数据安全审计审计规则

数据安全审计提供审计规则管理功能，您可以直接开启系统内置审计规则，也可自定义审计规则，以实现特性化场景需求。
规则说明
数据安全审计提供三种类型的规则：
类型
应用场景
说明
风险监测（黑名单）
用于检测数据库操作中的异常行为，当出现不符合正常操作模式的行为时触发告警。
使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时，会触发告警。
信任规则（白名单）
适用于对已知安全、可信任的数据库操作进行定义，以便在审计过程中对这些操作进行特殊处理。
例如：互联网金融行业：对于已备案且合规的第三方支付机构按正常流程进行的资金结算、清算等数据库操作，设定信任规则，确保业务顺畅同时精准审计异常。
使用信任规则可定义您信任的操作。如果您需要审计某类数据库操作，但无需上报告警，您可以为此类数据库操作自定义信任规则，帮助您提高告警准确率。
过滤规则
主要用于筛选出不需要审计的操作，减少无效审计信息，优化审计日志管理。
使用过滤规则可定义您信任的操作。系统不审计您在过滤规则中定义的操作，帮助您提高告警准确率，并节省审计日志存储空间。
审计规则触发匹配的流程如下，通过以下流程处理最终判断和产生审计日志或风险：
﻿
规则启用
在审计规则页面，您可以根据资产视角或者规则视角，进行规则的启用和禁用。
快捷配置
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在规则视角页面，单击快捷配置，弹出快捷配置弹窗。
﻿
3. 在快捷配置弹窗，选择需要快捷配置规则的资产（也可选择所有资产），并选择适合的快捷配置组，单击确定即可完成配置，配置后将覆盖当前该资产的规则启用配置。
说明
资产开启审计权限时，已默认开启常见配置规则。
规则列表中，规则名称后已添加其所属的常见配置标识。
﻿
启用/禁用规则
规则视角
资产视角
规则视角页将显示当前所有审计规则，您可根据审计规则视角，为不同的数据资产配置开启或禁用某条规则。
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在审计规则页面，单击规则视角，进入规则视角页面。
﻿
启用规则
a.单击列表中关联数据资产列的图标
﻿
，然后选择启用。
﻿
b.在规则启用页面，选择需要启用该规则的资产。确认无误后，单击确定，即可为所选资产开启当前规则。
禁用规则
a.单击列表中关联数据资产列的图标
﻿
，然后选择禁用。
﻿
b.在规则禁用页面，选择需要禁用该规则的资产。确认无误后，单击确定，即可为所选资产禁用当前规则。
资产视角页面将显示当前已开启数据安全审计的数据资产，您可以根据具体的资产视角，为资产设置开启或禁用不同的审计规则。
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在审计规则页面，单击资产视角，进入资产视角页面。
﻿
启用规则
a.单击列表中规则启用列的图标
﻿
，然后选择启用。
﻿
b.在规则启用页面，选择需要为当前数据资产启用的规则。确认无误后，单击确定，即可为当前资产开启相关规则。
禁用规则
a.单击列表中规则启用列的图标
﻿
，然后选择禁用。
﻿
b.在规则禁用页面，选择需要为当前数据资产禁用的规则。确认无误后，单击确定，即可为当前资产禁用相关规则。
查看规则
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在规则视角页面，可查看系统提供的内置规则和自定义规则。
新建规则
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在规则视角页面，单击新建，进入新建规则页面，依次配置基础信息、规则定义和输出定义。
基础信息
﻿
参数
﻿
参数说明
规则类型
风险监测（黑名单）
使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时，会触发告警。
﻿
信任规则（白名单）
使用信任规则可定义您信任的操作。如果您需要审计某类数据库操作，但无需上报告警，您可以为此类数据库操作自定义信任规则，帮助您提高告警准确率。
﻿
过滤规则
使用过滤规则可定义您信任的操作。系统不审计您在过滤规则中定义的操作，帮助您提高告警准确率，并节省审计日志存储空间。
规则名称
﻿
自定义规则名称，用于标识具体规则，长度为1-64个字符，不可重复。
规则备注
﻿
规则描述信息。
风险等级
﻿
规则对应的风险等级，若命中规则，可在 审计风险页面 查看相关低、中、高风险日志信息。
过滤方式
只审计风险行为（命中风险检测规则）
仅对符合风险检测规则的操作进行审计记录，其他操作不记录，聚焦风险行为审计，减少非风险操作日志冗余。
﻿
自定义过滤规则
根据自行设定的条件过滤操作，可灵活指定哪些操作不被审计，进一步精准控制审计范围，节省审计资源 。
说明：
若一个资产同时关联“只审计风险行为”过滤规则和自定义过滤规则，仅前者生效。
规则定义：以下三个规则仅作为示例，且规则类型为黑名单，用户可根据自身业务自行配置。
防爬取规则：防止使用例如 select 操作语句，爬取表数据。
﻿
慢查询发现规则：检查执行时间较长的 SQL 语句，便于进行优化。
﻿
危险操作规则：检查执行 delete、drop、alter 等类型的高危 SQL 语句。
﻿
输出定义、规则启用
﻿
参数说明：
是否告警：根据实际需求选择是否告警。
关联数据资产：根据实际需求选择资产。（可选）
3. 配置完成后，单击确定即可。
修改规则
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在规则视角页面，找到需要修改的规则，单击编辑，进入编辑规则页面。
﻿
3. 在编辑规则页面，修改信息后，单击确定即可。
删除规则
1. 登录 数据安全审计控制台，在左侧导航栏中，单击安全运营 > 审计规则。
2. 在规则视角页面，找到需要删除的规则，单击删除，弹出确认删除弹窗。
﻿
3. 在确认删除弹窗中，单击确定即可。
﻿

