- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath D2000-G[AK][G510][V][C]系列数据库审计系统
典型配置
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍了H3C SecPath数据库审计系统的配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解数据库审计、策略等特性。
为了保障数据信息的安全,运维人员可通过数据库审计系统监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析SQL操作语句。通过设置的规则,智能的判断出违规操作数据库的行为,并对违规行为进行记录、报警,及时地发现针对数据库的违规操作行为。
· 短信通知需短信猫设备支持;
· 邮件通知中不同的邮箱类型需设置不同的服务器地址。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 电脑终端通过交叉线直连设备第一网口(网卡1,即GE0/0);
(2) 打开浏览器,输入地址:https://192.168.0.1,打开WEB登录页面;
(3) 使用admin帐号登录数据库审计系统;
(4) 点击左侧菜单栏的“系统管理”-“网络配置”,打开“网络配置”页面;
(5) 配置管理口(网卡1 ,即GE0/0)的IP地址,在面板模式页面上,鼠标放置于第一个网口上时出现设置/修改IP项。
图1 修改IP-面板模式
在表格模式下,鼠标置于第一个网口,右键点击出现设置/修改IP项。
图2 修改IP-表格模式
配置好IP地址、子网掩码和网关后,点击 “确定”按钮。
图3 IP配置界面(IPv4)
最后需点击 “配置生效”按钮,使得修改的配置生效。
图4 配置生效界面
(1) 电脑终端通过交叉线直连设备第一网口(网卡1,即GE0/0);
(2) 打开浏览器,输入地址:https://[2004::24],打开WEB登录页面;
(3) 使用admin帐号登录数据库审计系统;
(4) 点击左侧菜单栏的“系统管理”-“网络配置”,打开“网络配置”页面;
(5) 配置管理口(网卡1 ,即GE0/0)的IP地址,在面板模式页面上,鼠标放置于第一个网口上时出现设置/修改IP项。
图5 修改IP-面板模式(IPV6)
在表格模式下,鼠标置于第一个网口,右键点击出现设置/修改IP项。
图6 修改IP-表格模式(IPV6)
配置好IPV6地址、子网前缀长度和网关后,点击“确定”按钮。
图7 IP配置界面(IPV6)
最后需点击“配置生效”按钮,使得修改的配置生效。
注意事项:点击配置生效后,登录数据库审计web界面需访问数据库审计系统新的管理IP地址。可同时配置IPv4和IPV6地址,且可通过IPv4或IPV6地址访问数据库审计系统。
(1) 打开浏览器,输入前面配置的管理IP地址,打开登录页面;
图8 Web登录界面
(2) 使用sec帐号登录数据库审计系统;
(3) 点击左侧菜单栏的“策略中心”-“监听配置”,打开“监听配置”页面;
图9 监听配置
(4) 在“业务系统配置”配置页中,点击“添加”按钮,弹出“添加业务系统”窗口;
图10 添加业务系统-未填写
(5) 在弹出的窗口中进行数据库监听配置,其中:
¡ 业务系统名称只允许输入中文(中文符号除外)、字母、数字、英文符号(_、.)。
¡ 状态设置为启用。
¡ 编码策略可以选择自动识别或者是对应的编码类型。
¡ 数据库有主流数据库、国产数据库和专用数据库,选择不同项目,类型中出现不同的数据库类型选择项。
¡ 类型选择为对应的数据库类型,本例为MySQL数据库。
¡ IP填写数据库服务器IP,本例为183.1.0.154。
¡ 端口填写数据库服务器端口,本例为3306。
图11 添加业务系统-已填写
(6) 配置完成后,点击“确定”按钮,完成数据库监听配置。
(1) 打开浏览器,输入前面配置的管理IP地址,打开登录页面;使用sec账户登录数据库审计系统;点击左侧菜单栏的“策略中心”-“事件定义”,打开“事件定义”页面;
图12 事件定义
(2) 在“数据库应用规则”配置页中,点击“添加”按钮,弹出“增加数据库应用规则”窗口;
(3) 在弹出的窗口中进行数据库审计规则配置;
图13 事件定义具体配置
(4) 配置完成后,点击“确定”按钮,完成数据库审计规则配置;
数据库规则配置举例如下:
常规设置
· 规则名:test。
· 规则状态:启用。
· 风险级别:高可疑。
· 规则动作:记录。
· 规则描述:查看每周二早上8点到下午18点101.1.12.2主机对183.1.0.154数据库服务器上的数据库进行查询操作的情况。
客户端触发条件设置
· 时间范围=08:00-18:00 每周周二。
· 客户端地址:Or:101.1.12.2。
· 操作方式:Or:select。
服务端触发条件设置
· 服务端地址:183.1.0.154。
· 记录返回值:记录,记录不超过4096字节。
客户端条件和服务端条件可以在对象管理中配置,也可以点击选项后面的“+”直接添加。
图14 增加数据库应用规则
在“策略中心”-“事件响应”,在“事件响应”页面中,系统将识别到的事件分三个等级:高可疑、中可疑、低可疑三级。响应策略主要有:windows告警、syslog告警、SNMP TRAP告警、发送邮件、短信猫五种。
图15 事件响应
为各类风险事件设置统一响应策略,并以列表形式展示设置结果。选择某类风险级别后,点击 “修改”按钮,可修改该风险级别的响应策略。
图16 修改风险响应策略
响应策略配置主要是配置各类响应策略的参数。
响应策略配置举例如下:
