全部产品
Search

搜索本产品

    数据安全中心:查看泄露的数据库及告警详情

    文档中心

    数据安全中心:查看泄露的数据库及告警详情

    更新时间:Dec 24, 2024

    数据检测响应服务检测到阿里云账号下数据库实例信息泄露后,会进一步对已泄露和已录入的数据库实例的访问行为进行跟踪,检测访问这些数据库实例的风险行为,并提供相应的访问告警。建议您及时查看并处理外泄的数据库实例访问事件。本文介绍如何查看数据库实例的访问告警详情,帮助您定位风险位置并判断风险影响,以便后续选择适用的处理策略。

    前提条件

    背景信息

    数据库泄露检测和访问告警的工作原理和使用限制,请参见数据库泄露检测

    查看数据库的账密泄露情况

    1. 登录数据安全中心控制台

    2. 在左侧导航栏,选择数据检测响应 > 数据库泄露

    3. 数据库泄露页面,您可以查看已发现数据库泄露的统计,包括已授权OSS Bucket中明文存储的数据库信息以及自建情报中数据库信息的数量统计。

      image

    4. 单击账密泄露情况区域的对应数字,可查看如下对应情报源已发现数据库的域名、实例名称、账号、状态等。

      image

      • 单击操作列的账号处置,可选择处理数据库账号的方式,例如禁用该账号。详细内容,请参见处理泄露的数据库实例和账号

      • 单击操作列的情报源详情,可查看对应数据库信息所属情报源的信息。例如OSS Bucket的名称、文件名、文件路径和文件ACL等。

        image

    查看数据库实例的访问告警列表

    1. 登录数据安全中心控制台

    2. 在左侧导航栏,选择数据检测响应 > 数据库泄露

    3. 数据库泄露页面下方的告警列表中,查看已泄露和已录入数据库的访问告警事件。

      告警参数

      描述

      告警时间

      发现使用对应数据库账号访问数据库实例的时间。

      情报源

      访问的数据库实例的来源。

      数据库账号

      访问数据库的账号。

      资产类型

      数据库所属资产类型:RDS或PolarDB。

      数据库型

      数据库类型。

      实例ID/敏感等级

      数据库实例的ID,以及对应识别模板扫描判定的敏感等级。

      如果当前数据库实例没有在DSC中授权连接和执行过敏感数据分类分级任务,则不会显示敏感等级。

      账号状态

      当前数据库账号的状态,其中已禁用已删除未处置已加白为处理数据库账号告警事件的状态,未泄露疑似泄露为自建情报时设置的数据库泄露状态。

      治理进度

      DSC针对访问的数据库实例提供三个逐步细化的访问策略:账号处置、数据库实例处置和数据库账号权限处置。

      DSC会根据已配置策略显示对应治理进度:已处理策略个数/3的百分比。

      数据库数/敏感等级

      该数据库账号访问的数据库数量及对应识别模板扫描判定的敏感等级。您可以单击操作列的详情,在告警详情页面,查看该数据库列表,以及命中的敏感识别模型。

    查看数据库实例的告警详情

    重要

    如果相应数据库实例未在数据检测响应 > 数据库泄露中完成授权,无法查看告警详情,需要先完成授权。授权操作,请参见授权数据库实例

    1. 登录数据安全中心控制台

    2. 在左侧导航栏,选择数据检测响应 > 数据库泄露

    3. 数据库泄露页面下方的告警列表中,找到目标数据库实例信息,单击操作列的详情

    4. 告警详情页面,查看目标数据库实例和账号的详情以及访问数据库、表的详情。

      • 基础信息:包含告警内容、风险等级、告警时间和数据库实例的归属账号。

      • 数据库账号详情:包含发现该数据库账号泄露的首次检测时间和最新检测时间,以及数据库账号所属情报源的详细信息。例如:

        • Bucket的名称、文件名、文件更新时间、文件路径。您可以单击文件名,查看该文件内容命中的敏感数据及识别模型信息。

        • 自建情报的录入用户名和备注。您可以单击情报管理查看详情,在情报管理面板新建或删除数据库账号信息。

        您可单击账号名称右侧的账号处置,对数据库账号进行禁用或加白处理。详细内容,请参见处理泄露的数据库实例和账号

      • 访问数据库实例详情:包含数据库实例ID、首次访问时间、访问IP、最新访问时间、归属账号以及对应敏感等级数据库数量统计等。

        • 单击访问IP右侧的查看详情,可在数据库实例访问IP详情列表,查看IP、所属地域(仅公网IP显示)和访问次数。该IP列表按照访问次数倒序排列。

        • 如果是通过公网连接地址访问的数据库,可单击数据库外网地址右侧的释放,释放外网连接地址。详细内容,请参见处理泄露的数据库实例和账号

      • 访问数据库列表:展示该数据库账号访问的数据库信息,包含数据库名称、被访问次数、访问时间、分类分级等。

        • 单击操作列的解除权限,可以解除当前账号对该数据库的所有权限。

        • 单击操作列的敏感详情,查看数据库命中敏感数据数量、敏感等级、数据表和采样数据等。识别模型的更多说明,请参见查看和配置识别模板

          image

    5. 告警详情页面,单击右上方的日志分析,可跳转到日志分析页面,查看对应数据库实例的操作日志。详细说明,请参见查看审计日志

    6. 告警详情页面,单击右上方的操作记录,可跳转到操作审计控制台的事件查询页面,查看对应账号针对数据安全中心的操作日志。详细说明,请参见事件查询说明

    后续操作

    根据已定位分析的数据库实例和账号的泄露信息及访问行为,选择对应的措施处理数据库泄露问题并治理数据库账号管理权限。具体操作,请参见处理泄露的数据库实例和账号