数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计,可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据,并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为,并且提供告警提示信息,用户可以确认和处理异常事件。以下行为被视为异常事件:
- 合法用户访问、下载、修改、权限更改、权限删除敏感数据。
- 合法用户更改、删除与敏感数据存储桶相关的权限。
- 非法用户在未经授权的情况下访问、下载敏感数据。
- 访问敏感数据的用户登录终端存在异常情况。
前提条件
当前异常事件处理页面含有异常事件。
操作步骤
1.单击左上角的
,选择区域或项目。
2.在左侧导航树中,单击
,选择“安全 > 数据安全中心”,进入数据安全中心总览界面。
3.在左侧导航树中选择“数据风险检测 > 数据使用审计”,进入“数据使用审计”页面,参数说明请参考下表。
在列表的右上角,可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期,事件类型以及事件状态来展示您想要的异常行为事件信息。
| 参数名称 | 参数说明 |
|---|---|
| 用户ID | 资源所有者对应的ID。 |
| 事件类型 | DSC将异常事件分成了三种类型: 数据访问异常: 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常: 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常: 添加桶时,检测到桶为公共读或公共读写桶。 添加桶时,检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。敏感文件的对象出现ACL更改、删除操作。 |
| 事件名称 | 导致异常事件发生的具体事件。 |
| 告警时间 | 异常事件发生的具体时间。 |
| 状态 | 状态说明如下: “待处理”:异常事件未进行处理。 “违例确认”:已处理异常事件为违例确认。 “违例排除”:已处理异常事件为违例排除。 |
4.在异常事件的操作列,单击“查看详情”,查看该事件的详细信息。
您可以根据异常事件的详细信息判断该事件是否为违例事件,从而确定如何来处理该事件,具体的处理方法请参见处理异常行为检测事件。