(1) Windows告警配置
· 启用:打钩
· IP地址:10.5.8.244。
· 发送最小时间间隔(分钟):60。
· 点击“测试”按钮,测试配置是否成功,成功后点击“保存配置”。
图17 Windows告警配置
(2) syslog告警配置
· 启用:打钩。
· IP地址:10.4.9.12。
· 端口:514。
· 编码策略:GB2312。
· 点击“测试”按钮,测试配置是否成功,成功后点击“保存配置”。可以点击
图标添加多个syslog接收服务器(最多支持5个)。
图18 Syslog告警配置
(3) SNMP TRAP服务器配置
· 启用:打钩
· IP地址:183.12.12.12
· 端口:162
· 版本:V2C
· 点击“保存配置”
图19 SNMP TRAP告警
(4) 邮件服务器配置
· DNS服务器:114.114.114.114。
· 邮件服务器地址:smtp.exmail.qq.com。
· 发件人地址:[email protected]。
· 密码:(根据需要填写)。
· 发送最小时间间隔(分钟):60。
· 收件人地址:[email protected];[email protected]。
· 启用邮箱登录认证:打钩。
· 点击“测试”按钮,测试配置是否成功,成功后点击“保存配置”。
图20 邮件服务器配置
(5) 短信猫配置
· 启用:打钩。
· 电话号码:15705954758。
· 点击“测试”按钮,测试配置是否成功,成功后点击“保存配置”。
图21 短信猫配置
(6) 风险响应策略
· 高可疑响应策略:windows告警、syslog。
· 中可疑响应策略:邮件。
· 低可疑响应策略:SNMP
图22 风险响应策略
(2) 在“审计中心”-“语句查询”页面的实时语句能查询到语句数据;
(3) 在“监控中心”-“事件查看”页面中能查询到根据预设定的规则产生的事件;
图23 验证Windows消息框
图24 验证Syslog告警
图25 验证SNMP trap告警
图26 验证邮件告警
满足医疗行业对防统方的业务安全需求,向用户展示发生可疑的统方事件,并对事件的时间、地点、人物、内容进行追踪、回溯。
统方是对医生用药信息量、用药单据的统计。医药营销人员或医药代表通过获取统方数据后,对医生或部门发放每个月或一段时间的开单药品回扣。因此,该行为是医疗行业特有的,统方事件是我们针对医疗行业的一种违法业务行为而制定的一种敏感事件类型,它基于普通的事件匹配统方数据后生成。如客户不是医疗行业或不需要此功能,可不用配置。
· 统方事件触发机制:默认基于中、高可疑事件的基础上要满足至少两个不同的敏感信息(关键表、关键字段、应用程序对应表)的配置,即可触发统方事件。
· “统方事件触发机制配置”可在API界面修改,可配置统方事件基于高、中、低可疑风险级别中的两个及以上的风险级别作为基础触发。
· 因统方事件基于告警事件产生,在“事件查看”页面产生事件告警的五分钟后,统方事件才会展示在“统方事件”页面。
统方事件触发机制配置非必须配置,无特殊需求,使用默认配置即可
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
可根据3.4.2配置监听数据库。
(1) 了解需触发为统方事件的SQL语句的特征:表名、字段、应用程序名。可通过查看实时查询的语句详细获取。
图27 选中语句,右键点击“查看语句详细”
(2) 配置敏感信息。配置关键表或关键字段或应用程序至少一种,若配置2者或以上,则需要至少匹配配置的种类一半以上,例如:配置关键表名med_exam_master、关键字段EXAM_DATE_TIME、应用程序名icuapp.exe,则需要一个告警事件至少满足三者其中之二才会产生统方事件。
图28 配置关键表
图29 配置关键字段
图30 配置应用程序名
(1) 可根据需要触发为统方事件的SQL语句的特征配置数据库审计规则,具体可参考3.4.3。
(2) 将需要触发统方事件的规则的风险级别,配置为“统方事件触发机制配置”中勾选的级别。
图31 事件定义配置
图32 “事件查看”页面事件展示
图33 “统方事件”页面事件展示
(3) 统方事件需要在相应的事件查看告警事件产生5分钟左右后才会在统方事件页面展示。
工号为向用户展示产生事件告警的实际行为者(账号),处方查询分析提供医生处方信息查询的统计分析。
· 明确工号的提取方式并进行对应的配置。
· 处方查询分析需配置启用后,在统方事件页面才会展示对应的标签页。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 登录“https://设备IP/API”
图34 登录API界面
(2) 输入“系统维护工具登录”密码,点击“确定”
(3) 点击“工号与处方查询分析”
图35 访问工号与处方查询分析页面
(4) “是否启用医生工号提取”修改为启用状态,“工号提取的方式”选择1或者2,点击“保存配置”
a. 1 - HIS标准化提取,需要与“敏感信息”-“业务系统”配套使用
b. 2 - 数据库用户名代表医生工号,即解析出来的执行语句的数据库用户名被提取为医生工号
设置“工号提取的方式”为1,具体操作参考5.4.1
(1) 配置“敏感信息”-“业务系统”,根据实际环境配置。假设实际环境为易联众,则选择“易联众”后“启用系统”。
图36 启用敏感信息-业务系统
(2) 配置“监听配置”-“业务系统配置”,配置方式参考3.4.2。配置“事件定义”-“数据库应用规则”,配置方式参考3.4.3。
图37 配置业务系统配置
图38 配置数据库应用规则
(3) 根据配置的“数据库应用规则”触发的告警,查看“事件查看”页面,点击“事件追踪”查看详情。
