查看和處理審計(jì)告警
審計(jì)告警頁面按照已配置的審計(jì)模式和審計(jì)規(guī)則,展示對應(yīng)數(shù)據(jù)資產(chǎn)的審計(jì)告警,您可以根據(jù)告警詳情,定位追蹤數(shù)據(jù)庫異常操作、漏洞攻擊、數(shù)據(jù)泄露等風(fēng)險(xiǎn)。本文介紹如何查看數(shù)據(jù)資產(chǎn)的審計(jì)告警,幫助您更好地從審計(jì)視角了解資產(chǎn)的風(fēng)險(xiǎn)狀態(tài)并進(jìn)行處理。
前提條件
已為需要且支持查看審計(jì)日志的數(shù)據(jù)資產(chǎn)開啟日志審計(jì)功能。具體內(nèi)容,請參見配置并開啟審計(jì)模式。
如果審計(jì)告警規(guī)則未開啟或需要添加自定義審計(jì)規(guī)則,您需要配置并開啟審計(jì)告警規(guī)則。具體內(nèi)容,請參見配置并開啟審計(jì)告警規(guī)則。
查看審計(jì)告警信息
在左側(cè)導(dǎo)航欄,選擇。
在審計(jì)告警頁簽,查看告警概覽和告警日志的統(tǒng)計(jì)信息。
告警概覽
依據(jù)過去24小時(shí)的累計(jì)告警數(shù)據(jù),計(jì)算得出的審計(jì)風(fēng)險(xiǎn)分,以及扣分規(guī)則和實(shí)際扣分列表。如果這24小時(shí)內(nèi)未檢測到新的告警信息,您的審計(jì)風(fēng)險(xiǎn)分將會實(shí)現(xiàn)提升。
數(shù)據(jù)資產(chǎn)的實(shí)時(shí)告警信息,您可以單擊操作列的詳情,查看告警的資產(chǎn)信息和訪問源列表。
告警日志
在告警列表上方,選擇當(dāng)前數(shù)據(jù)類型,例如RDS。默認(rèn)查看對應(yīng)資產(chǎn)最近1天的審計(jì)告警信息。
您可以根據(jù)時(shí)間范圍、實(shí)例名稱、風(fēng)險(xiǎn)級別、操作類型、規(guī)則分類、規(guī)則名、賬號、客戶端IP、SQL命令等,篩選指定條件的告警信息。
單擊操作列的詳情,可查看該告警的告警時(shí)間、客戶端信息、服務(wù)端信息、行文信息、執(zhí)行結(jié)果等,以便定位告警風(fēng)險(xiǎn)。
您可以單擊一鍵截圖,告警詳情截圖將被保存在您瀏覽器的默認(rèn)下載路徑中。
處理審計(jì)告警事件
如果您確認(rèn)相關(guān)告警事件確實(shí)對數(shù)據(jù)安全造成威脅,您需要根據(jù)告警日志,定位該告警事件發(fā)生的位置,并在對應(yīng)數(shù)據(jù)資產(chǎn)中進(jìn)行手動處理。
如果您確認(rèn)告警事件屬于正常操作、無需進(jìn)行處理,可將該告警事件加入白名單,DSC后續(xù)將不再對該數(shù)據(jù)資產(chǎn)的對應(yīng)告警事件進(jìn)行告警提示。
加入白名單
您可參考以下操作,將告警事件加入白名單。加入白名單的賬號、IP地址等會展示在系統(tǒng)白名單列表中。DSC后續(xù)檢測時(shí),如果命中白名單規(guī)則,則不再對數(shù)據(jù)庫或OSS操作行為或事件進(jìn)行告警提示。更多內(nèi)容,請參見管理白名單。
在告警概覽或告警日志頁簽的告警列表中,單擊目標(biāo)告警事件操作列的加入白名單。
在加入白名單對話框中,展示對應(yīng)數(shù)據(jù)資產(chǎn)加入白名單的賬號、IP和操作類型等,您可以修改相關(guān)信息,然后單擊確定。
相關(guān)文檔
您可以在日志分析頁面查看數(shù)據(jù)資產(chǎn)的更多審計(jì)日志,詳細(xì)內(nèi)容,請參見查看審計(jì)日志。
您可以在數(shù)據(jù)安全中心控制臺的系統(tǒng)設(shè)置頁面的告警通知頁簽下,新增告警通知,以便及時(shí)收到審計(jì)告警通知。具體操作,請參見配置郵箱、短信和電話告警通知。