数据安全审计提供审计规则管理功能,您可以直接开启系统内置审计规则,也可自定义审计规则,以实现特性化场景需求。
规则说明
数据安全审计提供两种类型的规则:
| 类型 | 应用场景 | 说明 |
|---|---|---|
| 黑名单 | 用于检测数据库操作中的异常行为,当出现不符合正常操作模式的行为时触发告警。 | 使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时,会触发告警。 |
| 白名单 | 适用于对已知安全、可信任的数据库操作进行定义,以便在审计过程中对这些操作进行特殊处理。 例如:互联网金融行业:对于已备案且合规的第三方支付机构按正常流程进行的资金结算、清算等数据库操作,设定信任规则,确保业务顺畅同时精准审计异常。 |
使用白名单规则可定义您信任的操作。如果您需要审计某类数据库操作,但无需上报告警,您可以为此类数据库操作自定义白名单规则,帮助您提高告警准确率。 |
规则启用
在规则启用页面,您可以针对数据资产维度,进行规则的启用和禁用。
快捷配置
- 登录 数据安全审计控制台,在左侧导航栏中,单击审计规则 > 规则启用。
- 在规则启用页面,单击快捷配置,弹出快捷配置弹窗。
- 在快捷配置弹窗,选择需要快捷配置规则的资产(也可选择所有资产),并选择适合的快捷配置组,单击确定即可完成配置,配置后将覆盖当前该资产的规则启用配置。
说明
- 资产开启审计权限时,已默认开启常见配置规则。
- 规则列表中,规则名称后已添加其所属的常见配置标识。
启用规则
- 登录 数据安全审计控制台,在左侧导航栏中,单击审计规则 > 规则启用。
- 在规则启用页面,支持启用单个规则或批量启用规则。
- 单个:选择所需规则,单击规则开关列的
,弹出“确认开启”弹窗。
- 批量:选择一个或多个规则,单击左上角的启用,弹出“确认开启”弹窗。
- 单个:选择所需规则,单击规则开关列的
- 在“确认开启”弹窗中,单击确定,即可启用对应规则。
,弹出“确认开启”弹窗。
停用规则
- 登录 数据安全审计控制台,在左侧导航栏中,单击审计规则 > 规则启用。
- 在规则启用页面,支持停用单个规则或批量停用规则。
- 单个:选择所需规则,单击规则开关列的
,弹出“确认关闭”弹窗。
- 批量:选择一个或多个规则,单击左上角的停用,弹出“确认关闭”弹窗。
- 单个:选择所需规则,单击规则开关列的
- 在“确认关闭”弹窗中,单击确定,即可停用对应规则。
,弹出“确认关闭”弹窗。
规则管理
查看规则
- 登录 数据安全审计控制台,在左侧导航栏中,单击审计规则 > 规则列表。
- 查看系统提供的内置规则和自定义规则。
新建规则
- 登录 数据安全审计控制台,在左侧导航栏中,单击审计规则 > 规则列表。
- 在规则列表页面,单击新建,进入新建规则页面,依次配置基础信息、规则定义和输出定义。
基础信息
参数 参数说明 规则类型 黑名单 使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时,会触发告警。 白名单 使用白名单规则可定义您信任的操作。如果您需要审计某类数据库操作,但无需上报告警,您可以为此类数据库操作自定义白名单规则,帮助您提高告警准确率。 规则名称 自定义规则名称,用于标识具体规则,长度为1-64个字符,不可重复。 规则备注 规则描述信息。 规则定义:以下三个规则仅作为示例,且规则类型为黑名单,用户可根据自身业务自行配置。
- 防爬取规则:防止使用例如 select 操作语句,爬取表数据。
- 慢查询发现规则:检查执行时间较长的 SQL 语句,便于进行优化。
- 危险操作规则:检查执行 delete、drop、alter 等类型的高危 SQL 语句。
- 防爬取规则:防止使用例如 select 操作语句,爬取表数据。
输出定义、规则启用。
参数说明:- 是否告警:根据实际需求选择是否告警。
- 关联数据资产:根据实际需求选择资产。(可选)
- 配置完成后,单击确定即可。
修改规则
- 在 规则列表页面,找到需要修改的规则,单击编辑,进入编辑规则页面。
- 在编辑规则页面,修改信息后,单击确定即可。
删除规则
- 在 规则列表页面,找到需要删除的规则,单击删除,弹出确认删除弹窗。
- 在确认删除弹窗中,单击确定即可。
