检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据流转详情 全链路的云上数据流转监测,包括以下几个阶段: 通过数据库审计日志分析数据库和源端、目的主机之间流转路径。 通过API审计日志分析数据通过API网关对外流转的路径。 通过API网关配置分析梳理主机和网关之间的流转路径。 最后通过全链路的关联分析实时测绘完整的云上数据流转路径。
在消息通知,您可以查看系统的通知告警等消息。 操作步骤 使用审计管理员audadmin账号登录API数据安全防护系统web控制台。 在左侧导航栏,选择“系统管理 > 消息通知”。 在全部、通知、告警、待办和其他等页签,查看最近的通知告警等信息。 图1 消息通知 父主题: 审计管理员操作指南
添加设备 DSC支持将应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备和静态脱敏设备添加至设备列表进行设备告警和监控。 前提条件 已购买第三方设备,购买第三方设备具体方式请联系技术支持。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规
资产中心”,进入“资产中心”页面。 选择“数据库 > 自建DB”,进入“数据库”页签。 单击“数据库实例”,进入“数据库实例”页签。 单击左上角的“添加实例”,进入“添加数据库实例”弹框。 图1 添加数据库实例 根据表2配置相关参数,单击“确定”完成自建数据库实例的添加。 表2 配置数据库实例信息 参数 说明
提示 低危 中危 高危 致命 子类/类型 事件源类型分为: 数据库攻击 API攻击 来源 来源于数据库审计、数据库安全网关、API安全网关等组件以及实例名称。 状态 状态说明如下: 开启 阻塞 关闭 影响资产 影响的数据库资产或API。 验证状态 包含如下状态: 未知 确认 误报 责任人
据脱敏。 解决办法 先删除该数据库实例。 再参照授权数据库实例章节对数据库实例重新授权为“读写权限”。 对数据库实例进行授权时,如果配额不够,请参照升级版本和规格购买数据库扩展包,1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、CSS、ECS自建大数据等)资产。
设备管理概述 设备管理的作用是纳管第三方设备,包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备和静态脱敏设备,进行状态监控和告警展示,将风险和告警呈现给客户。 用户可单击DSC设备列表“操作”列“登录”,跳转到第三方设备管理页面。 功能介绍 表1 功能介绍
径,可以快速全面支撑溯源或定位,直观了解数据的流转情况,及时发现异常和风险。 前提条件 已开通DBSS服务,并安装数据库实例,开通DBSS服务请参见购买数据库安全审计。 已创建API数据安全防护实例,具体请参见购买API数据安全防护实例并绑定弹性公网IP。 开通流转采集 登录管理控制台。
如何排查数据库资产连通性失败? 数据库添加完成后,该数据库的“连通性”为“检查中”,此时,DSC会测试数据库的连通性,如果数据库的“连通性”为“失败”,请按照以下步骤进行排查: 检查添加资产的IP、账号、密码、数据库名是否正确。 不正确,修改添加资产的IP、账号、密码、数据库名。 正确,执行2。
com)可对应用进行代理访问。 图3 应用资产列表 步骤二:配置规则 您可以直接配置审计与防护策略,也可以根据审计日志的风险点设置审计与防护策略。策略配置完成后,开启对应策略,将对应用数据资产开启针对性的防护与审计。 配置白名单,请参见创建白名单。 配置访问控制规则,请参见访问控制。 配置
控制权限。 操作审计 基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。 系统行为审计:系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。 资源运维审计:全程记录用户的
“敏感数据识别”:展示该实例下已授权的数据库和未授权的数据库。 “已授权数据库”但是“未扫描”,单击“创建识别任务”跳转至敏感数据识别功能,创建识别任务识别该资产敏感信息,具体操作请参见新建敏感数据识别任务章节。 “已授权数据库”并且是“已扫描”,单击“展开”查看数据库扫描详情。 “未授权数据库”单击“去授
提示 低危 中危 高危 致命 子类/类型 告警源类型分为: 数据库攻击 API攻击 来源 来源于数据库审计、数据库安全网关、API安全网关等组件以及实例名称 状态 状态说明如下: 开启 阻塞 关闭 影响资产 影响的数据库资产或API。 验证状态 包含如下状态: 未知 确认 误报 责任人
C将对华为云OBS里的数据进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产。 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见授权数据库资产。 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见授权大数据资产。
主要负责系统的日常安全保密管理工作,包括系统用户权限的授予与撤销,平台登录、账号密码和网络访问的安全配置等。 audadmin 审计管理员 主要负责对系统管理员和安全管理员的操作行为进行审计跟踪、分析和监督检查。 父主题: 用户管理
含OBS/RDS/CSS/Hive/Hbase等。 数据风险:数据关联分级分类结果,一览展示各个数据风险级别。 无缝对接的云原生能力 基于AI的敏感数据识别,识别准确率>95%。 无缝对接云原生数据环境,提供数据安全地图,数据、出口、风险全可视。 从底层提供数据加密、分级分类、脱敏水印等能力。
添加应用服务是API数据安全防护实现应用防护的第一步。添加完成并代理访问应用后,系统将自动梳理应用中的接口、账号以及敏感数据,并对资产进行防护与审计。 将需要审计与防护的应用资产手动添加至“应用服务”页面,实现代理访问应用资产。 例如,您需要添加一个应用,应用名为demo,应用资产的域名为example
根据“告警管理”中的告警来分析展示受攻击数据库受攻击的Top5数据库资产。 受攻击数据库资产Top5 如图11所示,展示受攻击的Top5数据库资产,鼠标移动至柱状图显示“数据库名称”、“数据库类型”以及“受攻击次数”。 图11 受攻击数据库资产Top5 父主题: 数据安全运营
在调用API接口时Token中的租户ID 否 是,租户ID是用户的身份标识信息。 数据库密码 租户在控制台自行填入 是 是,对数据库数据进行扫描、脱敏和注入水印时,DSC需使用数据库密码联通数据库,获取数据。 存储方式 租户ID不属于敏感数据,明文存储。 数据库密码:加密存储。 访问权限控制 用户只能查看自己业务的相关日志。
系统默认已经创建“系统管理员(sysadmin)”、“审计管理员(audadmin)”、“安全管理员(secadmin)”账号。如果有多个员工需要使用系统,建议您为每个员工单独创建账号,便于管理。 背景信息 账号的权限由角色决定,系统默认创建系统管理员、审计管理员和安全管理员角色,各角色权限说明,请参见表
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
