Data Security Center (DSC) は、ホワイトリスト機能を提供しています。この機能を使用すると、データ資産内の信頼できるアカウントと IP アドレスをホワイトリストに追加できます。 DSC は、アカウントまたは IP アドレスがホワイトリストに追加されているデータ資産に対しては、監査アラートを生成しません。これにより、無効なアラートを減らすことができます。このトピックでは、ホワイトリストの作成、変更、削除の方法について説明します。
前提条件
ホワイトリスト機能でサポートされているデータ資産の承認が完了していること。
ApsaraDB RDS、PolarDB、PolarDB for Xscale、ApsaraDB for OceanBase、Tablestore、AnalyticDB for MySQL、AnalyticDB for PostgreSQL の承認の詳細については、「DSC へのデータベースアクセス権限の付与」をご参照ください。
Object Storage Service (OSS) の承認の詳細については、「OSS および Simple Log Service 内の非構造化データにアクセスするための DSC への承認」をご参照ください。
MaxCompute の承認の詳細については、「MaxCompute にアクセスするための DSC への承認」をご参照ください。
背景情報
DSC は、承認されたデータ資産に対するリスクアクティビティについて、監査アラートを生成します。デフォルトでは、データ資産の組み込み監査アラートルールが有効になっています。
組み込みの監査アラートルールは、異常操作ルール、データリークルール、脆弱性攻撃ルール、SQLインジェクションルール、およびリスク操作ルールに分類されます。カスタム監査アラートルールを作成して有効にすることもできます。詳細については、「監査アラートルールの構成と有効化」をご参照ください。
特定の IP アドレスまたはアカウントを使用して実行されたデータベース操作が正常であることを確認した場合は、ホワイトリストを作成し、その IP アドレスまたはアカウントをホワイトリストに追加できます。後続の検出で監査アラートがホワイトリストにヒットした場合、DSC はデータベースまたは OSS 内の監査アラートルールをトリガーした操作またはイベントのアラートを生成しなくなります。
監査アラートをホワイトリストに追加すると、監査アラート内のアカウントや IP アドレスなどのコンテンツがホワイトリストのリストに表示されます。ホワイトリストの名前は、アラート発生時刻 + 監査アラートルール名の形式です。例:2024-05-21 20:58:09 OSS rule test。詳細については、「監査アラートの表示と処理」をご参照ください。
制限事項
ホワイトリストを作成する際には、以下の点に注意してください。
選択できるアセットタイプは 1 つだけです。
少なくともアカウント、IP アドレス、または CIDR ブロックを指定する必要があります。
IP アドレスと CIDR ブロックの合計数は 10 を超えることはできません。アカウントの合計数は 10 を超えることはできません。
複数のインスタンスとアカウントを指定する場合、インスタンスまたはアカウント間の論理関係は OR で、インスタンスとアカウント間の論理関係は AND です。たとえば、インスタンス A、インスタンス B、アカウント A、アカウント B をホワイトリストに追加します。システムは、インスタンス A またはインスタンス B、およびアカウント A またはアカウント B というルールに基づいて照合を実行します。
説明
ホワイトリストを作成、変更、または削除した後、操作は 1 分以内に監査アラートと例外アラートに反映されます。
ホワイトリストの作成
特定のアカウント、IP アドレス、CIDR ブロックなどのアセット関連情報を監査またはチェックする必要がない場合は、その情報をホワイトリストに追加できます。
DSC コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
[ホワイトリスト] ページで、[エントリの追加] をクリックします。
[エントリの追加] パネルで、パラメータを設定し、[OK] をクリックします。
パラメータ
説明
ルール名
ホワイトリスト名を入力します。ホワイトリストを識別しやすい名前を入力することをお勧めします。値は最大 100 文字まで入力できます。
IP
ホワイトリストに追加する IP アドレスまたは CIDR ブロックを入力します。
IP アドレスまたは CIDR ブロックの合計数は 10 を超えることはできません。複数の IP アドレスまたは CIDR ブロックは、改行またはカンマ (,) で区切ります。
データアセット
アセットタイプを選択し、ApsaraDB RDS インスタンス、データベース、テーブル名、アカウントなどのアセット関連情報を選択します。
複数のインスタンスとアカウントを選択できます。[アカウント] ドロップダウンリストをクリックし、リストの最後にある [アカウントの追加] をクリックして、カスタムアカウントを追加できます。
アクションタイプ
デフォルトでは、すべてのアクションタイプが表示されます。ビジネス要件に基づいて、指定されたデータアセットに 1 つ以上のアクションタイプを選択できます。
ホワイトリストを作成した後、ホワイトリストのリストでアセットタイプ、アカウント、IP アドレス、またはインスタンス名でホワイトリストを検索して表示できます。
ホワイトリストの変更または削除
ホワイトリスト内の特定の IP アドレスまたはアカウントを使用するデータアセットをシステムで監視する場合、ホワイトリストを変更または削除できます。
既存のホワイトリストを変更する場合、アセットタイプを変更することはできません。
DSC コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
管理するホワイトリストを見つけ、変更削除[アクション] 列の または をクリックします。
関連情報
Alibaba Cloud SDK を使用して以下の API 操作を呼び出し、承認されたデータアセットに関する情報をクエリできます。サポートされているプログラミング言語と必要な依存関係の詳細については、「Data Security Center SDK」をご参照ください。Alibaba Cloud SDK の統合方法の詳細については、「Alibaba Cloud SDK」をご参照ください。
DSC がスキャンを承認されているインスタンス、データベース、OSS バケットなどのデータアセットをクエリできます。詳細については、「DescribeDataLimits」をご参照ください。
DSC が特定のサービスでスキャンを承認されているインスタンス、データベース、OSS バケットなどのデータアセットをクエリできます。詳細については、「DescribeDataLimitSet」をご参照ください。