ネイティブログ収集を有効にし、トラフィック収集 (エージェント) を設定してデータベース監査ログを収集する - Data Security Center

Data Security Center (DSC) のデータ監査機能を使用すると、監査ログを表示してデータベースアクティビティを分析できます。これにより、悪意のある可能性のあるアクティビティや不正アクセスを追跡し、セキュリティインシデントの原因を調査できます。データ監査機能を使用する前に、監査モードを設定する必要があります。その後、DSC は設定したモードに基づいて、関連するデータベースから監査ログを収集します。このトピックでは、監査の設定方法について説明します。

前提条件

Data Security Center の無料版を有効化しているか、Data Security Center のエンタープライズインスタンスを購入していること。詳細については、「Data Security Center の無料版」または「Data Security Center の購入」をご参照ください。
データ資産の権限を付与していること。詳細については、「資産の権限付与」をご参照ください。
ApsaraDB for OceanBase インスタンスのデータ監査機能を有効にするには、まず OceanBase インスタンスのターゲットテナントに対して SQL 監査を有効にする必要があります。詳細については、「SQL 監査」をご参照ください。
重要
ターゲットの OceanBase インスタンスのターゲットテナントに対して SQL 監査を有効にした後、このトピックで説明されているようにインスタンスの監査モードを有効にできます。監査モードが有効になると、SQL 監査が有効になっているテナント配下のすべてのデータベースでデータ監査サービスを使用できます。

背景情報

新しく権限が付与されたインスタンスの監査モードは、デフォルトで無効になっています。データ資産の監査モードを有効にして設定する必要があります。その後、DSC は対応するデータ資産の操作ログを収集し、監査ログとして保存できます。これらの監査ログと監査アラートルールに基づいて、DSC はデータ漏洩、脆弱性、SQL インジェクションなどの脅威を検出し、アラート情報を報告します。

監査モード

ネイティブログ収集モード

DSC はネイティブログ収集監査モードをサポートしています:

サポートされるデータ資産タイプ: OSS および Alibaba Cloud ネイティブデータベース。このモードは、自己管理データベースまたは Redis をサポートしていません。
仕組み: DSC は、対応するプロダクトとのデータ収集リンクを自動的に確立してログを収集します。ログには、すべてのデータクエリ言語 (DQL) 、データ操作言語 (DML) 、およびデータ定義言語 (DDL) の操作が記録されます。この情報はデータベースカーネルによって出力され、消費する CPU はごくわずかです。詳細については、このトピックの「よくある質問」セクションをご参照ください。
警告
この監査モードでは、クラウドプロダクトの優先ポリシーはビジネス優先です。このポリシーにより、ビジネスのペイロードが高い場合に少数のログが失われる可能性があります。
課金: 追加の収集料金が適用されます。課金の詳細については、「DSC に接続されたクラウドプロダクトの追加料金」をご参照ください。

ネイティブログ収集の有効化

ステップ 1: データ資産にアクセスするための SLS 権限の付与

ネイティブログ収集では、Simple Log Service (SLS) にクラウドリソースへのアクセス権限を付与する必要があります。

Data Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、Data Auditing > Native Data Auditing を選択します。
Asset Management > Asset Configurations タブで、Authorize Now をクリックします。
[クラウドリソースアクセス承認] ページで、[承認の確認] をクリックします。

ステップ 2: 監査モードの有効化

Asset Configurations タブで、RDS などのクラウドプロダクトタイプを選択します。
資産リストでターゲット資産を見つけ、Audit Mode 列で Cloud-native Audit Log Collection を選択します。
または、複数のターゲット資産のチェックボックスを選択することもできます。次に、リストの下にある Batch Modify Audit Mode ドロップダウンリストをクリックして、ターゲットモードを選択します。

監査アラートの設定

デフォルトでは、DSC はデータベース監査ポリシー、OSS 監査ポリシー、MaxCompute 監査ポリシーなど、データ資産用の組み込み監査ポリシーを提供します。DSC はカスタム監査ポリシーもサポートしています。監査アラートルールを有効にすると、監査ログに基づいて、異常な操作、データ漏洩、脆弱性攻撃、SQL インジェクションなどのリスクを検出できます。詳細については、「監査アラートルールの設定と有効化」をご参照ください。
監査アラートルールを有効にすると、DSC はルール条件にヒットした動作に関する情報を DSC の監査アラートに報告します。アラート情報と監査ログに基づいて、関連するリスクを分析および処理できます。詳細については、「監査アラートの表示と処理」をご参照ください。

よくある質問

Q: ネイティブログ収集を有効にすると、データベースのパフォーマンスに影響しますか？影響がある場合、どのような影響ですか？

A: はい、影響はありますが、その影響は最小限で、ほとんど気づかない程度です。

具体的なリソース消費は次のとおりです:

CPU とメモリ: 消費量は非常に低く、無視できます。
ストレージスペース: これは主に監査情報を保存するために使用されます。ただし、DSC のデータ監査機能は、DSC が提供するストレージスペースを使用し、データベースインスタンスのストレージスペースは使用しません。
ネットワーク: ネットワークパフォーマンスへの影響はありません。
ディスクパフォーマンス: 監査データはデータベースインスタンスのディスクではなく DSC に保存されるため、ディスクパフォーマンスへの影響はありません。

Q: 監査アラートのホワイトリストを設定するにはどうすればよいですか？

A: データ資産へのログインに使用される IP アドレスとアカウントをホワイトリストに追加できます。DSC は、ホワイトリストに登録されたアカウントまたは IP アドレスからアクセスされるデータ資産に対して監査アラートを生成しません。これにより、無効なアラートを効果的に削減できます。詳細については、「ホワイトリストの管理」をご参照ください。

Data Security Center:監査モードの設定と有効化