SDDP支持自定义异常事件检测规则并提供告警,SDDP会根据您自定义的异常事件规则抓取对应的异常事件日志数据。本文档介绍了如何创建异常事件自定义规则。

背景信息

SDDP支持根据系统内置的规则和用户自定义规则检测异常事件并提供告警。SDDP支持的内置异常检测规则详情请参见SDDP内置的异常检测规则
说明 目前,仅OSS、MaxCompute和RDS支持自定义异常事件检测规则,其余云产品仅支持使用系统内置的规则检测异常事件。

操作步骤

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击数据安全实验室 > 自定义规则
  3. 单击新增规则
  4. 新增规则页面配置自定义规则相关参数。新增规则
    您可以参考以下表格配置自定义规则的参数。
    参数 说明
    规则名称 自定义异常事件检测规则的名称,建议输入有实际意义的名称以便有效识别该规则。
    风险级别 从下拉列表中选择该异常事件规则的风险等级,可选以下3种风险等级:
    资产类型 异常事件规则检测的资产类型,可选以下3种资产:
    • OSS
    • MaxCompute
    • RDS
    过滤条件 根据实际需要配置过滤条件,指定需要检测的异常事件。每个过滤条件之间是和(AND)关系。例如:过滤出OSS产品中识别结果身份证(中国内地)的日志。
    添加 单击添加,完成过滤条件的配置。支持添加多条过滤条件。
    告警条件 设置告警检测的时间单位和告警产生的条件。SDDP基于上一步中过滤的数据进行异常检测,在自定义时间段内满足告警条件,将触发异常事件告警。
    说明 告警条件中的任何UA是指任何浏览器的UserAgent。UserAgent的信息包括硬件平台、系统软件、应用软件和用户个人偏好,通过UA可以分析出浏览器名称、浏览器版本号、渲染引擎、操作系统。告警条件选择了任何UA,可以抓取UserAgent中的相应异常事件。
  5. 单击确定,完成异常事件规则的创建。
    异常事件规则创建完成后,您可以在自定义规则列表中查看该异常事件检测规则的开启状态、命中结果和详情信息,或编辑该检测规则。异常事件规则
    说明 已创建异常事件规则的状态默认为开启。您也可在自定义规则列表中手动关闭该规则。关闭该规则后,SDDP将不会再用该规则项进行检测。

后续步骤

创建并开启异常事件规则后,SDDP将在1小时左右同步检测结果,您可在异常事件处理页面查看相关数据。更多信息请参见异常事件处理异常事件