审计告警页面按照已配置的审计模式和审计规则,展示对应数据资产的审计告警,您可以根据告警详情,定位追踪数据库异常操作、漏洞攻击、数据泄露等风险。本文介绍如何查看数据资产的审计告警,帮助您更好地从审计视角了解资产的风险状态并进行处理。
前提条件
已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
如果审计告警规则未开启或需要添加自定义审计规则,您需要配置并开启审计告警规则。具体内容,请参见配置并开启审计告警规则。
查看审计告警信息
登录数据安全中心控制台。
在左侧导航栏,选择。
在审计告警页面,查看告警概览和告警日志的统计信息。
告警概览
依据过去24小时的累计告警数据,计算得出的审计风险分,以及扣分规则和实际扣分列表。如果这24小时内未检测到新的告警信息,您的审计风险分将会实现提升。
数据资产的实时告警信息,您可以单击操作列的详情,查看告警的资产信息和访问源列表。
告警日志
在告警列表上方,选择当前数据类型,例如RDS。默认查看对应资产最近1天的审计告警信息。
您可以根据时间范围、实例名称、风险级别、操作类型、规则分类、规则名、账号、客户端IP、SQL命令等,筛选指定条件的告警信息。
单击操作列的详情,可查看该告警的告警时间、客户端信息、服务端信息、行文信息、执行结果等,以便定位告警风险。
您可以单击一键截图,告警详情截图将被保存在您浏览器的默认下载路径中。
处理审计告警事件
如果您确认相关告警事件确实对数据安全造成威胁,您需要根据告警日志,定位该告警事件发生的位置,并在对应数据资产中进行手动处理。
如果您确认告警事件属于正常操作、无需进行处理,可将该告警事件加入白名单,DSC后续将不再对该数据资产的对应告警事件进行告警提示。
加入白名单
您可参考以下操作,将告警事件加入白名单。加入白名单的账号、IP地址等会展示在系统白名单列表中。DSC后续检测时,如果命中白名单规则,则不再对数据库或OSS操作行为或事件进行告警提示。更多内容,请参见管理白名单。
在告警概览或告警日志页签的告警列表中,单击目标告警事件操作列的加入白名单。
在加入白名单对话框中,展示对应数据资产加入白名单的账号、IP和操作类型等,您可以修改相关信息,然后单击确定。
相关文档
您可以在页面查看数据资产的更多审计日志,详细内容,请参见查看审计日志。
您可以在数据安全中心控制台系统设置页面告警通知页签下,新增告警通知,以便及时收到审计告警通知。具体操作,请参见配置邮箱、短信告警通知。