配置安全規(guī)則
將數(shù)據(jù)庫添加到數(shù)據(jù)庫審計系統(tǒng)后,您可以為數(shù)據(jù)庫配置安全規(guī)則(即審計規(guī)則),當(dāng)數(shù)據(jù)庫的審計記錄命中審計規(guī)則時,數(shù)據(jù)庫審計系統(tǒng)會觸發(fā)告警。本文介紹如何配置審計規(guī)則。
規(guī)則說明
審計規(guī)則支持內(nèi)置規(guī)則和自定義規(guī)則。
內(nèi)置規(guī)則即數(shù)據(jù)庫審計系統(tǒng)默認(rèn)提供的審計規(guī)則,可直接用于關(guān)聯(lián)數(shù)據(jù)庫。
內(nèi)置規(guī)則不可修改。您可以復(fù)制內(nèi)置規(guī)則生成一條自定義規(guī)則,基于復(fù)制的規(guī)則修改。
當(dāng)內(nèi)置規(guī)則不滿足您的業(yè)務(wù)需求時,您可以添加自定義規(guī)則。
前提條件
已將數(shù)據(jù)庫資產(chǎn)接入數(shù)據(jù)庫審計系統(tǒng),并為數(shù)據(jù)庫開啟審計。添加數(shù)據(jù)庫的具體操作,請參見管理數(shù)據(jù)庫資產(chǎn)。
添加自定義規(guī)則
登錄數(shù)據(jù)庫審計系統(tǒng)。具體操作,請參見登錄數(shù)據(jù)庫審計系統(tǒng)。
在左側(cè)導(dǎo)航欄,選擇。
在安全規(guī)則管理頁簽,單擊
圖標(biāo)。在右側(cè)區(qū)域配置規(guī)則基本信息。
配置項
說明
規(guī)則名稱
規(guī)則名稱。規(guī)則名稱不允許重復(fù)。
風(fēng)險級別
命中規(guī)則后觸發(fā)的告警的風(fēng)險級別。
規(guī)則類型
自定義規(guī)則類型分為注入攻擊、操作規(guī)則、訪問規(guī)則、口令攻擊四類,不同類型需設(shè)置的內(nèi)容不同。
規(guī)則組
用于對規(guī)則進行分類標(biāo)識,可自定義規(guī)則組名。
例外規(guī)則
指定告警白名單的范圍。配置例外規(guī)則后,在例外規(guī)則設(shè)置的時段內(nèi),來自指定訪問源的訪問操作會被判斷為合法行為,即數(shù)據(jù)庫審計系統(tǒng)不會對該訪問操作產(chǎn)生告警。在同一個自定義規(guī)則中,最多允許添加3條例外規(guī)則。
說明規(guī)則類型選擇口令攻擊時,無法設(shè)置例外規(guī)則。
規(guī)則名稱:設(shè)置例外規(guī)則的名稱。
訪問來源:設(shè)置合法的訪問來源信息。不同類型來源信息之間是與的關(guān)系,即同時滿足所有來源信息,訪問操作才會被判斷為合法行為。如果您在某一類來源信息中同時設(shè)置了多個條件,多個條件之間是或的關(guān)系。
配置示例:
來源IP設(shè)置為192.168.0.1
數(shù)據(jù)庫用戶設(shè)置為user01和TestUser01
在例外規(guī)則生效時間內(nèi),來源IP為192.168.0.1且數(shù)據(jù)庫用戶名稱為user01或TestUser01的訪問操作會被判斷為合法訪問。來源IP非192.168.0.1,或數(shù)據(jù)庫名稱非User01或TestUser01的訪問,數(shù)據(jù)庫審計系統(tǒng)會根據(jù)已有的審計規(guī)則判斷該訪問操作是否合法,并確定是否上報告警。
時間限制設(shè)置:設(shè)置例外規(guī)則生效的時間段。
根據(jù)選擇的規(guī)則類型配置規(guī)則內(nèi)容,然后單擊保存。
規(guī)則類型為注入攻擊時,需配置以下信息:
類別
配置項
說明
訪問來源
來源IP
