本文介绍敏感数据保护(SDDP)异常检测功能支持的内置异常检测规则。

模型类别 模型名称 异常描述 适用数据源
数据流转异常 异常地理位置下载敏感数据 来自异常地理位置的数据下载可能是由于账号访问权限被外部攻击者获取,导致数据泄露。 OSS、RDS、MaxCompute
异常终端下载敏感数据 来自异常终端的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工使用非工作终端进行数据下载。 OSS
异常时间下载敏感数据 来自异常时间的数据下载可能是由于账号访问权限被外部攻击者获取,或者员工在非正常工作时间内进行数据下载。 OSS、RDS、MaxCompute
初次下载敏感数据 账号首次下载敏感数据可能是由于账号被错误分配敏感数据下载权限,导致敏感数据外泄。 OSS、RDS、MaxCompute
敏感数据下载量异常 敏感数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 OSS、RDS、MaxCompute
下载非常用敏感表 账号下载非常用敏感表可能是由于账号被错误分配敏感数据下载权限,导致敏感数据外泄。 RDS、MaxCompute
日志输出量异常降低 日志输出量异常,可能存在产品日志输出故障,导致产品上的数据操作异常事件无法有效识别。 OSS、RDS、MaxCompute
文件下载量异常 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 OSS
数据下载量异常 账号数据下载量异常可能是由于账号访问权限被外部攻击者获取,或者员工恶意备份敏感数据。 RDS、MaxCompute
权限使用异常 登录时间异常 来自异常时间的鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在非工作时间访问数据。 OSS、RDS、MaxCompute
登录使用终端异常 来自异常终端鉴权记录可能是由于账号访问权限被外部攻击者获取,或者员工在使用非办公终端访问数据。 OSS、RDS、MaxCompute
登录地址异常 来自异常地理位置的鉴权记录可能是由于账号访问权限被外部攻击者获取,导致数据泄露。 OSS、RDS、MaxCompute
下载非常用Bucket内敏感文档 账号下载非常用Bucket内敏感文档可能是由于账号被错误分配敏感数据下载权限,导致敏感数据外泄。 OSS
MaxCompute敏感项目未设置保护 包含敏感数据的项目未设置Protection标识(详见项目空间的数据保护),则该项目无法实现数据流出保护。 MaxCompute
MaxCompute敏感项目未设置标签安全 包含敏感数据的项目未设置Label Security标识(详见列级别访问控制),则无法控制用户对敏感数据的访问。 MaxCompute
OSS敏感Bucket被设置为可公开访问 包含敏感数据的Bucket被设置为公开,则外部人员都可以通过接口访问到敏感数据。 OSS
权限闲置期限超过阈值 闲置权限的存在违反权限最小化授权原则,长期闲置的权限如果被外部攻击者获取更不容易被发现。 OSS、RDS、MaxCompute
多次访问不存在的文件 出现多次访问不存在的文件可能是存在外部攻击尝试。 OSS
多次访问没有权限的文件 出现多次访问没有权限的文件可能是存在外部攻击尝试。 OSS
多次尝试访问未成功 出现多次尝试访问未成功可能是存在外部攻击尝试。 OSS、RDS、MaxCompute
数据操作异常 MaxCompute打标结果低于识别值 恶意调低数据打标结果可能导致恶意绕过权限控制、数据安全保护措施不能有效覆盖等风险。 MaxCompute
后台变更敏感数据字段 与后台订正数据相比,通过应用实现数据更正,存在更大的恶意风险。 MaxCompute