图39 访问事件查看
(4) 查看事件追踪,可以看到系统通过“HIS标准化提取”,将提取出来的工号展示在“行为者(账号)”一栏。
图40 查看事件追踪-工号提取结果
(5) 配置其它的信息会由启动的“业务系统”中的默认配置进行翻译
图41 查看事件追踪-其它信息翻译
(1) 设置“工号提取的方式”为2,具体操作参考5.4.1。
(2) 配置“监听配置”-“业务系统配置”,配置方式参考3.4.2。配置“事件定义”-“数据库应用规则”,配置方式参考3.4.3。
(3) 医生ID翻译:配置医生ID对应表。配置后,SQL语句中的对应字段名,会被翻译为“医生ID”;被提取出的医生ID号的值【必须展示于事件查看-事件追踪的“行为者(账号)”位置的才会被翻译】,会根据该医生ID号对应的别名进行翻译。
图42 配置医生ID对应表
(4) 根据配置的“数据库应用规则”触发的告警,查看“事件查看”页面,点击“事件追踪”查看详情。
图43 查看事件追踪翻译情况
(5) 药品ID翻译:配置药品ID对应表。配置后,SQL语句中的对应字段名,会被翻译为“药品ID”。SQL语句中的药品ID号,会被翻译为对应的别名。
图44 配置药品ID对应表
图45 查看事件追踪翻译情况
需要满足以下条件:
(1) SQL语句有提取出医生工号,提取医生工号方法参见5.4.1、5.4.2、5.4.3。
备注:如果无法确认该语句是否成功提取出医生工号,可以将该语句的特征配置为“事件定义”-“数据库应用规则”;触发告警后,在“事件查看”-“事件追踪”页面查看行为者(账号)一栏是否有数据。若有,则表明成功提取医生工号。
图46 事件追踪确认医生工号提取结果
(2) 将该SQL语句的SQL模板编号配置进API界面的“工号与处方查询分析”-“统方SQL模板编码”。
图47 配置统方SQL模板编码
(3) 等待第二天,在“统方事件”-“处方查询分析”页面查询。
图48 配置统方SQL模板编码
报表功能是审计日志大数据系统化、可视化分析的具体表现。H3C SecPath数据库审计系统可提供根据安全经验和行业需求预定义的报表模板和审计报告,如审计设备自身健康状态分析报告、特权账号与异常时段分析报告、业务流量分析报告、塞班斯(SOX)法案数据库安全审计符合性报告等等。通过报表功能中的审计报告、周期报送等,直观体现了审计日志和风险分析中数据库安全趋势,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
· 目前系统默认会在每天的00:00-07:00期间生成报表。
· 可将流量周期统计报表添加到“监控中心”-“流量钻取”中展示,但要求“报表对象”列表中的统计对象最多有两种同类型对象。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
报表任务,是生成报表的依据,包含两种类型:自定义和系统默认。自定义报表任务,是系统根据用户制定的任务生成符合条件的报表;系统默认提供了七个报表任务,生成的报表也可以在“监控中心”-“流量钻取”中查看。
报表任务界面主要操作有:查看报表、新建报表、修改报表、删除报表、导入报表配置、导出选中报表配置、导出全部配置等功能。
报表任务配置举例如下:
例如:对数据库用户名进行统计,排除y(如:scott)和z(如:PACS)帐号。
· 报表类型:流量周期性统计报表。
· 报表名称:数据库用户名排除yz统计。
· 展示方式:按排名展示。
· 报表对象:数据库用户名 not scott;数据库用户名 not PACS,点击”确定”按钮。
图49 新增流量周期性统计报表
例如:在12号当天16点到次日13号下午15点的时间段中,除10.4.8.243主机外,统计主机对数据库的访问量。
· 报表类型:流量一次性统计报表。
· 报表名称:排除10.4.8.243登录数据库统计。
· 时间范围:2022-07-12 16:00 到 2022-07-13 15:00。
· 保留期限:7天。
· 展示方式:按排名展示。
· 报表对象 :数据库名 = 全部;源IP not 10.4.8.243,点击“确定”按钮。
图50 新增流量一次性统计报表
· 报表类型:特权周期性跟踪类报表。
· 报表名称:Rollback等操作方式统计。
· 特权操作方式:ROLLBACK、DROP TABLE、CREATE TABLE、REVOKE, 点击“确定”按钮。
图51 新增特权周期类报表
· 报表类型:特权一次性跟踪类报表。
· 报表名称:Alter_Role等操作方式统计。
· 时间范围:2022-07-12 16:00 到 2022-07-13 15:00。
· 保留期限:7天。
· 特权操作方式:ALTER ROLE、DROP VIEW、CREATE USER、DROP INDEX、DROP TABLE、CREATE, 点击“确定”按钮。
图52 新增特权一次性跟踪类报表
流量周期性统计报表,支持添加到 “监控中心”-“流量钻取”中展示。
图53 展示方式
四种报表类型均支持自动发送邮件。
图54 常规参数
(1) 除了一次性报表可立即查看外,其它制定的报表隔天能够在“报表任务”和“报表查看”页面中查看。
(2) 添加“流量钻取”展示后,可在“监控中心”-“流量钻取”页面查看到该报表的相关展示。
(3) 配置邮件发送后,可在收件人邮箱中查看是否收到报表邮件,报表以压缩包形式发送。
在用户环境中配置数据的重要性不言而喻,为防止系统出现操作失误或系统故障导致数据丢失等问题,因此,需精细化的配置管理,能将全部或部分配置数据集合恢复到设备。H3C SecPath数据库审计系统支持对审计配置全集和分量(模块)的配置,执行备份与还原。当用户发生设备损坏,更换备机等情况时,能快速进行审计系统配置还原,实现无损更换使用。方便运维人员对审计系统维护,快速还原某个模块的某个配置,实现精细化的配置管理。
