[監査アラート] ページには、設定された監査モードとアラートルールに基づいて、データ資産の監査アラートが表示されます。アラートの詳細を使用して、異常なデータベース操作、脆弱性攻撃、データ漏洩などのリスクを特定し、追跡できます。このトピックでは、データ資産の監査アラートを表示する方法について説明します。これにより、資産のリスクステータスを理解し、特定されたリスクを処理できます。
前提条件
監査するデータ資産に対してログ監査機能が有効になっていること。詳細については、「監査モードの設定と有効化」をご参照ください。
監査アラートルールが有効になっていない場合、またはカスタム監査ルールを追加する必要がある場合は、監査アラートルールを設定して有効にする必要があります。詳細については、「監査アラートルールの設定と有効化」をご参照ください。
監査アラート情報の表示
Data Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[リスク検出] タブで、[アラート概要] サブタブと [アラートログ] サブタブの統計を表示します。
アラート概要
このタブには、過去 24 時間の累積アラートデータに基づいて計算された [監査リスクスコア] が表示されます。また、控除ルールと実際の控除もリストされます。24 時間以内に新しいアラートが検出されない場合、[監査リスクスコア] は増加します。
このタブには、データ資産のリアルタイムのアラート情報が表示されます。[操作] 列の [詳細] をクリックすると、推奨される操作、資産のリスト、およびアクセスソースのリストを表示できます。
アラートログ
アラートリストの上にある [現在のデータの型] ドロップダウンリストから、[RDS] などのデータの型を選択します。デフォルトでは、選択した資産タイプの過去 1 日間の監査アラート情報が表示されます。
時間範囲、インスタンス名、リスクレベル、操作タイプ、ルール分類、ルール名、アカウント、クライアント IP アドレス、および SQL コマンドでアラートをフィルターできます。
[操作] 列の [詳細] をクリックして、アラート時間、クライアント情報、サーバー情報、動作情報、および実行結果を表示してリスクを特定します。
[スクリーンショットを撮る] をクリックすると、アラート詳細のスクリーンショットをブラウザのデフォルトのダウンロードパスに保存できます。
監査アラートイベントの処理
アラートイベントがデータセキュリティに脅威をもたらすことを確認した場合は、監査ログを使用してイベントが発生した場所を特定し、対応するデータ資産の脅威を手動で処理します。
アラートイベントが通常の操作であり、アクションが不要であることを確認した場合は、イベントをホワイトリストに追加できます。Data Security Center (DSC) は、データ資産上のこのタイプのイベントに対してアラートを生成しなくなります。
ホワイトリストへの追加
次の手順に従って、アラートイベントをホワイトリストに追加します。ホワイトリストに追加したアカウント、IP アドレス、およびその他の情報は、システムのホワイトリストに表示されます。その後のチェック中に、データベースまたは OSS の操作またはイベントがホワイトリストルールにヒットした場合、DSC はアラートを生成しなくなります。詳細については、「ホワイトリストの管理」をご参照ください。
[アラート概要] または [アラートログ] タブで、ホワイトリストに追加するアラートイベントを見つけ、[操作] 列の [詳細] をクリックします。
アラートイベント詳細ページで、[アラート資産リスト] または [アクセスソース] の下のクライアント IP リストで、ホワイトリストに追加する資産または IP アドレスを見つけ、[操作] 列の [ホワイトリストに追加] をクリックします。
[ホワイトリストに追加] ダイアログボックスに、対応する資産インスタンスまたは IP アドレスとそのデータベースアカウント情報が表示されます。ホワイトリストルールに情報を追加し、[OK] をクリックします。
参考
[ログ分析] ページで、データ資産の詳細な監査ログを表示できます。詳細については、「監査ログの表示」をご参照ください。
Data Security Center コンソールの [システム設定] ページの [アラート通知] タブでアラート通知を設定できます。これにより、監査アラート通知を迅速に受信できます。詳細については、「メール、ショートメッセージ、および電話によるアラート通知の設定」をご参照ください。