訪問數(shù)據(jù)庫來源IP地址。如:192.168.XX.1~192.168.XX.128。
如果需要所有來源都允許訪問數(shù)據(jù)庫,IP地址可設(shè)置為0.0.0.0~255.255.255.255。
數(shù)據(jù)庫用戶
數(shù)據(jù)庫所使用的用戶名,可添加多個用戶名。
客戶端工具
客戶端使用的工具名稱,可添加多個客戶端工具。
MAC地址
訪問數(shù)據(jù)庫設(shè)備的MAC地址。
操作系統(tǒng)用戶
訪問數(shù)據(jù)庫所使用的操作系統(tǒng)名稱。
主機名
訪問數(shù)據(jù)庫所使用的計算機主機名。
服務(wù)(實例)名
訪問的數(shù)據(jù)庫實例名。
操作
SQL操作
基于SQL語句,選擇規(guī)則命中的操作命令。
條件控制
報文關(guān)鍵字
根據(jù)報文關(guān)鍵字支持使用包含、不包含、正則匹配制定規(guī)則。
報文關(guān)鍵字-模板
根據(jù)報文關(guān)鍵字-模板支持使用包含、不包含、正則匹配制定規(guī)則。
執(zhí)行結(jié)果
影響行數(shù)限制
適用于包含SELECT、UPDATE、DELETE。
注入特征
注入特征
設(shè)置注入攻擊的命令特征,數(shù)據(jù)庫審計系統(tǒng)將針對設(shè)定的注入特征進行規(guī)則匹配。
響應(yīng)動作
控制動作
無需配置,僅用于提示。
審計
選擇審計方式。
告警審計:系統(tǒng)審計該類語句規(guī)則,并上報告警。
僅審計:系統(tǒng)僅審計該類語句規(guī)則,不上報告警。
不審計:系統(tǒng)不審計該類語句規(guī)則。
告警通知次數(shù)
每天同一告警規(guī)則告警次數(shù)上限。
審計結(jié)果集
訪問結(jié)果數(shù)據(jù)的審計方式。
按審計選項設(shè)置:根據(jù)您資產(chǎn)設(shè)置的結(jié)果集審計開關(guān),確定是否審計訪問結(jié)果數(shù)據(jù)。
審計:審計訪問結(jié)果數(shù)據(jù)。您需要設(shè)置審計訪問結(jié)果數(shù)據(jù)支持的最大行數(shù)和最大字符數(shù)。訪問結(jié)果數(shù)據(jù)達到最大行數(shù)和最大字符數(shù)中任一個您設(shè)置的閾值時,數(shù)據(jù)庫審計系統(tǒng)都會停止剩余訪問結(jié)果數(shù)據(jù)的審計。
不審計:不審計訪問結(jié)果數(shù)據(jù)。
時間限制設(shè)置
時間限制設(shè)置
配置規(guī)則的生效時間。
已關(guān)聯(lián)數(shù)據(jù)庫
已關(guān)聯(lián)數(shù)據(jù)庫
選擇需要啟用該規(guī)則的數(shù)據(jù)庫。
其他
規(guī)則描述
規(guī)則描述信息,最多支持1,000個字符。
規(guī)則類型為操作規(guī)則時,需配置以下信息:
類別
配置項
說明
訪問來源
來源IP
訪問數(shù)據(jù)庫來源IP地址,如:192.168.XX.1~192.168.XX.128。
如果需要所有來源都允許訪問數(shù)據(jù)庫,IP地址可設(shè)置為0.0.0.0~255.255.255.255。
數(shù)據(jù)庫用戶
數(shù)據(jù)庫所使用的用戶名,可添加多個用戶名。
客戶端工具
訪問數(shù)據(jù)庫所使用的客戶端工具名稱。
MAC地址
訪問數(shù)據(jù)庫設(shè)備的MAC地址。
操作系統(tǒng)用戶
訪問數(shù)據(jù)庫所使用的操作系統(tǒng)名稱。
主機名
訪問數(shù)據(jù)庫所使用的計算機主機名。
服務(wù)(實例)名
訪問的數(shù)據(jù)庫實例名。
應(yīng)用身份
應(yīng)用客戶端IP
應(yīng)用關(guān)聯(lián)客戶端IP地址。