· 在不同环境选择恢复网络配置时,应注意设备IP冲突,避免发生无法登录的情况。
· 配置管理主机时,建议先配置自身PC的IP地址,避免发生无法登录的情况。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 使用admin帐号登录数据库审计系统,点击左侧菜单栏的“系统管理”-“配置管理”,打开“配置管理”页面;
图55 配置管理
(2) 点击“备份配置”按钮,弹出“备份当前配置”窗口;
(3) 对系统中各配置项进行备份,可选配置备份项包括流量探针、SQL模版、语句查询、报表任务、事件报表过滤规则、监听配置、事件定义、对象管理、客户端信息、敏感信息、事件响应、入侵检测规则、交换机信息、用户管理、数据归档参数、日志响应、网络配置、管理主机、引擎相关配置、数据库相关配置、时间源配置、SYSLOG数据支撑、API数据支撑。选择备份项后,点击“确定”按钮,系统提示是否备份,继续点击“确定”按钮后,系统进行配置备份。
图56 备份当前配置
配置恢复能将审计系统的配置恢复到之前的某个版本。
(1) 导入之前的备份配置文件;
(2) 选择某个配置备份记录,点击“恢复配置”按钮,在弹出的“选择要恢复的配置”窗口中选择相应项,然后点击“确认”按钮;
(3) 系统提示是否恢复配置,继续点击“确定”按钮后,系统进行配置恢复。当前的系统配置将恢复到该配置。默认不选择网络配置、管理主机的配置,恢复可能导致系统无法访问,需谨慎选择。
(1) 成功备份配置。
(2) 成功恢复配置。
(3) 配置能够成功下载、导入。
(4) 逐一查看各个配置是否准确恢复。
审计系统自带的硬盘容量有限,审计的历史数据无法永久保存,系统会根据硬盘剩余空间动态删除最早的历史数据。因此,系统支持将储存的历史归档数据外传,实现归档数据的无限扩展和永久存储。
· 实现数据归档的外传,需先配置好归档参数。
· 设置外传的服务器上要有足够的磁盘空间存储归档文件。
服务器类型选择“硬盘共享”时,数据库审计系统仅支持通过SMB1.0的协议连接服务器。(高于windows 7 版本的服务器需在系统上开启“SMB1.0/CIFS文件共享支持”,例如windows 10系统)。下图以windows 10为例。
图57 SMB协议启用
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 使用sec帐号登录数据库审计系统,点击左侧菜单栏的“系统管理”-“数据归档”,打开“数据归档”页面;
(2) 点击“归档参数配置”分项页;
(3) 设置归档文件外传功能的开启以及外传服务器的相关参数设置;
图58 数据归档
(4) 填写参数后,点击“保存配置”按钮,系统能自动检测配置是否正确,如有错误,根据提示进行修改,正确后会保存配置;
(5) 系统默认每天凌晨两点执行归档操作。
(6) 如需修改密码,请先勾选<修改密码>。
系统正常运行后,隔日到设置的外传服务器磁盘目录上查看,是否有归档文件生成。
系统的备份机制,自动对每天的语句明细数据做归档备份。同时,因硬盘容量有限,系统会根据硬盘剩余空间动态删除最早的未归档历史语句明细数据。因此,针对需查询已归档的历史数据时,可通过历史回档客户端进行历史数据回档查询。
· 历史回档查询客户端需运行在windows环境下,支持WindowsXP版本、windows7版本、Windows8版本、Windows8.1版本
· 一次选择单个或多个日期进行归档文件的解压,所选择文件的数据状态都必须为正常;
· 设置归档文件解压后所存放的文件夹目录必须为空目录,如需再次解压,请清空该目录;
· 解压成功后,需对Win_restore文件夹设置samba共享;
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 下载客户端
可在数据库审计的登录页面下载工具安装包。例如,数据库审计系统管理地址为10.5.8.202,打开浏览器,输入地址,打开登录页面,在页面右上角点击“历史数据回档客户端”,下载客户端。
图59 客户端下载
(2) 安装客户端
解压已下载的“historyquery.rar”文件,打开“历史数据回档查询_Setup.exe”按照提示进行安装。
图60 客户端安装界面
(3) 配置客户端
安装完成后,双击桌面上的“历史数据回档查询”图标 ,打开历史数据回档查询客户端,界面如下:
图61 配置界面
界面说明:
· 标记1:备份的归档文件所在的文件夹目录;
· 标记2:设置归档文件解压后所存放的文件夹目录(目录要为空目录);
· 标记3:归档文件夹里可能存在多个引擎的备份数据,客户端能自动识别多引擎数据,通过选择不同的引擎id,管理、区分不同引擎的数据;
· 标记4:展示统计归档文件夹下归档文件的总天数;
· 标记5:展示已选引擎所有的归档数据:
¡ 根据所需,选择单个或多个日期进行归档文件的解压;
¡ 数据有三种状态(正常(只有该状态才能进行解压操作)、索引文件缺失、数据文件缺失);
¡ 进行解压后,解压结果有三种状态(解压成功、密码错误解压失败、未解压)
· 标记6:设置好解压目录及日期后,点击“解压”按钮,进行归档数据的解压。解压完成后,会提示“解压完成!”。
· 标记7:如果压缩文件设置了自定义解压密码,则需要勾选“使用自定义密码”后,在输入框中填入自定义的解压密码(若未勾选“使用自定义密码”,则解压时使用系统默认密码)
图62 解压界面
图63 解压成功
(4) 回档数据挂载配置
