行為并上報告警。本文介紹如何查看并處理異常風(fēng)險告警。
檢測模型說明
DSC默認開啟所有的內(nèi)置檢測模型,您也可以根據(jù)業(yè)務(wù)和安全策略需要管理內(nèi)置檢測模型或自定義檢測模型。在異常告警頁面右上角,單擊異常檢測模型,可查看檢測模型的詳細信息。
異常事件類型
異常事件可分為以下類型:
- 流轉(zhuǎn)異常:數(shù)據(jù)在流轉(zhuǎn)過程中出現(xiàn)的異常情況。例如:下載非常用Bucket內(nèi)敏感文件、初次下載敏感數(shù)據(jù)等。
行為異常:非正常的數(shù)據(jù)操作行為。例如:登錄密碼連續(xù)錯誤、短時間內(nèi)大量刪除數(shù)據(jù)等。
自定義異常:根據(jù)您自定義的檢測模型檢測異常事件并上報告警。
風(fēng)險等級說明
異常事件的風(fēng)險等級是根據(jù)命中事件的敏感等級按照一定規(guī)則確定的,屬于同一事件子類型的告警風(fēng)險等級可能不同。具體規(guī)則如下:
流轉(zhuǎn)異常:命中該類規(guī)則的告警,命中文件的最高敏感等級>=S3,則該告警風(fēng)險等級為高;命中文件的最高敏感等級為S1或S2,則該告警風(fēng)險等級為中;命中文件的最高敏感等級為N/A,則該告警風(fēng)險等級為低。
行為異常:命中該類規(guī)則的告警,命中文件的最高敏感等級>=S2,則該告警風(fēng)險等級為中;命中文件的最高敏感等級<=S1,則該告警風(fēng)險等級為低。
自定義異常:根據(jù)您配置的風(fēng)險級別生效。
查看并處理異常事件
在左側(cè)導(dǎo)航欄,選擇。
在異常行為訪問頁面,查看異常事件的統(tǒng)計結(jié)果和列表信息。
單擊流轉(zhuǎn)異常、行為異常或自定義異常頁簽切換到對應(yīng)異常告警統(tǒng)計數(shù)據(jù)頁面,查看不同類型異常事件的統(tǒng)計數(shù)據(jù)。
單擊目標(biāo)異常事件操作列的查看詳情,在異常事件詳情面板,查看事件基礎(chǔ)信息、事件對象信息、事件描述和處置歷史等信息。
請根據(jù)事件詳情評估該告警是否為攻擊事件。如果為攻擊事件,建議您制定相應(yīng)解決方案,強化系統(tǒng)薄弱點。
返回異常行為訪問頁面,單擊目標(biāo)異常事件操作列的處理。
在風(fēng)險告警面板,標(biāo)記該告警的處理進展。
您需要設(shè)置以下參數(shù)。
事件核查結(jié)果
確認異常并已處理:如果您確認該檢測結(jié)果確實為異常事件,選擇該選項。您需要根據(jù)頁面提示的信息,定位到該異常事件的位置,并在對應(yīng)的云產(chǎn)品中進行手動處理。確認違規(guī)的事件如未被處理,DSC將會一直對該事件進行異常事件告警。
加入白名單:如果您確認該檢測結(jié)果屬于正常操作、無需進行處理,可選擇該選項。異常事件加入白名單后,DSC后續(xù)將不再對該事件進行告警提示。
處理記錄:填寫處理該異常事件告警的備注信息,方便后續(xù)回溯。
(可選)單擊異常事件列表上方的導(dǎo)出,可導(dǎo)出列表中展示的異常事件。
配置告警通知
為了及時收到異常告警通知,您需要在數(shù)據(jù)安全中心控制臺頁面的告警通知頁簽下,新增告警通知。具體操作,請參見配置郵箱、短信和電話告警通知。