應(yīng)用用戶
應(yīng)用關(guān)聯(lián)用戶名。
操作
數(shù)據(jù)操作
配置DDL、DML、DCL等匹配規(guī)則。
指定對象操作
對象
配置當(dāng)前規(guī)則生效的對象。未設(shè)置對象時,該規(guī)則的默認(rèn)生效范圍為已開啟審計的所有數(shù)據(jù)庫資產(chǎn)。單擊添加完成生效對象相應(yīng)配置。設(shè)置對象后,該規(guī)則只對已設(shè)置的對象生效。以下是配置說明:
對象關(guān)系:設(shè)置在添加指定對象操作面板添加的多個對象之間的關(guān)系。
對象組:在下拉列表中選擇數(shù)據(jù)庫對象組,支持同時選擇多個數(shù)據(jù)庫對象組。
對象:設(shè)置該規(guī)則生效的對象的詳細(xì)信息。
SQL操作:選擇規(guī)則生效的SQL操作范圍。
對象集合關(guān)系
指定多個對象集合之間的關(guān)系,默認(rèn)為或。
條件控制
條件控制
關(guān)聯(lián)表個數(shù)、報文關(guān)鍵字、where條件匹配。
執(zhí)行結(jié)果
執(zhí)行結(jié)果
影響行數(shù)、響應(yīng)時間、執(zhí)行結(jié)果、應(yīng)答錯誤號匹配。
響應(yīng)動作
控制動作
此項目不需要配置,僅用于提示。
審計
設(shè)置審計方式。可選值:
告警審計:系統(tǒng)審計該類語句規(guī)則,并上報告警。
僅審計:系統(tǒng)僅審計該類語句規(guī)則,不上報告警。
不審計:系統(tǒng)不審計該類語句規(guī)則。
告警通知次數(shù)
每天同一告警規(guī)則告警次數(shù)。
審計結(jié)果集
設(shè)置訪問結(jié)果數(shù)據(jù)的審計方式。可選值:
按審計選項設(shè)置:根據(jù)您資產(chǎn)設(shè)置的結(jié)果集審計開關(guān),確定是否審計訪問結(jié)果數(shù)據(jù)。
審計:審計訪問結(jié)果數(shù)據(jù)。您需要設(shè)置審計訪問結(jié)果數(shù)據(jù)支持的最大行數(shù)和最大字符數(shù)。訪問結(jié)果數(shù)據(jù)達到最大行數(shù)和最大字符數(shù)中任一個您設(shè)置的閾值時,數(shù)據(jù)庫審計系統(tǒng)都會停止剩余訪問結(jié)果數(shù)據(jù)的審計。
不審計:不審計訪問結(jié)果數(shù)據(jù)。
時間限制設(shè)置
時間限制設(shè)置
配置規(guī)則的生效時間。
已關(guān)聯(lián)數(shù)據(jù)庫
已關(guān)聯(lián)數(shù)據(jù)庫
可查看和配置關(guān)聯(lián)數(shù)據(jù)庫,關(guān)聯(lián)數(shù)據(jù)庫即啟用本條規(guī)則。
其他
規(guī)則描述
規(guī)則描述信息,最多支持1,000個字符。
規(guī)則類型為訪問規(guī)則時,需配置以下信息:
類別
配置項
說明
訪問來源
來源IP
訪問數(shù)據(jù)庫來源IP地址,如:192.168.XX.1~192.168.XX.128。
如果需要所有來源都允許訪問數(shù)據(jù)庫,IP地址可設(shè)置為0.0.0.0~255.255.255.255。
數(shù)據(jù)庫用戶
數(shù)據(jù)庫所使用的用戶名,可添加多個用戶名。
客戶端工具
客戶端使用的工具名稱。可添加多個客戶端工具。
MAC地址
訪問數(shù)據(jù)庫設(shè)備的MAC地址。
操作系統(tǒng)用戶
訪問數(shù)據(jù)庫所使用的操作系統(tǒng)名稱。
主機名
訪問數(shù)據(jù)庫所使用的計算機主機名。
服務(wù)(實例)名
