すべてのプロダクト
Search

このプロダクト

    Data Security Center:監査アラートルールを設定して有効にする

    ドキュメントセンター

    Data Security Center:監査アラートルールを設定して有効にする

    最終更新日:Jan 07, 2025

    デフォルトでは、Data Security Center (DSC) は、データ資産の組み込み監査アラートルールを提供し、有効にします。組み込みの監査アラートルールには、データベース監査アラートルール、Object Storage Service (OSS) 監査アラートルール、および MaxCompute 監査アラートルールが含まれます。カスタム監査アラートルールを作成することもできます。監査アラートルールを使用すると、データベースの実行時に潜在的なリスクと脅威を特定できます。これにより、データベースのセキュリティと機密保護要件への準拠が保証されます。このトピックでは、データ監査でサポートされている組み込みの監査アラートルールについて説明します。また、カスタム監査アラートルールを作成する方法についても説明します。

    前提条件

    データ監査モードは、監査ログを表示し、表示が許可されているデータ資産に対して有効になっています。詳細については、「データ監査モードを設定して有効にする」をご参照ください。

    背景情報

    データ監査モードを有効にすると、DSC は、有効になっているデータ監査モードに基づいてデータベースから監査ログを収集できます。ログが収集されると、DSC は有効になっている監査アラートルールを使用して、異常な操作、データリーク、脆弱性の悪用、SQL インジェクションなど、データ資産のリスクを特定します。リスクが特定されると、DSC はアラート通知を送信します。

    使用上の注意

    • 組み込みの監査アラートルール: 組み込みの監査アラートルールを使用して、OSS、MaxCompute、ApsaraDB RDS、および PolarDB のリスクを検出できます。組み込みの監査アラートルールはデフォルトで有効になっており、サポートされている資産タイプに対して有効になります。

    • カスタム監査アラートルール: 機密データタイプ、データ機密性、データベース、テーブル、フィールド、ソース、データベースインスタンスといったディメンションからカスタム監査アラートルールを作成できます。これにより、きめ細かい監視が実現します。さまざまなシナリオやさまざまなタイプのアプリケーションに対してカスタム監査アラートルールを作成できます。これにより、データベースアクセスを正確に管理できます。

    組み込みの監査アラートルールを表示する

    組み込みの監査アラートルールには、データベース監査アラートルール、OSS 監査アラートルール、および MaxCompute 監査アラートルールが含まれます。次の手順を実行して、組み込みの監査アラートルールとルールの詳細を表示できます。

    1. DSC コンソール にログインします。

    2. 左側のナビゲーションペインで、[データ検出と対応] > [データ監査] を選択します。

    4. [データベース監査ルール][OSS 監査ルール]、または [maxcompute 監査ルール] タブをクリックします。[ルールの分類] リストで、組み込みの監査アラートルールのタイプを表示します。

      image

    5. ルールリストで、管理する組み込み監査アラートルールを見つけ、[ルール名][ルールタイプ][リスクレベル][ステータス][ヒット数] 列の値を表示します。

      [ルールの分類] リストで特定のルールタイプを選択して、そのタイプのすべてのルールを表示できます。

    6. 管理するルールを見つけ、[アクション] 列の [詳細] をクリックして、サポートされている [資産タイプ] とルールの [詳細] を表示します。

      image

    カスタム監査アラートルールを作成する

    組み込みの監査アラートルールが監査要件を満たせない場合は、カスタム監査アラートルールを作成できます。カスタム監査アラートルールを作成すると、ルールはデフォルトで有効になります。

    1. [ルール設定] タブで、[カスタム監査ルール] タブをクリックします。

    2. [ルールの追加] をクリックします。

    3. [ルールの追加] パネルで、パラメーターを設定し、[送信] をクリックします。次の表にパラメーターを示します。

      パラメーター

      説明

      ルール名

      カスタム監査アラートルール名。ルールを識別しやすい名前を指定することをお勧めします。

      ルールタイプ

      カスタム監査アラートルールのタイプ。ドロップダウンリストからタイプを選択します。有効な値:

      • SQL インジェクションの悪用試行

      • SQL インジェクションを使用したバイパス試行

      • ストアドプロシージャの悪用

      • バッファオーバーフロー

      • エラーベースの SQL インジェクション

      • ブールベースの SQL インジェクション

      • 時間ベースの SQL インジェクション

      • サービス拒否の脆弱性

      • データベース検出

      • 設定操作

      • その他

      リスクレベル

      カスタム監査アラートルールのリスクレベル。ドロップダウンリストからリスクレベルを選択します。有効な値: 高、中、低。

      資産タイプ

      カスタム監査アラートルールが適用される資産のタイプ。ドロップダウンリストからタイプを選択します。

      重要

      組み込みの監査ルールのタイプに基づいて、選択した ルールタイプ でサポートされている 資産タイプ を選択する必要があります。そうしないと、カスタム監査アラートルールは有効になりません。

      動作情報

      カスタム監査アラートルールの説明。

      ルールの説明

      カスタム監査アラートルールの条件。ビジネス要件に基づいて条件を指定できます。条件を設定した後、[追加] をクリックして条件を追加できます。複数の条件は論理 AND を使用して評価されます。

      DSC は、条件が満たされると監査アラートを生成します。

    監査アラートルールを有効または無効にする

    組み込みの監査アラートルールまたは有効なカスタム監査アラートルールを使用しなくなった場合は、ルールの [ステータス] をオフにできます。監査アラートルールを再利用する場合は、ルールの [ステータス] をオンにできます。

    1. [ルール設定] タブで、[データベース監査ルール][OSS 監査ルール][maxcompute 監査ルール]、または [カスタム監査ルール] タブをクリックします。

    2. ルールリストで、管理するルールを見つけ、[ステータス] 列のスイッチをオンまたはオフにします。

      image

    通知設定を構成する

    監査関連のアラート通知をできるだけ早く受信するには、DSC コンソール[システム設定] > [アラート通知] ページの [アラート通知] タブで通知設定を構成します。詳細については、「メール、電話、SMS アラート通知を構成する」をご参照ください。

    次の手順

    監査アラートルールを有効にすると、DSC は、監査アラートルールにヒットした操作に関するアラートを生成します。DSC の [監査アラート] ページでアラートを表示できます。アラートとログ分析結果に基づいてリスクに対処できます。詳細については、「監査アラートを表示して処理する」をご参照ください。

    参考資料

    DSC はホワイトリスト機能を提供します。信頼できるデータ資産関連のアカウントと IP アドレスをホワイトリストに追加できます。DSC は、アカウントまたは IP アドレスがホワイトリストに追加されているデータ資産については監査アラートを生成しません。これにより、無効なアラートを減らすことができます。詳細については、「ホワイトリストを管理する」をご参照ください。