数据安全中心 DSC(Data Security Center)增值服务的检测响应服务提供数据库泄露检测功能,通过检测已授权OSS Bucket中存在的云数据库 RDS或云原生数据库 PolarDB的账密信息(数据库的连接地址、端口号、账号和密码信息),统计识别出的数据库实例、自建情报以及威胁情报中数据库实例信息,并跟踪使用这些账号访问对应数据库实例的风险行为,提供相应账号访问数据库实例的告警事件。建议您及时查看并处理外泄的数据库账号访问数据库实例的告警事件。本文介绍数据库泄露检测的功能原理和使用说明。
功能介绍
DSC的检测响应功能可以帮助安全团队及时关注已泄露的数据库账号及其访问的已泄露数据库、表信息,让安全团队可以迅速做出响应处置。安全团队可以通过DSC提供的告警信息,追踪数据被泄露的凭据,评估潜在的影响,并采取措施来缓解风险。
数据库泄露检测
支持检测的项 | 说明 |
数据库范围 | 当前已购买数据检测响应服务的阿里云账号下的RDS和PolarDB数据库实例。 |
数据库的情报源 |
|
如果开通了DSC的多账号统一管理功能,还支持录入和检测成员账号下的数据库实例信息,支持授权成员账号的所有OSS Bucket、RDS实例和PolarDB实例。
DSC多账号统一管理功能的开通和使用,请参见多账号统一管理。
访问告警
针对检测到的数据库实例和数据库账号,DSC将对使用这些数据库账号访问相应数据库的风险活动进行聚合,形成一个详细的告警事件,在控制台的页面展示。
功能项 | 说明 |
告警聚合逻辑 |
|
告警事件 | DSC控制台显示访问数据库实例的告警事件的关键信息,包括告警时间、情报源、数据库账号、资产类型、数据库型、实例ID、账号状态、数据库数等。
|
响应措施
DSC提供一系列的响应措施,包含数据库实例和账号的治理。例如删除已泄露数据库账号,以免数据泄露。通过这些方式,DSC可助力企业提升其安全防护能力,有效抵御数据泄露和恶意攻击,确保业务的安全运行。
相关服务
在数据库泄露中授权连接数据库实例后,支持使用敏感数据分类分级和数据审计功能,进一步帮助您跟踪访问数据库实例的行为。例如通过分类分级任务扫描访问的数据库实例是否涉及敏感信息,使用数据审计跟踪访问数据库实例的客户端IP、操作类型等,帮助您进一步分析确认数据泄露风险。详情使用说明,请参见相关服务说明。
使用流程
检测响应是DSC的增值服务,需要您购买后才能使用。该服务的计费规则和购买方法,请参见开通检测响应服务。
授权检测数据库信息的情报源OSS Bucket。您可以在资产中心页面或页面,授权目标OSS Bucket。具体操作,请参见非结构化数据OSS授权和授权检测的OSS Bucket。
授权待跟踪访问记录的数据库实例,将目标数据库实例信息录入自建情报中。具体操作,请参见授权数据库实例和录入数据库情报。
查看泄露的数据库的告警详情。具体操作,请参见查看泄露的数据库及告警详情。
查看已泄露的数据库信息,以及已泄露和已录入数据库实例的访问告警事件列表。
查看对应数据库实例的告警详情,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。
根据已定位分析的数据库实例和账号的泄露信息及访问行为,选择对应的措施处理数据库泄露问题并治理数据库账号管理权限。具体操作,请参见处理泄露的数据库实例和账号。