数据库脏表检测

操作场景

数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”，无风险程序不会访问用户自建的“脏表”，用于检测访问“脏表”的可能的恶意程序。

通过数据库脏表检测，可以帮助您监控识别访问“脏表”的SQL语句，及时发现数据安全风险。

前提条件

用户需要在待审计的实例中添加无用的数据库、表或字段，作为脏表检测的对象。

配置数据库脏表检测

1. 登录管理控制台。
2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。
3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。
4. 在“选择实例”下拉列表框中，选择需要配置数据库脏表检测的实例。
5. 选择“风险操作”页签。单击“添加风险操作”增加脏表检测规则。
6. 基本信息中将“风险等级”配置为“高”。
7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。
8. 配置操作类型，选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段，如图1所示。
   图1 添加脏表检测规则
   

9. 单击“保存”。

查看数据库脏表检测结果

数据库脏表检测开启后，您可以在“总览 > 语句”中，查看原始审计日志访问脏表的SQL语句。

1. 登录管理控制台。
2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。
3. 在左侧导航树中，选择“总览”，进入“总览”界面。
4. 在“选择实例”下拉列表框中，选择需要查看数据库脏表检测语句信息的实例。
5. 选择“语句”页签。
6. 您可以按照以下方法，查询指定的SQL语句。
   • 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。
   • 选择“风险等级”（“高”，数据库脏表检测规则默认为高），单击“提交”，列表显示该级别的SQL语句。
   • 单击“高级选项”后的，输入相关信息，如图2所示，单击“搜索”，列表显示该选项的SQL语句。
     

     一次查询最多可查询10,000条记录。

     图2 高级选项信息
     

7. 在需要查看数据库脏表检测详情的SQL语句所在行的“操作”列，单击“详情”，在详情提示框中，查看数据库访问脏表的SQL语句的详细信息，如图3所示，相关参数说明如表1所示。
   图3 “详情”提示框
   

   表1 SQL语句详情参数说明

   参数名称	说明
   会话ID	SQL语句的ID，由系统自动生成。
   数据库实例	SQL语句所在的数据库实例。
   数据库类型	执行SQL语句所在的数据库的类型。
   数据库用户	执行SQL语句的数据库用户。
   客户端MAC地址	执行SQL语句所在客户端MAC地址。
   数据库MAC地址	执行SQL语句所在数据库MAC地址。
   客户端IP	执行SQL语句所在客户端的IP地址。
   数据库IP	执行SQL语句所在的数据库的IP地址。
   客户端端口	执行SQL语句所在的客户端的端口。
   数据库端口	执行SQL语句所在的数据库的端口。
   客户端名称	执行SQL语句所在客户端名称。
   操作类型	SQL语句的操作类型。
   操作对象类型	SQL语句的操作对象的类型。
   响应结果	执行SQL语句的响应结果。
   影响行数	执行SQL语句的影响行数。
   开始时间	SQL语句开始执行的时间。
   应结束时间	SQL语句结束的时间。
   SQL请求语句	SQL语句的名称。
   请求结果	SQL语句请求执行的结果。

查看脏表检测规则

您可以在“审计规则 > 风险操作”中查看数据库脏表检测规则，并根据需要执行以下操作：

• 启用

  在数据库脏表检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。

• 编辑

  在数据库脏表检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，您可以修改数据库脏表检测规则。

• 禁用

  在数据库脏表检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库脏表检测规则。禁用数据库脏表检测规则后，该规则将不在审计中执行。

• 删除

  在数据库脏表检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库脏表检测规则后，如果需要对该规则进行安全审计，请重新添加数据库脏表检测规则。详细操作步骤，请参见：添加风险操作。