检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果进行“自动备份审计日志”,请参照以下步骤: 单击审计日志自动备份区域的“设置”,设置备份位置与备份周期。单击“确认”。 开启审计日志自动备份后的按钮,启用审计日志自动备份。 如果进行“自动备份配置数据”,请参照以下步骤: 单击配置数据自动备份区域的“设置”,设置备份位置与备份周期。单击“确认”。
在检索页面,查看审计日志列表。 图1 审计日志统计信息 (可选)在审计日志列表中,单击“详情”查看此条日志的详细信息。 (可选)如果需要将审计日志信息下载到本地,单击“导出”,可以导出审计日志。 相关操作 如果存在不符合要求的审计日志,您可以根据此审计日志配置审计策略。具体操作,请参见检索页面配置策略。
可记录DSC的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的DSC操作列表,请参见支持云审计的操作列表。 日志 出于分析或审计等目的,用户开启了云审计服务后,系统开始记录DSC资源的操作。云审计服务管理控制台保存最近7天的操作记录。
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
恢复审计日志和配置数据 您可以在“系统管理 > 备份恢复”页面上传备份文件,恢复系统的审计日志和配置数据。 恢复审计日志 使用系统管理员sysadmin账号登录API数据安全防护系统web控制台。 在左侧导航栏,选择“系统管理 > 备份恢复”。 单击“备份恢复”页签。 单击右上角的“文件导入”。
数据审计 DSC可以检测哪些类型的异常事件? 如何对DSC的操作记录进行审计?
如何对DSC的操作记录进行审计? DSC的所有操作都会通过API形式记录在云审计服务(Cloud Trace Service,CTS)中。 开通云审计服务后,您可以在云审计服务中查看有关DSC的所有操作记录,供安全审查使用。关于如何查看审计日志,请参见查看DSC的云审计日志。 父主题:
支持云审计的操作列表 云审计服务(Cloud Trace Service,CTS)记录了数据安全中心相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的DSC操作列表如表1所示。 表1 云审计服务支持的DSC操作列表 操作名称 资源类型
参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型: 数据访问异常 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常 添加桶时,检测到桶为公共读或公共读写桶。
关联应用层和数据库层的访问操作。 提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,账号密码)在控制台上以明文显示。 多维度线索分析 行为线索 支持审计时长、语句总量、风险总量、今日语句、今日风险和今日会话量等多维度的快速分析。 会话线索 支持根据时间、数据库用户、客户端等多角度进行分析。
审计 支持云审计的操作列表 在CTS事件列表查看云审计事件
查看操作日志 系统会保存所有的操作记录,审计管理员可以定期检查操作审计日志,保障系统自身安全。 操作步骤 使用审计管理员audadmin账号登录API数据安全防护系统web控制台。 在左侧导航栏,选择“日志管理 > 操作日志”。 设置过滤条件,单击图标,查询对应的操作日志。 图1
备份恢复 备份审计日志和配置数据 恢复审计日志和配置数据 父主题: 系统管理
审计管理员操作指南 查看操作日志 消息通知 父主题: API数据安全防护
示。 表1 DSC异常检测 异常类型 异常内容 数据访问异常 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常 添加桶时,检测到桶为公共读或公共读写桶。 添加桶时
以环形图展示非法、高危、中危、低危四种风险等级的告警统计数值。 审阅统计 以环形图展示所已审阅和未审阅两种情况下的告警统计数。 检索条件 通过检索条件搜索对应的告警信息,支持默认检索条件和高级检索。 告警列表 告警日志的具体信息。 (可选)在告警列表中,单击“详情”查看此条告警日志的详细信息。 (可选)如
添加完成后,访客通过配置的应用域名/IP(例如example.com)可对应用进行代理访问。 图3 应用资产列表 步骤二:配置规则 您可以直接配置审计与防护策略,也可以根据审计日志的风险点设置审计与防护策略。策略配置完成后,开启对应策略,将对应用数据资产开启针对性的防护与审计。 配置白名单,请参见创建白名单。
在消息通知,您可以查看系统的通知告警等消息。 操作步骤 使用审计管理员audadmin账号登录API数据安全防护系统web控制台。 在左侧导航栏,选择“系统管理 > 消息通知”。 在全部、通知、告警、待办和其他等页签,查看最近的通知告警等信息。 图1 消息通知 父主题: 审计管理员操作指南
策略类型,可选审计策略包括:“添加黑名单”、“添加白名单”。 在相应的策略类型页面,设置审计与防护策略。 白名单参数说明,请参见表 白名单参数说明。 黑名单参数说明,请参见表 黑名单参数说明。 操作结果 配置完成后,您可以在以下页面查看配置完成的策略: 如果配置的是白名单,请在左侧导航栏选择“安全策略
数据流转详情 全链路的云上数据流转监测,包括以下几个阶段: 通过数据库审计日志分析数据库和源端、目的主机之间流转路径。 通过API审计日志分析数据通过API网关对外流转的路径。 通过API网关配置分析梳理主机和网关之间的流转路径。 最后通过全链路的关联分析实时测绘完整的云上数据流转路径。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