使用sec账户登录审计WEB管理页面,点击左侧菜单栏上的“系统管理”,展开后,点击“数据归档”,打开数据归档页面,点击页面上的“回档数据挂载配置”,切换到“回档数据挂载配置”页面,页面如下:
图64 回档数据挂载配置界面
在基础配置项中,根据实际环境选择和填写来源类型、服务器IP、服务器目录、用户名、密码等。填写完整后,点击“挂载”按钮,挂载成功后将进行提示。如需修改密码,请先勾选<修改密码>。
如有其它异常提示,请联系售后技术人员处理;
图65 挂载成功后提示界面
(5) 历史数据回档查询
配置完成后,点击左侧菜单栏上的“审计中心”,展开后,点击“语句查询”,打开语句查询页面。点击页面上的“历史查询”,切换到“历史查询”页,点击“查询设置”并勾选数据来源选项后点击“确定”按钮,使“数据来源”选项显示在页面。在“数据来源”选项中,选择samba服务,系统会自动加载Win_restore文件夹中的历史数据,根据需要进行历史数据查询。页面如下:
图66 历史数据回档查询界面
对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。
· Linux版64位安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64;Linux版32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86。
· Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。
· 服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。
· 流量探针功能暂时只支持在IPv4环境下使用。
本举例是在H3C i-Ware Software, Version 3.10, ESS 6204P07版本上进行配置和验证的。
客户端(101.1.21.11):
用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。
数据库审计系统:
管理口IP(183.1.3.211):被访问的,实现数据库审计系统的管理。
业务口IP(22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。
数据库服务器:
服务器使用的网卡(105.1.1.19):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。
通信网卡(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。
打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择“流量探针客户端”,即可下载流量探针安装包。
图67 下载流量探针客户端界面
解压后,分为Linux和Windows两个文件夹,其中Windows文件夹中的flowagent.exe为Windows流量探针安装包,Linux文件夹中的flowagent.tar.gz、flowagent_32.tar.gz为Linux流量探针安装包。
图68 流量探针客户端安装包
使用远程工具,如MobaXterm工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。
图69 连接Linux服务器
连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。
备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。
图70 解压安装包
进入解压后的flowt文件夹(cd flowt/),输入安装命令“sh setup.sh”,回车后完成安装。完成探针安装后,需修改探针监控程序权限与探针管理程序权限,并在修改完两项权限后,手动运行监控程序。
a. 输入命令“chmod 777 /mnt/flowt/flow_system.sh”,修改探针监控程序权限;
b. 输入命令“chmod 777 /mnt/flowt/flow_agentd.sh”,修改探针管理程序权限;
c. 输入命令“/mnt/flowt/flow_system.sh &”,运行探针监控程序。
图71 完成安装界面
输入测试命令“cd /mnt/flowt”,回车,继续输入命令“./flowagent -i eth0 -s eth1 -h 22.1.1.61”
注:
eth0、eth1、22.1.1.61根据实际环境填写。
eth0:数据库服务器上流量需被转发的网卡名。
eth1:数据库服务器上通信IP所在的网卡名。
22.1.1.61:数据库审计设备上接收转发流量的网卡IP。
运行测试命令后,确认流量探针是否正常运行,如果打印“LoginResult >>> OK”则运行成功
图72 运行命令执行成功后界面
注意:当执行命令,提示” Failed user authentication!”时,是由于数据库审计设备上未配置流量探针IP,需使用admin账号登录数据库审计设备,在策略中心-监听配置-流量探针模块配置客户端IP。配置完成后,再执行上述命令即可。
图73 错误提示信息
使用组合键“Ctrl+C”退出,流量探针客户端将按照已通过的参数运行。此时,该测试参数只是临时保存,需进入参数配置文件配置参数,输入命令“vi /mnt/flowt/argv.txt”,回车后,打开参数配置文件,修改默认参数为之前测试通过的参数,即“-i eth0 -s eth1 -h 22.1.1.61 –D”,修改后保存退出。
执行“./flow_agentd.sh start”,让探针在后台自动运行。
图74 探针执行