訪問的數(shù)據(jù)庫實例名。
響應(yīng)動作
控制動作
此項目不需要配置,僅用于提示。
審計
設(shè)置審計方式。可選值:
告警審計:系統(tǒng)審計該類語句規(guī)則,并上報告警。
僅審計:系統(tǒng)僅審計該類語句規(guī)則,不上報告警。
告警通知次數(shù)
每天同一告警規(guī)則告警次數(shù)。
時間限制設(shè)置
時間限制設(shè)置
配置規(guī)則的生效時間。
已關(guān)聯(lián)數(shù)據(jù)庫
已關(guān)聯(lián)數(shù)據(jù)庫
可查看和配置關(guān)聯(lián)數(shù)據(jù)庫,關(guān)聯(lián)數(shù)據(jù)庫即啟用本條規(guī)則。
其他
規(guī)則描述
規(guī)則描述信息,最多支持1,000個字符。
規(guī)則類型為口令攻擊時,需配置以下信息:
類別
配置項
說明
訪問來源
失敗登錄控制
以IP、用戶名或者IP+用戶名作為判斷基準(zhǔn),累計失敗次數(shù)達到指定值進行告警。
執(zhí)行結(jié)果
執(zhí)行結(jié)果
設(shè)置記錄登錄失敗風(fēng)險的時間區(qū)間、登錄時間次數(shù),及多長時間內(nèi)按控制動作處理(即放行)的時間段。
響應(yīng)動作
控制動作
此項目不需要配置,僅用于提示。
審計
設(shè)置審計方式。可選值:
告警審計:系統(tǒng)審計該類語句規(guī)則,并上報告警。
僅審計:系統(tǒng)僅審計該類語句規(guī)則,不上報告警。
已關(guān)聯(lián)數(shù)據(jù)庫
已關(guān)聯(lián)數(shù)據(jù)庫
可查看和配置關(guān)聯(lián)數(shù)據(jù)庫,關(guān)聯(lián)數(shù)據(jù)庫即啟用本條規(guī)則。
其他
規(guī)則描述
規(guī)則描述信息,最多支持1,000個字符。
查看規(guī)則引用
您可以查詢數(shù)據(jù)庫關(guān)聯(lián)的規(guī)則信息,并按需進行關(guān)聯(lián)規(guī)則、取消關(guān)聯(lián)規(guī)則、禁用規(guī)則、啟用規(guī)則等操作。
登錄數(shù)據(jù)庫審計系統(tǒng)。具體操作,請參見登錄數(shù)據(jù)庫審計系統(tǒng)。
在左側(cè)導(dǎo)航欄,選擇。
在規(guī)則引用頁簽,設(shè)置查詢條件后,單擊查詢。
規(guī)則配置頁面顯示了已啟用的規(guī)則配置概況。
檢索條件中是否關(guān)聯(lián)選擇未關(guān)聯(lián)時,查詢出來的規(guī)則為未關(guān)聯(lián)規(guī)則。可以通過單擊規(guī)則操作列的關(guān)聯(lián),關(guān)聯(lián)相應(yīng)規(guī)則。
調(diào)整規(guī)則優(yōu)先級
若規(guī)則設(shè)置中存在相同配置,并關(guān)聯(lián)同一數(shù)據(jù)庫,您可以通過調(diào)整規(guī)則的優(yōu)先級,使審計的SQL命中優(yōu)先級高的規(guī)則。
命中規(guī)則的順序會按照先匹配語句規(guī)則后匹配安全規(guī)則來進行,且同一類型規(guī)則之間也會按優(yōu)先級排序。
登錄數(shù)據(jù)庫審計系統(tǒng)。具體操作,請參見登錄數(shù)據(jù)庫審計系統(tǒng)。
- 在左側(cè)導(dǎo)航欄,選擇頁面,單擊規(guī)則引用頁簽。
在規(guī)則引用頁簽,設(shè)置查詢條件后,單擊查詢。
根據(jù)需要,上移、下移、置頂或置底規(guī)則后,單擊生效優(yōu)先級。
您可以按照序號識別優(yōu)先級高低,序號越小的規(guī)則優(yōu)先級越高。
