数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心企业版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据资产授权。具体操作,请参见资产授权。
背景信息
新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。
审计模式说明
原生日志采集模式
DSC支持原生日志采集审计模式:
支持的数据资产类型:OSS、阿里云原生数据库(不支持自建数据库和Redis)。
工作原理:DSC自动建立与对应产品的数据采集链路,采集日志。
警告该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。
原生日志采集计费说明
数据库启用原生日志采集模式后,DSC会自动为数据库开启SQL洞察与审计功能,并创建转储数据的日志服务SLS Logstore。数据库开启的SQL洞察由数据库产品收取费用,转储使用的Logstore费用由SLS产品收取。
本文以RDS数据库为例,介绍原生日志采集模式下RDS和SLS产品产生相关费用的情况,其他类型的数据库开启原生日志采集模式后计费逻辑类似。
RDS数据库开启原生日志采集模式后,DSC会自动为该数据库开启SQL洞察功能,该功能的费用由RDS按照SQL洞察(审计)的计费规则收取,具体规则,请参见SQL审计(DAS企业版V0)。
SQL洞察会在SLS中同步创建一个Logstore用于存储RDS服务SQL洞察的原始日志。该Logstore中的数据默认存储3天,产生的存储费用按照SLS计费规则收取,具体规则,请参见计费概述。
DSC会将转储在SLS Logstore中的SQL洞察原始日志投递到另一个由DSC新创建的Logstore。该Logstore中数据默认存储90天,其产生的费用已包含在您已购买的DSC实例中。具体内容,请参见购买数据安全中心。
开启原生日志采集
步骤一:授权SLS访问数据资产
原生日志采集需要授予日志服务访问云资源的权限。
登录数据安全中心控制台。
在左侧导航栏,选择。
在审计配置页面的资产接入页签,单击点击去授权。
在云资源访问授权页面,单击同意授权。
步骤二:开启审计模式
在资产接入页签展开当前数据类型,单击目标资产的云产品类型,例如RDS。
在资产列表找到目标资产,然后在审计模式列下选中原生日志采集。
在开通原生日志采集对话框中,单击确定。
配置审计告警
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。