(1) 双击npcap-0.992.exe文件,根据提示安装npcap;
图75 Npcap安装界面
(2) 点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;
图76 Npcap安装选项界面
(3) 双击flowagent.exe文件,根据提示安装客户端。
图77 流量探针安装界面
(1) 填写数据库审计设备管理接收转发流量的网卡IP;
(2) 选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP);
(3) 勾选是否需开机启动;
(4) 勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡1、2必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;
(5) 点击“保存”按钮,保存配置。
如下图所示:
图78 流量探针配置页面
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。
图79 面板模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图80 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图81 表格模式下的配置生效
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。
图82 表格模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图83 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图84 表格模式下的配置生效
图85 数据库审计系统上流量探针配置
具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP。
客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。
图86 审计记录
对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。
· Linux版64位安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64;Linux版32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86。
· Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。
· 服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。
· ARM版本安装包只有64位,64位安装包理论上可支持ARM架构的64位操作系统,例如银河麒麟、统信UOS ARM版本。
· UOS x86架构的64位版本安装包,理论上支持UOS x86架构的平台,例如海光平台。
如图所示,分别是数据库服务器(105.1.1.19)、客户端(101.1.21.11)和数据库审计设备(183.1.3.210)。
具体应用需求如下:
· 客户端和数据库服务器能正常通信。
· 客户端和数据库审计设备能正常通信。
· 数据库审计GE0/7与数据库服务器eth1口网络可达,本例以直连方式举例,实际环境中能满足数据库审计端口(管理口或业务口)与数据库服务器端口(通信口或业务口)网络可达即可。
· 数据库审计设备能成功审计到日志。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
客户端(101.1.21.11):
用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。
数据库审计系统:
管理口IP(183.1.3.210):被访问的,实现数据库审计系统的管理。
业务口IP(22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。
数据库服务器:
服务器使用的网卡eth0(105.1.1.19):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。
通信网卡eth1(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。
打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择“流量探针客户端”,即可下载流量探针安装包。
图87 下载流量探针客户端界面
解压后,主要分为flowagent1.1.6_w.zip、flowagent1.1.6_t.tar.gz、flowagent1.1.6_s.tar.gz、flowagent1.1.6_a.tar.gz四个压缩包。其中flowagent1.1.6_s.tar.gz为linux64位版本,flowagent1.1.6_t.tar.gz为linux32位版本, flowagent1.1.6_w.zip为windows版本(32与64位通用),flowagent1.1.6_a.tar.gz为ARM 64位版本安装包,flowagent1.1.6_u.tar.gz为UOS x86架构版本。
图88 流量探针客户端安装包
注:ARM 64位版本安装包为E6206P01版本起新增支持ARM版本。之前版本下载包中不含该包。
UOS版本为E6206P05版本起新增适配UOS x86平台64位系统安装包。之前版本下载包中不含该包。