类型	应用场景	说明
风险监测（黑名单）	用于检测数据库操作中的异常行为，当出现不符合正常操作模式的行为时触发告警。	使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时，会触发告警。
信任规则（白名单）	适用于对已知安全、可信任的数据库操作进行定义，以便在审计过程中对这些操作进行特殊处理。例如：互联网金融行业：对于已备案且合规的第三方支付机构按正常流程进行的资金结算、清算等数据库操作，设定信任规则，确保业务顺畅同时精准审计异常。	使用信任规则可定义您信任的操作。如果您需要审计某类数据库操作，但无需上报告警，您可以为此类数据库操作自定义信任规则，帮助您提高告警准确率。
过滤规则	主要用于筛选出不需要审计的操作，减少无效审计信息，优化审计日志管理。	使用过滤规则可定义您信任的操作。系统不审计您在过滤规则中定义的操作，帮助您提高告警准确率，并节省审计日志存储空间。

参数			参数说明
规则类型	风险监测（黑名单）	使用风险识别规则检测异常操作。审计记录命中配置并启用的风险识别规则时，会触发告警。
		信任规则（白名单）	使用信任规则可定义您信任的操作。如果您需要审计某类数据库操作，但无需上报告警，您可以为此类数据库操作自定义信任规则，帮助您提高告警准确率。
		过滤规则	使用过滤规则可定义您信任的操作。系统不审计您在过滤规则中定义的操作，帮助您提高告警准确率，并节省审计日志存储空间。
规则名称			自定义规则名称，用于标识具体规则，长度为1-64个字符，不可重复。
规则备注			规则描述信息。
风险等级			规则对应的风险等级，若命中规则，可在审计风险页面查看相关低、中、高风险日志信息。
过滤方式	只审计风险行为（命中风险检测规则）	仅对符合风险检测规则的操作进行审计记录，其他操作不记录，聚焦风险行为审计，减少非风险操作日志冗余。
过滤方式		自定义过滤规则	根据自行设定的条件过滤操作，可灵活指定哪些操作不被审计，进一步精准控制审计范围，节省审计资源。

审计规则

本页目录：

规则说明

规则启用

快捷配置

启用/禁用规则

查看规则

新建规则

修改规则

删除规则