監査アラート ページには、構成済みの監査モードと監査アラート ルールに基づいてデータ資産に対して生成された監査アラートが表示されます。 アラートの詳細に基づいて、異常なデータベース操作、脆弱性の悪用、データ漏洩などのリスクを特定し、追跡できます。 このトピックでは、監査の観点からデータ資産のリスク状況をより深く理解し、リスクに対処するために、データ資産の監査アラートを表示する方法を説明します。
前提条件
監査ログを表示したい、および表示が許可されているデータ資産に対して、データ監査モードが有効になっています。 詳細については、「データ監査モードの有効化と構成」をご参照ください。
監査アラート ルールが有効になっていない場合、またはカスタム監査アラート ルールが必要な場合は、監査アラート ルールが構成されて有効になっています。 詳細については、「監査アラート ルールの構成と有効化」をご参照ください。
監査アラートの表示
DSCコンソール にログインします。
監査アラートAudit Alerts タブで、[アラート概要] タブと [アラートログ] タブの統計情報を表示します。
[アラート概要] タブ
このタブには、過去 24 時間の累積アラート データ、[控除ルール]、および [控除の詳細] に基づいて計算された 監査リスク スコア が表示されます。 24 時間以内に新しいアラートが検出されない場合、監査リスク スコア は増加します。
このタブには、データ資産に関するリアルタイムのアラート情報が表示されます。 [アクション] 列の [詳細] をクリックすると、資産情報とアクセス ソース リストを表示できます。
[アラートログ] タブ
アラート リストの上にある [現在のデータタイプ] ドロップダウン リストからデータタイプを選択します。 例:RDS。 デフォルトでは、過去 1 日間のデータ資産に関する監査アラート情報を表示できます。
時間範囲、インスタンス名、リスク レベル、操作タイプ、ルール タイプ、ルール名、アカウント、クライアント IP アドレス、および SQL ステートメントでアラートをフィルタリングします。
[アクション] 列の [詳細] をクリックすると、アラート時間、クライアント情報、サーバー情報、動作情報、実行結果などのアラート情報を表示できます。
[スナップショットをキャプチャ] をクリックすると、アラート情報のスクリーンショットをブラウザのデフォルトのダウンロード パスに保存できます。
監査アラートの処理
監査アラートに基づいてデータ セキュリティが脅かされていることが確認された場合は、監査アラート ログに基づいて、関連するデータ資産で監査アラートを検索し、手動で処理 する必要があります。
監査アラートが通常のワークロードに対して生成され、無視できることが確認された場合は、監査アラートをホワイトリストに追加 できます。 その後、DSC はデータ資産に対して同じ監査アラートを報告しなくなります。
監査アラートをホワイトリストに追加する
次の操作を実行して、監査アラートをホワイトリストに追加できます。 監査アラートに関連するアカウントと IP アドレスは、システム設定ページのホワイトリスト タブに表示されます。 Data Security Center(DSC)がデータを検出したときに監査アラートがホワイトリスト ルールにヒットした場合、DSC はデータベースまたは OSS の操作またはイベントに対して監査アラートを報告しなくなります。 詳細については、「ホワイトリストの管理」をご参照ください。
[アラート概要] タブまたは [アラートログ] タブで、ホワイトリストに追加するアラートを見つけ、[アクション] 列の [ホワイトリストに追加] をクリックします。
[ホワイトリストに追加] ダイアログ ボックスで、アカウント、IP、アクション タイプなどのパラメータを構成します。 次に、[OK] をクリックします。
参照
[ログ分析] ページで、データ資産のその他の監査ログを表示できます。 詳細については、「監査ログの表示」をご参照ください。
DSCコンソール の [システム設定] ページの [アラート通知] タブでアラート通知を構成できます。 これにより、監査関連のアラート通知をできるだけ早く受信できます。 詳細については、「メール、電話、SMS アラート通知の構成」をご参照ください。