数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心企业版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
已完成数据资产授权。具体操作,请参见资产授权。
背景信息
新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。
审计模式说明
原生日志采集模式
DSC支持原生日志采集审计模式:
支持的数据资产类型:OSS、阿里云原生数据库(不支持自建数据库和Redis)。
工作原理:DSC自动建立与对应产品的数据采集链路,采集日志。
警告该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。
计费说明:存在额外采集费用。计费详情,请参见接入DSC的云产品附加费用说明。
开启原生日志采集
步骤一:授权SLS访问数据资产
原生日志采集需要授予日志服务访问云资源的权限。
登录数据安全中心控制台。
在左侧导航栏,选择。
在审计配置页签的资产接入页签,单击点击去授权。
在云资源访问授权页面,单击同意授权。
步骤二:开启审计模式
在资产接入页签展开当前数据类型,单击目标资产的云产品类型,例如RDS。
在资产列表找到目标资产,然后在审计模式列下选中原生日志采集。
在开通原生日志采集对话框中,单击确定。
配置审计告警
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄露、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。