使用远程工具,如MobaXterm工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。
图89 连接Linux服务器
连接上数据库服务器后,将下载好的流量探针flowagent1.1.6_s.tar.gz (如果系统版本为32位,则使用flowagent1.1.6_t.tar.gz;如果系统是ARM版本,则使用flowagent1.1.6_a.tar.gz;如果系统是UOS x86架构,则使用flowagent1.1.6_u.tar.gz)文件上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar -zxvf flowagent1.1.6_s.tar.gz”,解压flowagent1.1.6_s.tar.gz文件。
备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。
备注:可使用“arch”命令查看系统是普通Linux还是ARM(显示aarch64则为ARM版本)。
图90 arch查看系统类型
图91 解压安装包
进入解压后的flowt文件夹(cd flowt/),输入安装命令“bash setup.sh”(后续均使用bash进行安装,安装前可查看readme.txt),回车后完成安装。完成探针安装后,需修改探针监控程序权限与探针管理程序权限,并在修改完两项权限后,手动运行监控程序。
a) 输入命令“chmod 777 /mnt/flowt/flow_system.sh”,修改探针监控程序权限;
b) 输入命令“chmod 777 /mnt/flowt/flow_agentd.sh”,修改探针管理程序权限;
c) 输入命令“/mnt/flowt/flow_system.sh &”,运行探针监控程序。
图92 完成安装界面
安装完成后,执行命令“./flowt/flow_agentd.sh stop”先停止探针监控程序运行。
注意:若提示无此运行进程,则跳过此步骤继续配置。
注:有些linux系统精简安装,当系统执行./flowt_agentd.sh stop时,发现没有killall命令,提示commond not found问题。以centos7系统为例,执行“yum install -y psmisc”命令安装psmisc软件包后即可。
(1) 通过“ifconfig或ip a”命令查看数据库服务器的网卡信息,获取需要进行转发流量的网卡名称。
图93 查看网卡信息界面
(2) 测试运行流量探针客户端,输入测试命令“cd /mnt/flowt/”,回车,继续输入命令“./flowagent -i eth0 -s eth1 -h 22.1.1.61”。
注:
eth0、eth1、22.1.1.61根据实际环境填写。
第一个eth0:数据库服务器上流量需被转发的网卡名,即客户端访问数据库的流量所经过的网卡。
第二个eth1:数据库服务器上与审计设备通信IP所在的网卡名,eth1接口上的ip与数据库审计设备管理口或业务口网络可达。
22.1.1.61:数据库审计设备上接收转发流量的网卡IP,该IP可以为审计设备的管理地址,也可以为业务口上的IP。
运行测试命令后,确认流量探针是否正常运行,初次运行时,会打印“LoginResult >>> fail”因为此时探针处于未注册状态:
图94 初次运行命令执行后界面
使用组合键“Ctrl+C”退出,使用admin账户登录数据库审计设备,在监控中心/流量探针模块,配置流量探针,具体操作参考本文11.6.4节数据库审计配置。
(3) 再次运行探针,此时会出现“LoginResult >>> OK”的提示,表示探针安装配置成功,如下图所示:
图95 运行命令执行成功后界面
此时先“Ctrl+C”停止手动运行,再执行“./flow_agentd.sh start”,让探针在后台自动运行。
(4) 执行命令“netstat -ant|grep 7766”,如出现以tcp开头且状态为ESTABLISHED的内容,表示流量探针注册成功后已在正常工作,如下图所示:
图96 探针正常运行界面
注:有些精简安装系统无netstat命令,以centos系统为例,使用“yum install –y net-tools”安装后即可执行。
(1) 将下载的流量探针安装包flowagent1.1.6_w.zip导入到windows服务器上并解压至本地。
图97 解压文件
(2) 双击npcap-0.992.exe文件,根据提示安装npcap;
图98 Npcap安装界面
(3) 点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;
图99 Npcap安装选项界面
(4) 双击flowagent.exe文件,安装语言选择Chinese(Simplified),根据提示安装客户端。
图100 选择安装语言
图101 流量探针安装界面
(1) 填写数据库审计设备管理接收转发流量的网卡IP;
(2) 选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP);
(3) 勾选是否需开机启动;
(4) 勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡1、2必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;
(5) 点击“保存”按钮,保存配置。
如下图所示:
图102 流量探针配置页面
点击保存后,参考11.6.4章节继续完成剩余配置。
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。
图103 面板模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图104 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图105 表格模式下的配置生效
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。
图106 表格模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图107 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图108 表格模式下的配置生效
(1) 客户端安装配置完成之后,使用admin账户登录系统,进入监控中心/流量探针页面,可看到已在服务器上安装配置完成,并与数据库安全审计系统成功通讯,且探针状态为“未注册”的流量探针,如下图所示。
图109 未注册探针
点击某个未注册探针前的
图标,弹出探针配置窗口,用户可根据需要对流量探针进行详细配置,如探针名称、探针IP、备注、监听网卡选择、关联业务系统,指定端口/IP审计配置等,配置完成之后,点击<确定>按钮,系统提示修改探针配置成功,该流量探针移入已注册探针列表,并开始转发流量。
a. 探针名称
用于标识探针名称,为必填项。
b. 备注
用于备注流量探针相关信息,便于用户查阅和管理,为选填项。
c. 监听网卡
用于配置流量探针客户端需要转发流量的网卡,为必填项。
d. 关联业务系统
用于标识流量探针转发的数据源,关联业务系统,为选填项。
e. 指定端口/IP审计配置:
流量探针支持转发流量过滤,可转发对指定端口/IP的流量。支持过滤内容包括端口、IP及IP网段信息,数据范围支持包含与不包含。设置包含后,仅在包含范围内的数据才会被转发。设置不包含后,在不包含范围内的数据不会被转发。如包含与不包含的配置范围重叠,不包含的优先级更高。
图110 探针配置页面
进入“策略中心-监听配置-业务系统配置”界面,点击添加,添加该数据库服务器地址。
图111 业务系统添加
如有配置管理主机,需将数据库服务器系统的ip也加入管理主机。
客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。
图112 审计记录
Vxlan环境下数据库审计系统对vxlan报文解析,从而进行SQL语句的审计。
Vxlan功能暂时只支持在IPv4环境下使用。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
使用admin角色登录系统,打开[系统管理/系统服务]页面,点击监听服务上的“配置”按钮,打开服务配置页面,填写VXLAN端口,如默认端口“4789”,点击“确定 ”按钮完成配置。
图113 VXLAN配置
具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP。
系统除了常规的数据库访问行为、应用服务器行为的审计数据外,对于异常事件,系统还提供了终端行为录像功能。当发生事件时,系统向用户提供了事发前后5分钟,即共10分钟的终端屏幕录像,为事件追踪提供强有力的证据。
需运行在Windows环境下,支持WindowsXP版本、Windows7版本、Windows8版本、Windows8.1版本、Windows10版本
· 确保录像客户端工具进程已运行。
· 确保“C:\video\tmpfile”目录下有录像文件生成。
· 被监控录屏的PC上需安装录屏客户端后,才可实现事件追踪录像功能。
· 管理员PC上需安装专用播放器后,才可正常播放事件追踪中的终端录像。
· 录屏客户端与播放器功能暂时只支持在IPv4环境下使用。
本举例是在H3C i-Ware Software, Version 3.10, R6206P08版本上进行配置和验证的。
(1) 下载录屏客户端工具
可在数据库审计的登录页面下载工具安装包。例如,数据库审计系统管理地址为10.5.8.202,打开浏览器,输入地址,打开登录页面,在页面右上角点击“录屏客户端与播放器”,下载客户端。
图114 录屏客户端工具下载
(2) 安装录屏客户端
在被监控录屏的PC上,解压已下载的“videoClient.rar”文件,打开“videoClient.v1.0.115.84.exe”按照提示进行安装。
图115 录屏客户端工具安装
(3) 配置录屏客户端
安装完成后,弹出提示窗口,配置服务器IP和服务器端口。这里的服务器IP,指的是数据库审计的管理IP,端口默认为443端口。
图116 配置数据库审计系统管理口IP
(4) 安装播放器客户端
在管理员PC上,解压已下载的“videoClient.rar”文件,打开“播放器.exe”,按照提示进行安装。
图117 安装播放器客户端
(5) 配置录像触发条件
登录数据库审计系统,例如,数据库审计系统的管理地址为10.5.8.202,使用sec角色账户登录后,在策略中心->事件响应->风险响应策略中,根据需要,选择高可疑、中可疑、低可疑三个级别,勾选风险响应策略中的录像选项,保存即可。当发生对应级别的事件时,系统会自动进行终端录像。
图118 事件响应配置
(6) 查看事件终端录像
事件发生后,进行事件追查时,可在监控中心->事件查看中,查看。
选择需查看的事件,点击事件追踪,打开事件追踪页面,可在页面的关联信息->终端录屏分页中下载终端录像查看。(在管理员PC上需先按照步骤4安装播放器)
图119 事件查看页面的事件追踪
图120 下载录屏文件
支持
